2FA einrichten
Wir empfehlen für die Nutzung von 2FA die App DUODuo Mobile (dienstliches Mobiltelefon) oder entsprechende DUODuo Hardware-Token (wenn kein dienstliches Mobiltelefon vorhanden ist) für MA.
Es sind auch andere FIDO-Keys sowie(z.B. yubikeys) möglich, diese haben allerdings die Einschränkung das die Konfiguration und Nutzung für den VPN Zugang sehr aufwändig ist. Ebenfall ist die Verwendung von Biometriefunktionen (z.B. Apple Touch/Face-IDID, (Apple)Microsoft Hello möglich. Bei der Verwendugn von biometrischen Funktionen ist erhöhte aufmerksamkeit nötig, da dies zum Teil dann nur von einen Gerät möglich ist. Dafür ist diese Anleitung derzeit aber nicht ausgelegt.
Voraussetzung
Ist ihr Endgerät für die Nutzung der App DUODuo Mobile geeignet? Bitte überprüfen Sie dies im Zweifel noch mal selbst.
Die aktuelle Version (Stand 03.03.2023) von Duo Mobile unterstützt iOS14.0 oder höher und Android 10 oder höher. Die aktuellsten Informationen hierzu finden Sie auf den Seiten des Herstellers: https://guide.duo.com/#supported-devices
GITZ MA melden sich für die Teilnahme an der 2FA bei Frau Barte oder Herr Hentschel. (Siehe auch Nutzung / Testen von 2 FA für GITZ Mitarbeiter.) Man erhält eine Einladungsmail, sobald die Einrichtung erfolgt ist.
Nutzung der Duo APP
OWA
- Bitte öffnen Sie den Link https://mail.tu-braunschweig.de und melden sich normal mit Benutzerkennung und PW an.
- Als nächstes erscheint der Hinweis das eine Duo eine Push Nachricht an das hinterlegte Gerät gesendet hat.
Überprüfen Sie die Richtigkeit in der Duo App, achten Sie speziell auf die anfragende Applikation (OWA VPN) und auf Ihre Kennung unteres Feld.
VPN
Wer 2-Faktor-Authentifizierung bei der VPN-Anmeldung verwenden will, muss sich bei einem anderen VPN-Gateway anmelden als bisher. D.h. in dem Feld, in dem jetzt "SSL VPN" oder "vpngate.tu-bs.de" (o.ä.) steht, muss
firepower.rz.tu-bs.de
eingetragen werden. Dann wird normal die Benutzerkennung eingegeben.
Bei der Verwendung der Duo App wird nur das Passwort eingegeben, dann erfolgt eine Push-Nachricht an die APP die in dieser App bestätigt werden muss.
Nutzung des HW-Tokens
Wer einen Hardware-Token (Cisco DUODuo Token) erhalten hat, muss zur Verwendung des zweiten Faktors nichts weiter tun. Dieser wurde bereits mit der Benutzerkennung verknüpft und kann sofort für die Anmeldung bei OWA und VPN (über firepower.rz.tu-bs.de, s.u.) verwendet werden. Wer die DUODuo Mobile App verwenden will schaut weiter unten, wie dies beim ersten Mal eingerichtet wird.
OWA
- Bitte öffnen Sie den Link https://mail.tu-braunschweig.de und melden sich normal mit Benutzerkennung und PW an.
- Als nächstes öffnet sich ein erneutes Fenster, in dem Sie die per HW-Token generierte 6-stellige PIN eintragen:
VPN
Wer 2-Faktor-Authentifizierung bei der VPN-Anmeldung verwenden will, muss sich bei einem anderen VPN-Gateway anmelden als bisher. D.h. in dem Feld, in dem jetzt "SSL VPN" oder "vpngate.tu-bs.de" (o.ä.) steht, muss
firepower.rz.tu-bs.de
eingetragen werden. Dann wird normal die Benutzerkennung eingegeben.
Bei der Verwendung der Cisco DUO App wird nur das Passwort eingegeben, dann erfolgt eine Push-Nachricht an die APP die in dieser App bestätigt werden muss.
Bei der Abfrage des Passworts gibt man sein Passwort, bei Verwendung des DUODuo Hardwaretokens, gefolgt von einem Komma die generierte PIN ein.
So registrieren Sie ein Device in DUODuo
Wer keinen bereits registrierten HW-Token hat oder ohnehin die DUO App verwenden will, muss zunächst einen Onboarding-Prozess durchlaufen und den 2. Faktor konfigurieren. Hier wird es ggf. später ein vom GITZ zur Verfügung gestelltes Portal geben, in dem man zusätzlich auch den Verlust von Tokens usw. melden kann. Vorerst nutzen wir das Portal von Cisco Duo selbst. Das wird gestartet, wenn man sich erstmals bei Mail (OWA) anmeldet.
- Bitte öffnen Sie den Link https://mail.tu-braunschweig.de und melden sich normal mit Nutzerkennung und Passwort an.
- Es öffnet sich folgendes Fenster:
- Klicken Sie auf die Schaltfläche "Weiter" bis sich folgendes Fenster öffnet:
- Entscheiden Sie sich für die empfohlene Option „Duo Mobile".
ACHTUNG!!! Auf Ihrem Apple-Gerät wird Ihnen an dieser Stelle ggf. Touch ID / Face ID angeboten. Wenn Sie sich für diese Option entscheiden, können Sie sich zunächst nur noch mit diesem Gerät einloggen. Wir empfehlen daher dringend die Einrichtung der Duo Mobile App, da sie mit dieser auch andere Logins, z.B. VPN (VPN-Gateway "firepower.rz.tu-bs.de") bestätigen können.
- Entscheiden Sie sich für die Option "Duo Mobile", öffnet sich folgendes Fenster, in dem Sie die Telefonnummer Ihres Smartphones eingeben:
- Sollten Sie auf Ihrem Smartphone die genannte App "DUO Mobile" noch nicht installiert haben, folgen Sie der Anweisung und installieren Sie die App „DUO Mobile" auf ihrem Privat- oder Diensthandy. Nach erfolgreicher Installation klicken Sie auf „Nächster":
- Anschließend öffnet sich ein Fenster in dem ein QR-Code angezeigt wird. Dieses Fenster bitte offen stehen lassen und in die App "
DUODuo Mobile" auf ihrem Smartphone wechseln.
Mindestens ab hier brauchen wir für die Verbesserung der Anleitung nochmal Unterstützung durch bessere Screenshots und ggf. weitere Rückmeldungen. Unsere Erstregistrierung liegt schon länger zurück.... Bitte per Mail an noc@tu-braunschweig.de
- Öffnen Sie nun auf Ihrem Smartphone die App "
DUODuo Mobile" - wählen Sie "+Hinzufügen"
- wählen Sie "QR Code verwenden":
- Scannen Sie den im Webbroser angezeigten QR-Code mit der App „DUO Mobile"
- Fertig
Verwenden der DUODuo Mobile App im Alltag
Nach Registrierung des Smartphones müssen Sie dieses jederzeit zur Hand haben, wenn Sie sich bei Mail (OWA) oder VPN (firepower.rz.tu-bs.de) anmelden. Die Anmeldung bei beiden Diensten erfolgt dann wie üblich (Nutzername/Passwort eingeben), jedoch erhält man anschließend noch eine Push-Benachrichtigung auf seinem Smartphone, wo man die Anmeldung "genehmigt".
Erst nach Genehmigung der Anmeldung auf dem Smartphone wird die VPN-Verbindung hergestellt bzw. geht es bei OWA weiter.