Kommunikations- und Informationszentrum (kiz)

Vorankündigung: Der Service ist ab dem 01.08.2024 verfügbar.

Multi-Faktor-Authentifizierung (MFA) an der Universität Ulm

Um das gesamte Serviceangebot der Universität Ulm nutzen zu können, müssen sich Mitglieder der Universität an unterschiedlichen Stellen mit ihrem kiz-Account authentifizieren. Über diese Authentifizierung wird sichergestellt, dass nur berechtigte Personen auf das Serviceangebot der Universität sowie ihre persönlichen Daten zugreifen können.

Da die Kombination aus Nutzername und Passwort für die Authentifizierung nur solange einen ausreichenden Schutz bietet, wie diese geheim sind, versuchen Cyberkriminelle vermehrt per Phishing-E-Mails u.A. diese zu erlangen. Um dem entgegen zu wirken erfolgt bei der Multi-Faktor-Authentifizierung (MFA) der Identitätsnachweis neben dem bekannten Benutzername und Passwort über einen zusätzlichen unabhängigen Faktor. Hierdurch wird der Zugriffsschutz deutlich erhöht. An der Universität Ulm werden für die MFA in einem zweistufigen Verfahren zunächst Nutzername und Passwort und in einem zweiten Schritt ein zeitbasiertes Einmalpasswort (TOTP) geprüft.

Welche Logins werden durch die MFA abgesichert?

Die Einführung der MFA an der Universität Ulm erfolgt in zwei Stufen:

Stufe 1 (vom 01.08.2024 - 31.10.2024):
Zunächst werden die Verwaltung der digitalen Identitäten und der Zugriff auf das Netzwerk der Universität abgesichtert

  • IDM (Identitätsverwaltungssystem der Universität Ulm)
  • VPN (Zugang zum Campusnetz)

Stufe 2 (01.11.2024):
Durch die Anbindung des zentralen Shibboleth Identitätsproviders (IdP) wird der Zugriff auf diverse weitere Systeme abgesichert, z.B.:

  • E-Rechnung
  • b-ite Bewerberportal
  • Anmeldung Hochschulsport
  • Registrierung HPC

Das kiz arbeitet beständig an der Anbindung weiterer zentraler Systeme wie der Lernplattform Moodle.

Wer ist betroffen?

Gem. eines Beschlusses des Präsidiums der Universität Ulm ist die Nutzung der MFA ab dem 31.10.2024 für alle Mitglieder der Universität Ulm verpflichtend.

Wie kann ich die MFA nutzen?

Je nach Personengruppe können die folgenden Verfahren für die Erzeugung eines zweiten Faktors genutzt werden:

Übersicht Personengruppen

Für Beschäftigte der Zentralen Universitätsverwaltung ist für die Generierung von TOTPs die Nutzung eines Hardware-Tokens vorgeschrieben.

Grundsätzlich wird die Nutzung einer Authenticator-App auf einem dienstlichen oder privaten Smartphone oder Tablet empfohlen. Sollten Sie kein solches Gerät besitzen, können über den Servicepoint "Ausleihe" in der Bibliotheks-Zentrale Hardware-Tokens erworben werden.

Grundsätzlich wird die Nutzung einer Authenticator-App auf einem Smartphone oder Tablet empfohlen. Sollten Sie kein solches Gerät besitzen, können über den Servicepoint "Ausleihe" in der Bibliotheks-Zentrale Hardware-Tokens erworben werden.

Grundsätzlich wird die Nutzung einer Authenticator-App auf einem Smartphone oder Tablet empfohlen. Sollten Sie kein solches Gerät besitzen, können über den Servicepoint "Ausleihe" in der Bibliotheks-Zentrale Hardware-Tokens erworben werden.

Sollte ein Zugriff auf das Verwaltungsnetz oder das GLT-Netz der Universität benötigt werden, muss über die zuständige Führungskraft ein Hardware-Token beantragt werden:

FAQ

Um einen verlorenen Software- / Hardware-Token zurück zu setzen müssen Sie ihr IDM-Passwort zurücksetzen. Dies können Sie mit Ihrer Chipkarte sowie der Chipkarten-PIN an den bekannten SB-Terminals (Uni-Ost: Eingang Süd und Eingang Nord, Uni-West: Foyer Bibliotheks-Zentrale) selbständig erledigen. Sollte es Ihnen aus wichtigen Gründen nicht möglich sein das Passwort selbstständig zurückzusetzen können Sie sich auch an den Helpdesk des kiz wenden. Dieser sendet Ihnen nach erfolgter Identitätsprüfung ein neues Initialpasswort für den Login am IDM zu.

Wichtig: Nach dem Zurücksetzen des IDM-Passworts können Sie sich einmalig mit dem zugeteilten Initialpasswort ohne zweiten Faktor nur am IDM anmelden. Es ist erforderlich, dass Sie sich neben der Änderung des IDM-Passworts in der gleichen Sitzung auch einen neuen zweiten Faktor (Software / Hardware-Token) zuweisen und aktivieren. Ohne diesen können Sie sich nicht mehr am IDM anmelden und müssen die Passwortzurücksetzung erneut durchführen. Sollten Sie nicht mehr im Besitz des Hardware-Tokens sein, müssen sich sich zunächst einen entsprechenden Ersatz beschaffen.

Nein, aus Sicherheitsgründen kann immer nur ein aktiver Software- oder Hardware-Token genutzt werden. Die Aktivierung eines weiteren Tokens über das IDM deaktiviert automatisch den bestehenden Token.

Für den Umzug von Software-Tokens können Sie entweder die in den Authenticator-APPs vorgesehenen Optionen nutzen oder Sie können sich erneut im IDM anmelden und sich auf Ihrem neuen Endgerät einen neuen Software-Token generieren und aktivieren. Dieser neue Token ersetzt Ihren bestehenden Token, der seine Gültigkeit damit verliert.

Für die Authentisierung an der vom kiz betriebenen MFA-Lösung können ausschließlich vom kiz erzeugte oder verwaltete Tokens genutzt werden. Es ist nicht möglich dezentral erworbene Tokens oder Tokens von Dritten zu importieren.

An wen kann ich mich bei Problemen wenden?

Bei Problemen und Fragen wenden Sie sich bitte an: helpdesk(at)uni-ulm.de