Duo
Die Konfiguration von Duo Security mit Specops Authentication erweitert das Zwei-Faktor-Authentifizierungssystem von Duo Security auf Specops Authentication-Benutzer.
Es gibt zwei Möglichkeiten, sich mit Duo Security zu verbinden: mit Web SDK oder Auth API. Auth API ist die neuere der beiden und wird von allen neuen Kunden verwendet. Um zu überprüfen, welche Methode Sie verwenden, führen Sie die folgenden Schritte aus:
- Melden Sie sich beim Specops Authentication Web an: https://login.specopssoft.com/authentication/admin
- Wählen Sie Identitätsservices in der linken Seitenleiste-Navigation und dann Duo Security.
- Stellen Sie sicher, dass dort „Auth API“ steht.
Konfiguration von Duo Security mit Web SDK
Hinweis
Web SDK ist nur für Kunden verfügbar, die Duo Security vor der Version 8.16 von Specops Authentication verwendet haben. Kunden, die Duo Security ab Version 8.16 verwenden, müssen Auth API (siehe unten) verwenden, um Duo Security zu konfigurieren.
Voraussetzungen: Die Rollen Besitzer, Administrator oder Anwendungsmanager sind in Duo Security erforderlich.
- Melden Sie sich beim Specops Authentication Web an: https://login.specopssoft.com/authentication/admin
- Wählen Sie Identitätsservices in der linken Seitenleiste-Navigation und dann Duo Security.
- Wählen Sie Aktivieren, dann im Pop-up erneut Aktivieren. Dadurch wird der Dienst für die Nutzung in Specops-Diensten verfügbar gemacht.
- Melden Sie sich beim Duo Security Admin Panel an.
- Wählen Sie Anwendungen in der linken Seitenleiste-Navigation und dann Eine Anwendung schützen.
- Die nächste Seite zeigt eine Liste der verschiedenen Arten von Diensten, die mit Duo Security integriert werden können. Finden Sie in der Liste Web SDK und wählen Sie Diese Anwendung schützen.
-
Legen Sie eine Richtlinie für die Anwendung fest, indem Sie eine vorhandene verwenden oder eine neue erstellen.
Hinweis
Die Einstellung Neue Benutzer-Richtlinie sollte auf Registrierung erforderlich gesetzt werden. Zugang ohne 2FA erlauben ermöglicht es Benutzern, Duo Security ohne Authentifizierung zu umgehen. Zugang verweigern blockiert Benutzer daran, sich mit Duo Security zu authentifizieren.
Hinweis
Die Einstellung Gruppenzugriffsrichtlinie sollte auf Keine Aktion gesetzt werden. Wie bei der Neue Benutzer-Richtlinie kann sie nicht auf Zugang ohne 2FA erlauben oder Zugang verweigern gesetzt werden.
-
Konfigurieren Sie die Einstellungen und geben Sie einen Namen ein.
- Wählen Sie Speichern.
-
Kopieren Sie aus dem Abschnitt Details den Integrationsschlüssel, den Secret key und den API-Hostname in die entsprechenden Felder im Specops Client.
Hinweis
Das Feld Attributname kann leer gelassen werden, um das Standard-Active Directory-Attribut (sAMAccountName) zu verwenden, es sei denn, Sie müssen ein anderes AD-Attribut verwenden.
-
Wählen Sie Testverbindung. Wenn die Verbindung erfolgreich war, erscheint eine Nachricht mit dem Text Verbindungstest erfolgreich.
- Wählen Sie Speichern.
Um Duo Security zu Ihrer Richtlinie hinzuzufügen:
- Wählen Sie das Specops Authentication-Produkt, zum Beispiel uReset 8, in der linken Seitenleiste-Navigation und dann Konfigurieren im Abschnitt Richtlinien.
- Ziehen Sie Duo Security aus dem Abschnitt Nicht ausgewählte Identitätsservices in den Abschnitt Ausgewählte Identitätsservices und konfigurieren Sie Gewichtung, Erforderlich und Geschützt-Einstellungen.
- Wählen Sie Speichern.
Konfiguration von Duo Security mit Auth API
Voraussetzungen: Die Rollen Besitzer, Administrator oder Anwendungsmanager sind in Duo Security erforderlich.
- Melden Sie sich beim Specops Authentication Web an: https://login.specopssoft.com/authentication/admin
- Wählen Sie Identitätsservices in der linken Seitenleiste-Navigation und dann Duo Security.
- Wählen Sie Aktivieren, dann im Pop-up erneut Aktivieren. Dadurch wird der Dienst für die Nutzung in Specops-Diensten verfügbar gemacht.
- Melden Sie sich bei der Duo Security-Verwaltungsseite an
- Wählen Sie Anwendungen in der linken Seitenleiste-Navigation und dann Eine Anwendung schützen.
- Die nächste Seite zeigt eine Liste der verschiedenen Arten von Diensten, die mit Duo Security integriert werden können. Finden Sie in der Liste Partner Auth API und wählen Sie Diese Anwendung schützen.
-
Legen Sie eine Richtlinie für die Anwendung fest, indem Sie auf Eine Richtlinie auf alle Benutzer anwenden klicken und die Richtlinie im Dropdown-Menü auswählen, oder erstellen Sie eine neue Richtlinie, indem Sie auf den Link Oder, eine neue Richtlinie erstellen im selben Fenster klicken und dann auf Neue Benutzer-Richtlinie klicken.
Hinweis
Die Einstellung Neue Benutzer-Richtlinie sollte auf Registrierung erforderlich gesetzt werden. Zugang ohne 2FA erlauben ermöglicht es Benutzern, Duo Security ohne Authentifizierung zu umgehen. Zugang verweigern blockiert Benutzer daran, sich mit Duo Security zu authentifizieren.
-
Konfigurieren Sie die Einstellungen und geben Sie einen Namen ein.
- Klicken Sie auf Speichern.
-
Kopieren Sie aus dem Abschnitt Details den Integrationsschlüssel (Client-ID), den Secret key und den API-Hostname in die entsprechenden Felder im Specops Client.
Hinweis
Das Feld Attributname kann leer gelassen werden, um das Standard-Active Directory-Attribut (sAMAccountName) zu verwenden, es sei denn, Sie müssen ein anderes AD-Attribut verwenden.
-
Wählen Sie Ihre gewünschte Einstellung für Benutzer automatisch in Specops Authentication registrieren. Wenn Sie es auf Ja setzen, werden alle Benutzer automatisch registriert.
Hinweis
Um Duo Security mit Schnellverifizierung zu verwenden, muss diese Einstellung auf Ja gesetzt werden
-
Wählen Sie Testverbindung. Wenn die Verbindung erfolgreich war, erscheint eine Nachricht mit dem Text Verbindungstest erfolgreich.
- Klicken Sie auf Speichern.
Konfiguration von Duo Security mit OpenID Connect (OIDC)
Sie können Duo Security so konfigurieren, dass das OpenID Connect-Protokoll verwendet wird, um den Benutzern eine Zwei-Faktor-Authentifizierung zu bieten. Dies bedeutet, dass Benutzer anstelle der Anmeldeseite von Specops zu einer Duo Security-URL weitergeleitet werden, wo sie sich über den Universal Prompt von Duo Security authentifizieren können. Der Universal Prompt zeigt dem Benutzer einen Zahlencode an, den der Benutzer in die Push-Benachrichtigung auf dem Gerät eingeben muss, auf dem die Duo Security-App installiert ist. Diese Authentifizierungsmethode kann verwendet werden, um sogenannte Ermüdungsangriffe zu bekämpfen, bei denen Benutzer mit mehreren einfachen Push-Benachrichtigungen konfrontiert werden, indem der zusätzliche Schritt der Bestätigung des Bildschirmcodes eingeführt wird.
Hinweis
Auth API muss konfiguriert sein, bevor OIDC konfiguriert wird.
Um OIDC zu konfigurieren:
- Melden Sie sich beim Specops Authentication Web an: https://login.specopssoft.com/authentication/admin
- Wählen Sie Identitätsservices in der linken Seitenleiste-Navigation und dann Duo Security.
- Der Dienst sollte bereits aktiviert worden sein, als Auth API konfiguriert wurde.
- Aktivieren Sie das Kontrollkästchen Duo-Prompt für Endbenutzer verwenden.
- Melden Sie sich beim Duo Security Admin Panel an.
- Wählen Sie Anwendungen in der linken Seitenleiste-Navigation und dann Eine Anwendung schützen.
- Die nächste Seite zeigt eine Liste der verschiedenen Arten von Diensten, die mit Duo Security integriert werden können. Finden Sie in der Liste Web SDK und wählen Sie Diese Anwendung schützen.
-
Legen Sie dieselbe Richtlinie fest wie die für Auth API festgelegte Richtlinie für die Anwendung, indem Sie auf Eine Richtlinie auf alle Benutzer anwenden klicken und die Richtlinie im Dropdown-Menü auswählen.
Hinweis
Sie müssen dieselbe Richtlinie auswählen wie die für Auth API festgelegte, um Konfigurationen zu vermeiden, bei denen Benutzer daran gehindert werden, Duo Security zur Authentifizierung zu verwenden.
-
Konfigurieren Sie die Einstellungen und geben Sie einen Namen ein.
- Wählen Sie Speichern.
- Kopieren Sie aus dem Abschnitt Details die Client-ID und den Client secret in die entsprechenden Felder im Specops Client.
-
Wählen Sie Testverbindung. Wenn die Verbindung erfolgreich war, erscheint eine Nachricht mit dem Text Verbindungstest erfolgreich.
Hinweis
Der Test überprüft sowohl die Auth API- als auch die OIDC-Verbindung, daher müssen beide korrekt konfiguriert sein. Jede Fehlermeldung gibt an, welcher Teil der Konfiguration falsch war.
-
Klicken Sie auf Speichern.
Um Duo Security zu Ihrer Richtlinie hinzuzufügen:
- Wählen Sie das Specops Authentication-Produkt, zum Beispiel uReset 8, in der linken Seitenleiste-Navigation und dann Konfigurieren im Abschnitt Richtlinien.
- Ziehen Sie Duo Security aus dem Abschnitt Nicht ausgewählte Identitätsservices in den Abschnitt Ausgewählte Identitätsservices und konfigurieren Sie Gewichtung, Erforderlich und Geschützt-Einstellungen.
- Wählen Sie Speichern.
Verwendung von Duo Security mit Schnellverifizierung
Schnellverifizierung kann nur mit Auth API verwendet werden. Beachten Sie, dass, wenn die Einstellung Benutzer automatisch in Specops Authentication registrieren auf Nein gesetzt ist, Sie Schnellverifizierung (oder erweiterte Verifizierung) für Benutzer, die sich nicht bei Duo Security registriert haben, nicht verwenden können.
Hinweis
Kunden, die Web SDK verwenden, um Duo Security zu konfigurieren, können Duo Security nicht für Schnellverifizierung verwenden. Es wird nur als erweiterte Verifizierung verfügbar sein.
Duo Security-Authentifizierung für Windows-Anmeldung
Der Specops Client bietet Verbesserungen für die Windows-Anmeldeerfahrung, indem er den integrierten Windows-Anmeldeinformationsanbieter umschließt. Dazu gehört, dass Benutzer ihre Passwörter vom Anmeldebildschirm aus zurücksetzen können, sowie die Verbesserung des Feedbacks, das Benutzer beim Ändern ihres Passworts über STRG+ALT+ENTF erhalten. Der Specops Client unterstützt auch das Umhüllen von Drittanbieter-Anmeldeinformationsanbietern, sofern dieser Anmeldeinformationsanbieter das Umhüllen unterstützt. Einige bestimmte Anmeldeinformationsanbieter, wie Duo Securitys Authentifizierung für Windows-Anmeldung, erfordern zusätzliche Konfigurationen, um dem Specops Client das Umhüllen zu ermöglichen. Weitere Informationen finden Sie unter Umhüllen des Duo Security-Anmeldeinformationsanbieters.