Multi-Faktor-Authentifizierung (MFA) an der Universität Ulm
Die Universität Ulm führt ab dem 01.11.2024 eine verpflichtende Multi-Faktor-Authentifizierung (MFA) für den Zugang zum Campusnetz per VPN sowie den Zugriff auf das IDM (Identitätsverwaltungssystem) der Universität ein.
Für die MFA werden in einem zweistufigen Verfahren zunächst Nutzername und Passwort und in einem zweiten Schritt ein zeitbasiertes Einmalpasswort (TOTP - Time-based one-time Passwort) geprüft. Das TOTP aus sechs Ziffern wird alle 30 Sekunden neu generiert und ändert sich daher laufend. Zur Generierung des zeitbasierten Einmalpassworts wird ein Security-Token benötigt. Dies kann ein Smartphone (mit einer installierten App wie dem Google Authenticator oder OTP Auth) sein oder auch ein eigenständiges Gerät für diesen Zweck. Beide Varianten werden von der MFA-Lösung der Universität unterstützt.
Wer ist betroffen?
Gem. eines Beschlusses des Präsidiums der Universität Ulm ist die Nutzung der MFA ab dem 01.11.2024 für alle Mitglieder der Universität Ulm verpflichtend.
Wie kann ich die MFA erstmalig einrichten?
Je nach Personengruppe können die folgenden Verfahren für die Erzeugung eines zweiten Faktors genutzt werden:
Übersicht Personengruppen
Grundsätzlich wird die Nutzung einer Authenticator-App auf einem Smartphone oder Tablet empfohlen. Sollten Sie kein solches Gerät besitzen, können über den Servicepoint "Ausleihe" in der Bibliotheks-Zentrale Hardware-Tokens erworben werden.
Grundsätzlich wird die Nutzung einer Authenticator-App auf einem dienstlichen oder privaten Smartphone oder Tablet empfohlen. Sollten Sie kein solches Gerät besitzen, können über den Servicepoint "Ausleihe" in der Bibliotheks-Zentrale Hardware-Tokens erworben werden.
Für Beschäftigte der Zentralen Universitätsverwaltung ist für die Generierung von TOTPs die Nutzung eines Hardware-Tokens vorgeschrieben.
Grundsätzlich wird die Nutzung einer Authenticator-App auf einem Smartphone oder Tablet empfohlen. Sollten Sie kein solches Gerät besitzen, können über den Servicepoint "Ausleihe" in der Bibliotheks-Zentrale Hardware-Tokens erworben werden.
Sollte ein Zugriff auf das Verwaltungsnetz oder das GLT-Netz der Universität benötigt werden, muss über die zuständige Führungskraft ein Hardware-Token beantragt werden:
FAQ
Um einen verlorenen Software- / Hardware-Token zurück zu setzen müssen Sie ihr IDM-Passwort zurücksetzen. Dies können Sie mit Ihrer Chipkarte sowie der Chipkarten-PIN an den bekannten SB-Terminals (Uni-Ost: Eingang Süd und Eingang Nord, Uni-West: Foyer Bibliotheks-Zentrale) selbständig erledigen. Sollte es Ihnen aus wichtigen Gründen nicht möglich sein das Passwort selbstständig zurückzusetzen können Sie sich auch an den Helpdesk des kiz wenden. Dieser sendet Ihnen nach erfolgter Identitätsprüfung ein neues Initialpasswort für den Login am IDM zu.
Wichtig: Nach dem Zurücksetzen des IDM-Passworts können Sie sich einmalig mit dem zugeteilten Initialpasswort ohne zweiten Faktor nur am IDM anmelden. Es ist erforderlich, dass Sie sich neben der Änderung des IDM-Passworts in der gleichen Sitzung auch einen neuen zweiten Faktor (Software / Hardware-Token) zuweisen und aktivieren. Ohne diesen können Sie sich nicht mehr am IDM anmelden und müssen die Passwortzurücksetzung erneut durchführen. Sollten Sie nicht mehr im Besitz des Hardware-Tokens sein, müssen sich sich zunächst einen entsprechenden Ersatz beschaffen.
Nein, aus Sicherheitsgründen kann immer nur ein aktiver Software- oder Hardware-Token genutzt werden. Die Aktivierung eines weiteren Tokens über das IDM deaktiviert automatisch den bestehenden Token.
Für den Umzug von Software-Tokens können Sie entweder die in den Authenticator-APPs vorgesehenen Optionen nutzen oder Sie können sich erneut im IDM anmelden und sich auf Ihrem neuen Endgerät einen neuen Software-Token generieren und aktivieren. Dieser neue Token ersetzt Ihren bestehenden Token, der seine Gültigkeit damit verliert.
Für die Authentisierung an der vom kiz betriebenen MFA-Lösung können ausschließlich vom kiz erzeugte oder verwaltete Tokens genutzt werden. Es ist nicht möglich dezentral erworbene Tokens oder Tokens von Dritten zu importieren.
Private Endgeräte sollten im Allgemeinen nicht für dienstliche Zwecke verwendet werden. Dies wird beispielsweise auch in den Online-Kursen zur Awareness vermittelt. Allerdings sind aus Gründen der Praktikabilität Ausnahmen von dieser allgemeinen Regel vorgesehen. So dürfen Soft-Tokens auch auf privaten Endgeräten (i.d.R. Smartphone) eingerichtet und damit verwendet werden. Dadurch entsteht, wenn überhaupt, kein nennenswert höheres Risiko. Sollten Sie aus anderen Gründen ein privates Gerät dafür nicht verwenden wollen, so müssen Sie sich beim kiz ein Hardware-Token besorgen, was für Beschäftigte kostenlos ist. Im Hinblick auf den reinen Sicherheitsaspekt ist das aber nicht erforderlich.
Die Module zur Awareness sind von uns eingekauft und können daher nicht in allen Details abweichende Regelungen an der Universität Ulm wiedergeben.
Nein, ein TOTP (zeitbasiertes Einmalpasswort) wird 2 Mal pro Minute erzeugt und gilt jeweils für 30 Sekunden. Während der Gültigkeit des TOTP kann es nur einmalig verwendet werden. Sollten Sie innerhalb kurzer Zeit mehrere TOTPs benötigen, müssen Sie leider aufgrund von technischen Restriktionen nach der erfolgreichen Nutzung eines TOTPs ein paar Sekunden warten, bis ein neuer TOTP generiert wurde (maximal 30 Sekunden).
TOTPs werden zeitbasiert zweimal pro Minute erzeugt und können während Ihrer Gültigkeit nur einmalig genutzt werden. Bei der erfolgreichen Zuweisung eines Tokens wird der aktuelle TOTP verbraucht und kann nicht erneut verwendet werden. Das bedeutet, dass Sie für einen erneuten Test des Tokens bzw. die nächste Verwendung für einen Login bis zur Erzeugung eines neuen TOTPs warten müssen (maximal 30 Sekunden).
Kommunikations- und Informationszentrum (kiz)
Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:
Sprechzeiten
Montag - Donnerstag
09:00 - 12:00 Uhr
13:00 - 15:30 Uhr
Freitag
09:00 - 12:00 Uhr
Telefon
+49 (0) 731 / 50 - 30000
Telefax
+49 (0) 731 / 50 - 1230000
Rückruf beauftragen
helpdesk(at)uni-ulm.de
Support-Portal (Uni intern)
[mehr]
An den Service-Points können Sie uns persönlich aufsuchen.
Self Service Funktionen des Identitätsmanagementsystems (IDM): Berechtigungen verwalten, Dienste abonnieren, Passwörter ändern etc.
Recherche im Bibliotheksbestand nach Monografien, Lehrbücher, Zeitschriften, Hochschulschriften, E-Books, E-Journals, Nationallizenzen, sowie im Bestand des institutionellen Repositoriums OPARU:
Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz. Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht an das Team Public Relations.
An wen kann ich mich bei Problemen wenden?
Bei Problemen und Fragen wenden Sie sich bitte an: helpdesk(at)uni-ulm.de