• Startseite
• Inhaltsbibliothek
• Admin-Dokumente
• Adaptive Authentifizierung

Adaptive Authentifizierung

---

Bedeutung der adaptiven Authentifizierung für Administratoren

Die Konfiguration der adaptiven Authentifizierung (MFA) für Benutzer ist aufgrund ihrer erweiterten Berechtigungen von entscheidender Bedeutung. Bestimmte Benutzer haben Zugriff auf bestimmte Ebenen sensibler Systeme und Daten und sind daher ein Ziel für böswillige Akteure.

Administratoren können die Authentifizierungsanforderungen dynamisch an Risikofaktoren wie Standort, Gerät und Verhalten anpassen, indem sie adaptive MFA implementieren. Dadurch wird sichergestellt, dass Angreifer selbst bei Zugriff auf Administratoranmeldeinformationen immer noch mit erheblichen Hürden konfrontiert sind, was die Wahrscheinlichkeit eines erfolgreichen Angriffs verringert.

Während die Balance zwischen Sicherheit und Benutzerfreundlichkeit für normale Benutzer von entscheidender Bedeutung ist, sollte die Sicherheit von Administratorkonten Vorrang haben. Adaptive MFA ermöglicht strengere Authentifizierungsrichtlinien für Administratoren, ohne den täglichen Arbeitsablauf typischer Benutzer zu beeinträchtigen.

Adaptive MFA-Konfiguration

Melden Sie sich bei der Self-Service-Konsole an und navigieren Sie zu Adaptive Authentifizierung Abschnitt aus dem Seitenmenü.

Klicken Sie auf Richtlinie hinzufügen Schaltfläche oben rechts.

• Es gibt sechs verschiedene Abschnitte, die Sie in einer adaptiven Authentifizierungsrichtlinie konfigurieren können:
• IP-Konfiguration
• Gerätekonfiguration
• Standortkonfiguration
• Konfiguration des Zugriffszeitpunkts
• Maßnahmen zur Verhaltensänderung
• E-Mail-Benachrichtigungen und benutzerdefinierte Fehlermeldungen

1. IP-Konfiguration

Bei der IP-Einschränkung konfiguriert der Administrator eine Liste von IP-Adressen, um den Zugriff zuzulassen oder zu verweigern. Wenn ein Benutzer versucht, sich bei einer der mit adaptiver Authentifizierung konfigurierten Anwendungen anzumelden, wird seine IP-Adresse mit der konfigurierten IP-Liste abgeglichen und auf dieser Grundlage wird die Aktion gemäß der Konfiguration entschieden (d. h. Zulassen, Verweigern oder Anfordern).

So konfigurieren Sie die IP-Adresse:

• Auf dem Richtlinie hinzufügen Registerkarte, wählen Sie die IP-Konfiguration und klicken Sie auf Schaltfläche Bearbeiten.



• Auswählen IP hinzufügen wenn der Benutzer IP Address ist nicht in der konfigurierten Liste.
• Geben Sie die IP-Adresse an, die Sie auf die Whitelist setzen möchten. Für andere IP-Bereiche als die auf der Whitelist können Sie die oben stehende Einstellung auswählen.
• Wählen Sie entweder „Zulassen“ oder „Ablehnen“, indem Sie das Optionsfeld daneben aktivieren.
• Wenn ein Benutzer versucht, sich mit der auf der Whitelist stehenden IP-Adresse anzumelden, wird ihm immer der Zugriff gestattet.
• Wir unterstützen IP-Adressbereiche in drei Formaten, nämlich: IPv4, IPv4 CIDR und IPv6 CIDR. Sie können aus dem Dropdown-Menü auswählen, was für Sie geeignet ist.
• Sie können mehrere IP-Adressen und IP-Bereiche hinzufügen, indem Sie auf das + Taste.



• Sobald die Änderungen vorgenommen wurden, scrollen Sie bis zum Ende und klicken Sie auf Gespeichert.

2. Gerätekonfiguration

Mit der Gerätebeschränkung erlaubt der Administrator Endbenutzern, eine feste Anzahl von Geräten als vertrauenswürdige Geräte zu ihrem Konto hinzuzufügen. Sobald ein Gerät für einen Benutzer registriert ist, kann sich dieser ohne Einschränkungen anmelden.

So konfigurieren Sie die gerätebasierte Konfiguration:

• Auf dem Richtlinie hinzufügen Registerkarte, navigieren Sie zu Gerätekonfiguration und aktivieren Sie die Option „Benutzer bearbeiten, um Gerät zu registrieren“.



• Geben Sie im Eingabefeld neben „Anzahl zulässiger Geräteregistrierungen“ die Anzahl der Geräte ein, die Ihre Endbenutzer registrieren sollen. (Es werden 2–3 Geräte empfohlen.)
• Sie können Anmeldungen von Mobilgeräten blockieren, d. h. alle Anmeldeversuche von Mobilgeräten werden abgelehnt.



• Scrollen Sie bis zum Ende der Seite und klicken Sie auf Gespeichert.

3. Standortkonfiguration

In Standortbeschränkungen konfiguriert der Administrator eine Liste von Standorten, an denen Endbenutzer sich je nach den vom Administrator festgelegten Bedingungen anmelden können oder nicht. Wenn ein Benutzer versucht, sich mit aktivierter adaptiver Authentifizierung anzumelden, werden seine Standortattribute wie Breitengrad, Längengrad und Ländercode anhand der vom Administrator konfigurierten Standortliste überprüft. Auf dieser Grundlage wird dem Benutzer der Zugriff erlaubt, verweigert oder verweigert.

So konfigurieren Sie die standortbasierte Konfiguration:

• Auf dem Richtlinie hinzufügen Navigieren Sie auf der Registerkarte „Standortkonfiguration“ zum Abschnitt „Standortkonfiguration“.



• Geben Sie im Eingabefeld „Standort eingeben“ den Standortnamen ein und wählen Sie dann mit den Navigationstasten AUF und AB den richtigen Standort aus den Suchergebnissen aus.
• Fügen Sie im nächsten Eingabefeld die Entfernung in und um Ihren Standort hinzu. Dies ist die Gesamtfläche in und um den Standort, die wir mithilfe der Breiten- und Längengrade konfiguriert haben.
• Wählen Sie in der nächsten Auswahlliste Ihren Entfernungsparameter entweder als KMS (Kilometer) oder Meilen aus. Für jeden hinzugefügten Standort können Sie ihn zulassen oder ablehnen, indem Sie den Schalter daneben aktivieren oder deaktivieren.
• Sie können auf die Schaltfläche + Taste um mehr als einen Standort hinzuzufügen und befolgen Sie dann die Schritte 2–4 wie oben beschrieben.



• Speichern Sie die vorgenommenen Änderungen, indem Sie am Ende der Seite nach unten scrollen.

4. Zeitpunkt des Zugriffs Konfiguration

Bei der Zeitbeschränkung konfiguriert der Administrator eine Zeitzone mit Start- und Endzeiten für diese Zeitzone. Je nach den Bedingungen in der Richtlinie wird Benutzern der Zugriff erlaubt, verweigert oder abgewiesen. Wenn ein Endbenutzer versucht, sich mit aktivierter adaptiver Authentifizierung anzumelden, werden seine zeitzonenbezogenen Attribute wie Zeitzone und aktuelle Systemzeit anhand der vom Administrator konfigurierten Liste überprüft. Je nach Konfiguration wird dem Benutzer der Zugriff erlaubt, verweigert oder abgewiesen.

So konfigurieren Sie die zeitbasierte Konfiguration:

• Auf dem Richtlinie hinzufügen Navigieren Sie auf der Registerkarte „Konfiguration des Zugriffszeitpunkts“ zum Abschnitt „Konfiguration des Zugriffszeitpunkts“.



• Wählen Sie in der Liste „Zeitzone auswählen“ die gewünschte Zeitzone aus. Wählen Sie in den Listen „Startzeit“ und „Endzeit“ die entsprechenden Werte aus. Sie können jede hinzugefügte Zeitkonfiguration zulassen oder ablehnen, indem Sie den Schalter daneben aktivieren bzw. deaktivieren.
• Geben Sie den Wert in Minuten in das Eingabefeld neben der zulässigen Zeitdifferenz für die Betrugspräventionsprüfung ein. Mit diesem Wert können Sie eine gewisse Zeitspanne vor Ihrer Startzeit und nach Ihrer Endzeit festlegen. (Wenn also die Startzeit 6:6 Uhr und die Endzeit 30:5 Uhr ist und die Zeitdifferenz auf 30 Minuten eingestellt ist, berücksichtigt die Richtlinie die Zeit von 6:30 Uhr bis 15:XNUMX Uhr.) Wenn in diesem Feld kein Wert eingegeben wird, wird der Standardwert von XNUMX Minuten verwendet.
• Sie können auf die Schaltfläche Schaltfläche „Zeit hinzufügen“ um mehr als eine Zeitkonfiguration einzuschließen und folgen Sie dann dem obigen Schritt.

5. Maßnahmen zur Verhaltensänderung

Sie können eine der drei möglichen Aktionen für Ihre adaptive Authentifizierungsrichtlinie konfigurieren, wie unten erläutert:

Attribut	Beschreibung
Erlauben	Erlauben Sie Benutzern die Authentifizierung und Nutzung von Diensten, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.
Ablehnen	Verweigern Sie Benutzerauthentifizierungen und den Zugriff auf Dienste, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.
Herausforderung	Fordern Sie Benutzer mit einer der drei unten genannten Methoden zur Überprüfung der Benutzerauthentizität heraus.

Optionen für den Herausforderungstyp:

Faktoren	Beschreibung
Benutzer zweiter Faktor	Der Benutzer muss sich mit dem zweiten Faktor authentifizieren, den er gewählt oder zugewiesen hat, wie zum Beispiel OTP über SMS Push-Benachrichtigung OTP über E-Mail und viele mehr.
KBA	Das System stellt dem Benutzer zwei von drei Fragen, die er in seiner Self-Service-Konsole konfiguriert hat. Erst wenn beide Fragen richtig beantwortet wurden, kann der Benutzer fortfahren.
OTP über alternative E-Mail	Der Benutzer erhält ein OTP an die alternative E-Mail-Adresse, die er über die Self-Service-Konsole konfiguriert hat. Sobald der Benutzer das richtige OTP angegeben hat, kann er fortfahren.

6. E-Mail-Benachrichtigungen und benutzerdefinierte Fehlermeldungen

In diesem Abschnitt werden die Benachrichtigungen und Warnungen im Zusammenhang mit der adaptiven Authentifizierung behandelt. Er bietet die folgenden Optionen:

• Erhalten Sie E-Mail-Benachrichtigungen, wenn sich Benutzer von unbekannten Geräten oder Standorten aus anmelden: Administratoren müssen diese Option aktivieren, um den Empfang von Benachrichtigungen für verschiedene Benachrichtigungsoptionen zu ermöglichen.

Option	Beschreibung
Herausforderung abgeschlossen und Gerät registriert	Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer eine Herausforderung abschließt und ein Gerät registriert.
Herausforderung abgeschlossen, aber Gerät nicht registriert	Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer eine Herausforderung abschließt, das Gerät jedoch nicht registriert.
Herausforderung fehlgeschlagen	Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer die Herausforderung nicht meistert.
Benutzer melden sich von unbekannten IP-Adressen, Geräten oder Standorten aus an	Durch Aktivieren dieser Option können Sie sich von unbekannten IP-Adressen oder Geräten und sogar Standorten aus anmelden.
Anzahl der Geräteregistrierungen hat die zulässige Anzahl überschritten	Mit dieser Option können Sie mehr Geräte registrieren, als Sie nummeriert haben.





• Der nächste Unterabschnitt ist E-Mail-Benachrichtigungen senden. Hier können Sie Benachrichtigungen für Administratoren und Endbenutzer aktivieren oder deaktivieren. Um Benachrichtigungen für Administratoren zu aktivieren, können Sie Folgendes aktivieren: Administratoren Schalter umschalten.




• Wenn Sie möchten, dass mehrere Administratorkonten Benachrichtigungen erhalten, aktivieren Sie die Option für den Administrator und geben Sie die E-Mail-Adressen der Administratoren (getrennt durch ein „,“) in das Eingabefeld neben der Bezeichnung „E-Mail-Adresse des Administrators für Benachrichtigungen“ ein. Um Benachrichtigungen für Endbenutzer zu aktivieren, aktivieren Sie die Schaltfläche „Endbenutzer“.
• Falls Sie die Ablehnungsnachricht anpassen möchten, die der Endbenutzer erhält, wenn seine Authentifizierung aufgrund einer adaptiven Richtlinie verweigert wird, können Sie dies tun, indem Sie die Nachricht in Nachricht ablehnen Textfeld ein.