AnleitungEinrichten eines Android-Smartphones als Software-Token
Diese Anleitung beschreibt, wie Sie ein Android-Smartphone als Software-Token für die Mehrfaktor-Authentifizierung einrichten können.
Die Mehrfaktor-Authentifizierung (MFA) wird in 3 Schritten durchgeführt, die gemeinsam Ihre Logins bei allen unterstützten Diensten von nun an absichern.
- Beim ersten Schritt installieren Sie auf einem Smartphone eine Authenticator-App als sogenanntes Token. Die Authenticator-App generiert nach der Einrichtung Einmalkennwörter für jeden Login. Damit ist sichergestellt, dass sich nur Personen, die neben den üblichen Anmeldedaten auch Zugriff auf das Smartphone besitzen, an den MFA-fähigen Diensten anmelden können.
- Im zweiten Schritt registrieren Sie Ihr Smartphone am MFA Token Self Service Portal LinOTP, dem Web-Dienst zur Verwaltung der eigenen Tokens für die Nutzung an Universitätsdiensten. LinOTP ist unter dem Link rechts rund um die Uhr aus dem universitären Netz oder -VPN erreichbar.
- Während die ersten beiden Schritte pro Smartphone nur ein Mal ausgeführt werden, beschreibt der dritte Schritt die Anmeldung an einem MFA-fähigen Dienst und wird damit viele Male durchgeführt. Zuerst wird hier nur das VPN der Universität unterstützt. Weitere Dienste werden folgen.
Video-Tutorial
Ergänzend zu dieser Anleitung können Sie sich das Video-Tutorial ansehen, das in Kürze die Token-Einrichtung zeigt. Wir empfehlen, zusätzlich die Anleitung in Textform zu lesen, da diese ausführlichere Informationen enthält.
Installation der Authenticator-App auf Ihrem Smartphone
Vor der Einrichtung Ihres ersten Tokens müssen Sie eine entsprechende App auf Ihrem Handy installieren. Bitte führen Sie je nach Smartphone die folgenden Schritte aus, um die Sicherheit Ihrer MFA-Anmeldedaten zu schaffen.
1. Authenticator installieren.
Öffnen Sie den App Store auf Ihrem Android-Gerät. Dort suchen Sie nach der „Aegis Authenticator - 2FA App“ (wenn Sie den Google Play Store nutzen) bzw. „Aegis Authenticator“ (wenn Sie F-Froid nutzen) jeweils vom Entwickler „Beem Development“ oder einer Alternative nach Wahl. Installieren Sie die App auf Ihrem Gerät.
2. Initiale Einrichtung.
Nachdem die App erfolgreich installiert wurde, öffnen Sie sie auf Ihrem Android-Gerät. Da das Erstellen von Screenshots in diesem Schritt verboten ist, können wir hier leider keine Beispiele abbilden.
- Bitte tippen Sie auf dem ersten Bildschirm „Willkommen“ auf den Pfeil rechts unten.
- Im folgenden Bildschirm „Sicherheit“ wählen Sie bitte „Biometrie“ und tippen auf den Pfeil rechts unten (Falls Sie keine Biometrie einsetzen wollen, wählen Sie bitte „Passwort“).
- Geben Sie auf dem 2. Bildschirm „Sicherheit“ ein sicheres Kennwort ein und wiederholen dieses. Der Balken unter den Kennwörtern sollte grün sein und „Sicher“ anzeigen. Bitte sichern Sie sich dieses Kennwort in einem Kennwort-Speicher oder auf einem Dokument, welches Sie sicher verwahren. Tippen Sie anschließend auf den Pfeil rechts unten. Wenn Sie „Biometrie“ gewählt haben, müssen Sie sich einmal biometrisch authentisieren.
- Beenden Sie die Einrichtung Bildschirm „Einrichtung abgeschlossen“, indem Sie auf den Pfeil rechts unten tippen.
Die nächsten Schritte erfolgen nun an Ihrem PC.
Token erstellen
1. Öffnen Sie die MFA Token Self Service-Plattform in einem Browser auf einem vertrauenswürdigen Gerät.
Loggen Sie sich auf einem anderen vertrauenswürdigen Gerät als Ihrem Android-Smartphone unter https://mfa.uni-heidelberg.de mit Ihren regulären universitären Zugangsdaten ein. Dabei sollten Sie vor der Eingabe Ihrer Daten die Domain sowie das Schild-Symbol daneben prüfen, um sicherzustellen, dass alle übermittelten Daten auch wirklich mit unserer MFA-Lösung ausgetauscht werden.
2. Token erstellen.
Im Abschnitt „Neue Authentisierungsmethode einrichten“ wählen Sie die Option „Soft-Token (zeitbasiert)“ und klicken Sie auf "Einrichten".
Im sich öffnenden Fenster können Sie unten bei „Token-Beschreibung“ einen Name vergeben (z.B. „Arbeitshandy“ oder "Privates Handy"). Bitte klicken Sie anschließend auf „Weiter“.
Nun wird Ihnen Ihr QR-Code angezeigt, den Sie mit Ihrem Smartphone abscannen können.
Bitte klicken Sie nicht auf „Weiter“, bis Ihr Smartphone erfolgreich eingerichtet ist!
Falls die Einrichtung am Smartphone nicht abgeschlossen werden kann:
Drücken Sie bitte auf „Abbrechen“ und bestätigen den Abbruch im direkt folgenden Dialog. Sie gelangen nun wieder zur Übersicht Ihrer Tokens. Diese sollte leer sein. Wenn hier dennoch ein Token aufgelistet ist, Sie jedoch kein Token erfolgreich eingerichtet haben, löschen Sie bitte das angezeigte Token.
Smartphone als Token einrichten
Zum Hinzufügen dieses Tokens werden jetzt je nach Smartphone die folgenden Schritte benötigt:
1. Fügen Sie ein Token hinzu.
Öffnen Sie die Authenticator-App und tippen Sie auf das Plus-Symbol, das sich unten rechts auf dem Bildschirm befindet, um ein neues Token hinzuzufügen.
2. QR-Code scannen.
Wählen Sie „QR-Code scannen“ aus.
Beim ersten Start muss das Recht „Bilder und Videos auzunehmen“ nur „Bei Nutzung der App“ gewährt werden. Anschließend richten Sie die Kamera Ihres Android-Geräts auf den QR-Code, der Ihnen in LinOTP angezeigt wird. Die App erkennt den Code automatisch und fügt das Token hinzu.
Wichtig: Sollten Sie die Einrichtung des Tokens aus irgendeinem Grund auf Ihrem Gerät nicht abschließen, müssen Sie auch in der Self Service Plattform den Prozess mit „Abbrechen“ beenden, oder, falls dieser bereits abgeschlossen ist, das Token VOR dem Logout wieder löschen.
Token testen
Nachdem Sie das Token erfolgreich eingerichtet haben, können Sie bei allen Authenticator-Apps nach der erneuten Entsperrung Ihres Telefons auf den entsprechenden Eintrag tippen. Das zeitbasierte Einmalkennwort (time-based one-time password TOTP) wird angezeigt.
Zurück auf der Self-Service Plattform können Sie nun auf „Weiter“ klicken und es erscheint die Bestätigung der Einrichtung des Tokens. Mit Klick auf „Testen“ fahren Sie zum Test fort.
Im sich öffnenden Dialog geben Sie bitte das gerade aktuelle Einmalkennwort (One time password - OTP) aus Ihrem Token ein und drücken Sie auf „Absenden“.
Nun wird Ihnen angezeigt, ob Ihr Test erfolgreich war.
Test erfolgreich
Richten Sie nun nach Möglichkeit einen zweiten Token (z.B. KeePassXC) ein oder loggen Sie sich von der Plattform ab.
Sie können MFA nun in allen kompatiblen Anwendungen nutzen. Konkrete Hilfestellungen hierzu finden Sie in den Anleitungen der entsprechenden Dienste.
Test nicht erfolgreich
Sollte der Test nicht erfolgreich gewesen sein, versuchen Sie es bitte direkt noch einmal. Falls dieser Test auch nicht erfolgreich sein sollte, löschen Sie bitte das Token umgehend durch Klick auf die drei Punkte in der Übersicht und anschließend auf „Löschen“.
Melden Sie sich bitte in diesem Fall bei Ihrem IT-Beauftragten oder dem IT-Service.
Backup einrichten
Nach der Einrichtung des ersten Tokens zeigt Aegis „Änderungen wurden noch nicht gesichert“ an. Hierbei handelt es sich zum Aufruf, ein Backup einzurichten.
- Bitte tippen Sie zum Einrichten auf den roten Balken.
2. Im sich öffnenden Dialog wählen Sie bitte „Sicherung einrichten“.
3. Aktivieren Sie bitte, dass die Datenbank automatisch gesichert wird.
4. Daraufhin werden Sie gebeten, einen Ordner für das Backup auf Ihrem Smartphone auszuwählen. Ein sinnvoller Ablageort ist die SD-Karte, so dass auch beim Wechsel des Smartphones auf das Backup zugegriffen werden kann. Auf den drei Strichen links oben können Sie die Speichermedien auswählen (z.B. intern oder die SD-Karte. Navigieren Sie dann zu einem Ordner ihrer Wahl und erstellen Sie dort am besten einen neuen Ordner wie im Screenshot rechts gezeigt.
5. Sobald Sie einen geeigneten Ordner gefunden oder erstellt haben, tippen Sie bitte unten auf „Diesen Ordner verwenden“.
6. Im sich öffnenden Dialog gewähren Sie Aegis bitte Zugriff auf den Dateispeicher.
7. Nun ist die Option „Datenbank automatisch sichern“ aktiv und unter „Ordern für Sicherungsdateien“ wird ihr gewählter Ordner angezeigt.
Sollten Sie ein Backup auf den internen Speicher des Smartphones eingerichtet haben, lohnt es sich, dieses Backup von Zeit zu Zeit auf ein anderes Gerät zu sichern, damit man weiterhin auf seine Tokens zugreifen kann, selbst wenn das Smartphone nicht mehr verfügbar oder kaputt ist.