Zwei-Faktor-Authentifizierung für VPN

In einigen Bereichen der zentralen Verwaltung ist für die Nutzung des Cisco Secure Clients (VPN) ein zweiter Verifikationsschritt, neben der Anmeldung mit dem UniAccount, nötig. Diese sogenannte "Zwei-Faktor-Authentifizierung" erhöht die Sicherheit und ist über eine App (NetIQ Advanced Authenticator) für das Smartphone nutzbar.

Unter bestimmten Umständen ist es möglich, anstelle der NetIQ App für das Smartphone ein Hardware-Token für die Authentifizierung der VPN-Anmeldung zu nutzen.

Sie werden von der oder dem IT-Beauftragten Ihrer Abteilung informiert, falls Sie von dieser Änderung betroffen sind. Falls Sie keine entsprechende Benachrichtigung erhalten, ändert sich für Sie bei der VPN Anmeldung nichts.

Bitte haben Sie Verständnis dafür, dass wir Sie nicht auf Anfrage für die Zwei-Faktor-Authentifizierung freischalten können.

Einrichtung der NetIQ Advanced Authentication App

Die Installation der benötigten App ist nur auf Android 10 oder höher bzw. iOS 10 oder höher möglich.

Rufen Sie auf dem Smartphone, auf dem die App installiert werden soll, den Link < uni-kassel.de/go/2fa > auf.

(öffnet Vergrößerung des Bildes)

Wählen Sie auf der Website die Option "Klicken, um Smartphone-Authenticator für Android/iOS herunterzuladen und zu installieren/click to download and install Smartphone Authenticator for Android/iOS" aus. Sie werden in den Play/AppStore weitergeleitet. Installieren Sie dort die "NetIQ Advanced Authentication" App.

Beim ersten Start der App werden Sie dazu aufgefordert, eine PIN festzulegen. Wählen Sie hier eine beliebige PIN aus. Falls Ihr Smartphone selbst schon per PIN o.ä. geschützt ist, können Sie die PIN-Abfrage anschließend innerhalb der App unter "Einstellungen -> PIN" wieder deaktivieren.

Andernfalls muss die PIN bei jedem Start der App eingegeben werden.

(öffnet Vergrößerung des Bildes)

Nachdem die App installiert ist, rufen Sie den Link uni-kassel.de/go/2fa erneut auf. Wählen Sie jetzt "Zum Registrieren klicken/click to enroll" aus.
Die App öffnet sich nun automatisch. Melden Sie sich hier mit Ihrem UniAccount (z.B. uk012345) und dem dazugehörigen Passwort an.

(öffnet Vergrößerung des Bildes)

Die Authenticator App ist nun eingerichtet und zeigt unter "Registrierte Authenticators" Ihren UniAccount an. Sie können nun die Zwei-Faktor-
Authentifizierung für die VPN-Anmeldung nutzen.

(öffnet Vergrößerung des Bildes)

Klicken Sie nun auf "Speichern". Es erscheint ein QR-Code, welchen Sie in der NetIQ Authentication-App scannen können. Klicken Sie dazu in der App unten rechts auf das Plus-Icon.

Womöglich müssen Sie dafür der App erlauben, die Smartphonekamera zu nutzen.

(öffnet Vergrößerung des Bildes)

Nachdem der QR-Code erfolgreich gescannt wurde, ist Ihr Account in der NetIQ App im Bereich "Registierte Authenticators" hinterlegt und Sie können Ihre zukünftigen VPN-Anmeldungen auf diesem Wege verifizieren.

(öffnet Vergrößerung des Bildes)

Nutzung der NetIQ Advanced Authentication App

Nach der Einrichtung Ihres UniAccounts in der NetIQ Advanced Authenticator App ist es nötig, die Anmeldung des Accounts beim Cisco Anyconnect VPN Client in der App zu bestätigen.

Melden Sie sich dazu wie gewohnt mit Ihrem UniAccount und dem dazugehörigen Passwort beim VPN Client an. Nachdem Sie auf "Connect" klicken, werden Sie noch nicht direkt angemeldet.

Der VPN Client zeigt "Contacting vpn.uni-kassel.de" an.

(öffnet Vergrößerung des Bildes)

Stattdessen bestätigen Sie die Anmeldung nun in der App. Falls Sie Benachrichtigungen für die NetIQ App aktiviert haben, können Sie die Anmeldung über die Push-Benachrichtigung bestätigen. Andernfalls öffnen Sie die NetIQ App und bestätigen den Login im Reiter "Authentifizierungsanforderungen".

(öffnet Vergrößerung des Bildes)
(öffnet Vergrößerung des Bildes)
(öffnet Vergrößerung des Bildes)

Wenn die Authentifizierung mittels der NetIQ App nach 60 Sekunden nicht erfolgt ist, verfällt der Loginversuch und es ist eine erneute Anmeldung beim VPN Client nötig.

Nachdem der Login bestätigt wurde, wird die VPN Verbindung automatisch wie gewohnt hergestellt.

Vorgehen bei Handyverlust/Handywechsel

Vorgehen bei Defekt/Diebstahl/Verlust

Falls Ihr Smartphone defekt/gestohlen/verloren ist, ist es nötig, den Authenticator den betroffenen Gerätes administrativ zu entfernen.

Bitte kontaktieren Sie dazu den IT-Servicedesk. Es ist ein kurzes Videoident-Verfahren per Zoom nötig, um Ihre Identität zu überprüfen. Im Anschluss wird der Authenticator des alten Gerätes entfernt und Sie werden per E-Mail benachrichtigt, sobald Sie ihn auf einem neuen Gerät einrichten können.

Vorgehen bei Handywechsel

Falls Sie Ihr Smartphone wechseln wollen, können Sie entweder das Verfahren wie unter "Defekt/Diebstahl/Verlust" beschrieben nutzen oder Sie können Sie den Authenticator selbst auf das neue Gerät übertragen.

Dazu müssen Sie sich unter Verwendung des alten Gerätes bei der Zwei-Faktor-Verwaltung anmelden und dann das neue Smartphone registrieren.

Die NetIQ-App muss auf dem neuen Smartphone manuell aus dem App-/Playstore installiert werden! Bei der automatischen Installation per Einrichtungsassistent ("Apps vom alten Gerät automatisch auf neuem Gerät installieren") kommt es ansonsten zu einem Fehler während der PIN-Vergabe.

Sollte die App auf Ihrem neuen Gerät automatisch installiert worden sein, deinstallieren und reinstallieren Sie sie bitte.

Nachdem Sie die NetIQ-App manuell auf dem neuen Smartphone installiert haben, fügen Sie die Authentifizierung neu hinzu:

Melden Sie sich mit einem PC/Notebook auf < https://auth.its.uni-kassel.de/account > mit Ihrem UniAccount und Passwort an.

Für diese Anmeldung ist eine Verifizierung per NetIQ App (mit dem alten Smartphone) nötig.

Klicken Sie nach der Anmeldung bei dem registrierten Authentificator auf die Kachel "Smartphone".

(öffnet Vergrößerung des Bildes)
(öffnet Vergrößerung des Bildes)

Klicken Sie anschließend auf "Speichern".

Es wird ein QR-Code angezeigt, den Sie mit der NetIQ-App auf dem neuen Smartphone einlesen müssen.

Klicken Sie dazu unten rechts in der NetIQ-App auf das "+"-Zeichen.

(öffnet Vergrößerung des Bildes)

Einrichtung des Hardware-Tokens

Unter bestimmten Umständen ist es möglich, anstelle der NetIQ App für das Smartphone ein Hardware-Token für die Authentifizierung der VPN-Anmeldung zu nutzen. Bitte wenden Sie sich hierzu an die oder den IT-Beauftragte:n Ihrer Abteilung.

Sie erhalten im Anschluss ein Hardware-Token, welches Sie auf der Website für Ihren Account registrieren können.

(öffnet Vergrößerung des Bildes)

Rufen Sie für die Registrierung des Tokens die Website < https://auth.its.uni-kassel.de > auf. Melden Sie sich hier mit Ihrem UniAccount (z.B. uk012345) und dem dazugehörigen Passwort an.

(öffnet Vergrößerung des Bildes)

Klicken Sie nach der Anmeldung auf die Kachel "TOTP".

Bitte beachten Sie, dass Ihnen diese Kachel nur angezeigt wird, wenn Sie für die Nutzung des Hardware-Tokens freigeschaltet sind.

(öffnet Vergrößerung des Bildes)

Geben Sie nun die Seriennummer Ihres Hardware-Tokens ein. Sie finden diese auf der Rückseite des Tokens unterhalb des Barcodes.

Drücken Sie anschließend auf den roten Powerbutton auf der Vorderseite des Tokens neben dem Display. Ihnen wird nun ein sechstelliges Einmal-Passwort angezeigt. Geben Sie dieses auf der Website in das entsprechende Feld ein.

Klicken Sie nun auf "Speichern".

(öffnet Vergrößerung des Bildes)

Das Hardware-Token ist nun registriert und kann für die Zwei-Faktor-Authentifizierung verwendet werden. Über die Kachel "TOTP" in der Kategorie "Registrierte Authenticators" können Sie die Funktion des Tokens testen. Klicken Sie dafür auf "Testen" und geben Sie im Anschluss die Zahlenfolge des Tokens auf der Website ein.

Nutzung des Hardware-Tokens

Geben Sie bei der Anmeldung im VPN-Client zuerst wie gewohnt Ihre UniAccount Nutzerkennung und das Passwort ein.

Klicken Sie noch nicht auf OK!

Durch das Drücken des Knopfes auf dem Token wird eine sechsstellige PIN erzeugt. Geben Sie nun direkt hinter dem eingegebenen Passwort ein "&"-Zeichen gefolgt von der PIN ein (also z.B. insgesamt für das Feld Password "IhrUniAccountPasswort&123456").  Klicken Sie anschließend auf "OK".

Sie werden danach wie gewohnt per VPN angemeldet.

(öffnet Vergrößerung des Bildes)

Dieses Vorgehen ist bei jedem Login im Cisco Secure Client (VPN) nötig.

Vorgehen bei Verlust/Defekt des Tokens

Falls das Token verloren gegangen/defekt ist, kontaktieren Sie bitte die oder den IT-Beauftragte:n Ihrer Abteilung.

Go-Link dieser Seite:www.uni-kassel.de/go/2fa-info