1. (Valgfrit) Anskaf de nødvendige hardwarekomponenter
2. (Valgfrit) Forstå biometriske enheder og operativsystemindstillinger
3. Aktivér hardware-tofaktor-autentificering
4. Brugere registrerer deres enheder
Ud over den traditionelle login-mulighed med e-mail (brugernavn) og adgangskode tilbyder Provet Cloud også forskellige login-muligheder med nøgler. Disse funktioner bruger systemet WebAuthn.
hardware login option betyder, at man bruger fysiske tokens (nøgler) med en NFC-læser, der er tilsluttet en computer. Brugerne skal kun bruge nøglen og indtaste en 4-cifret pinkode for at få adgang til Provet Cloud i den enkleste konfiguration. Tokens og NFC-læsere leveres ikke af Provet Cloud, men skal købes separat. Dette er bedst egnet til delte arbejdsstationer i klinikken. Klinikken kan købe en NFC-læser til hver fælles arbejdsstation og sikkerhedsnøgler til alle medarbejdere, der har brug for adgang.
Med den biometriske loginmulighed kan brugerne udnytte biometriske enheder, som måske allerede er tilsluttet eller integreret i enheder, f.eks. en fingeraftrykslæser på en bærbar computer. Apples Face ID og Touch ID understøttes, og det samme gælder lignende funktioner på Windows 10-enheder. Brugerne skal kun bruge den biometriske metode og indtaste en 4-cifret pinkode for at få adgang til Provet Cloud i den enkleste konfiguration. Dette anbefales, hvis brugerne har personlige enheder, der understøtter biometrisk godkendelse.
Bemærk
Passkey-loginmulighederne er blevet testet med Chrome-browseren på macOS og Windows 10. Indstillingerne fungerer muligvis ikke korrekt med andre kombinationer af browsere og operativsystemer.
Hvis du vælger at opsætte hardware-sikkerhedsnøgler, skal du bruge kompatible NFC-enheder og sikkerhedsnøgler, som kan købes direkte hos producenterne eller i veludstyrede webshops. I teorien burde indbyggede NFC-læsere også fungere. Læserne skal være forbundet med arbejdsstationer, der har brug for funktionaliteten.
Feitian R502-CL er en smartcard/NFC-læser, der har vist sig at være kompatibel med kontaktløs WebAuthn-verifikation på Windows 10-enheder. Den er blevet testet med både Feitian og Yubico Security Key NFC-enheder.
Feitian-læseren anbefales, fordi den har:
-
Lavere pris (ca. 27 € vs. 40 €, ekskl. moms)
-
Længere ledning
-
Mangel på indbyggede højttalere (giver ikke lyd fra sig, når kort/taster læses)
Tip: Vi anbefaler at købe direkte fra Feitian for at få den lavest mulige pris.
ACS ACR1252U er en NFC-læser, der har vist sig at være velegnet til kontaktløs godkendelse ved hjælp af Windows 10. ACR1252U (Amazon-link) kan fås i forskellige e-butikker og lokale elektronikforretninger. Læseren skal tilsluttes computeren via en USB-forbindelse.
Autentificeringen sker, når en fysisk sikkerhedsnøgle læses af NFC-læseren. Alle brugere, der har brug for funktionen, skal have deres egen nøgle.
Security Key NFC fra Yubico er den anbefalede løsning til denne arbejdsgang. Nøglen understøtter både to-faktor-verifikation og logins uden adgangskode. NFC-varianterne kan også bruges med kompatible NFC-læsere, når man bruger Windows 10, eller med NFC-aktiverede smart-enheder som iPhones eller nyere Android-telefoner.
Yubico tilbyder en software, der hedder YubiKey Manager, som giver brugerne mulighed for at nulstille hardware-PIN-koden, nulstille hele enheden eller ændre, hvilke grænseflader sikkerhedsnøglen fungerer på (du kan f.eks. deaktivere NFC).
Bemærk, at der har været mange versioner af Security Keys, og at de ældste enheder ikke understøtter FIDO2 og derfor ikke kan bruges til autentificering uden adgangskode.
Det firma, der producerer den anbefalede NFC-læser, bygger også passende sikkerhedsnøgler. Yubico-nøglen anbefales her, fordi den giver bedre brugervenlighed - den logger ind næsten med det samme, når PIN-koden er indtastet, mens Feitian-nøglerne har en forsinkelse på 4 sekunder.
Hvis du vælger den biometriske løsning, skal du sørge for at forstå de forskellige enheders funktioner og begrænsninger.
Windows 10-computere kan bruges til to-faktor-verifikation eller login uden adgangskode ved hjælp af Windows Hello, der understøtter PIN-koder, ansigtsgenkendelse og fingeraftrykslæsning. Dette kan gøres enten via integreret hardware (f.eks. indbyggede læsere i bærbare computere) eller eksternt tilbehør (f.eks. webkameraer med Windows Hello-support).
Det anbefales ikke at bruge Windows Hello med delte Windows-brugerkonti. Det er fint at bruge en delt computer med separate Windows-brugerkonti.
Nøgleindstillingerne kan administreres i Indstillinger > Konti > Log ind-indstillinger. Her kan brugerne oprette eller ændre deres PIN-kode, administrere gemte fingeraftryk, se gemte legitimationsoplysninger (til godkendelse uden adgangskode), administrere Windows Hello-funktioner og andre funktioner.
VeriMark Pro Key annonceres som FIDO2-kompatibel fingeraftrykslæser. Den fungerer som en Windows Hello-godkender. Som sådan er den kun kompatibel med Windows 10-enheder.
Fingeraftryk skal først føjes til en Windows-konto, og først derefter kan de bruges til Provet Cloud-login. Det er ikke muligt at bruge forskellige fingeraftryk til at logge ind på forskellige Provet Cloud-konti fra en enkelt Windows-brugerkonto. I stedet skal hver bruger på en computer have sin egen Windows-konto, som de skal bruge til login.
Denne enhed anbefales, hvis du vil implementere Windows Hello-login på computere uden indbygget fingeraftrykslæser eller kompatibelt webkamera til ansigtsgenkendelse. Den bør ikke købes som en bærbar biometrisk sikkerhedsnøgle - den kommende YubiKey Bio ville være en bedre kandidat til denne type implementering. YubiKey Bio er i øjeblikket kun tilgængelig gennem et lukket preview-program.
Apples Face ID- og Touch ID-funktioner er tilgængelige til passkey-login og giver mulighed for henholdsvis ansigtsgenkendelse og fingeraftryk. Se manualen til din enhed for at se, hvilke funktioner der understøttes.
Google Chrome på Apple-enheder giver brugerne mulighed for at administrere deres webgodkendelser i Indstillinger > Privatliv og sikkerhed > Sikkerhed > Administrer sikkerhedsnøgler.
Det giver brugerne mulighed for at oprette eller ændre deres PIN-kode, administrere gemte fingeraftryk, se gemte legitimationsoplysninger (til godkendelse uden adgangskode) og nulstille enheden helt, hvis det er nødvendigt.
Hovedkontrolområdet kan tilgås fra Indstillinger > Brugere > Adgangskodeindstillinger. Der er to relevante indstillinger med flere tilstande at vælge imellem. Disse indstillinger gælder for hele organisationen.
Aktivér hardware-tofaktorgodkendelse (webgodkendelse) - Denne indstilling aktiverer både hardware- og biometrisk passkey-login.
Webgodkendelse - Dette giver dig mulighed for at vælge mellem de login-muligheder, der er beskrevet nedenfor.
Kun tofaktorbekræftelse - I denne tilstand skal brugerne indtaste deres e-mail (brugernavn) og adgangskode på normal vis for at logge ind OG bekræfte med en af de tilgængelige nøglemetoder.
To-faktor-verifikation og login uden adgangskode - I denne tilstand kan brugerne enten bruge deres e-mail (brugernavn) og adgangskode som login-metode på normal vis MED krav om yderligere verifikation ELLER kun logge ind ved hjælp af autentifikatoren (adgangskode-metoden er tilgængelig for dem).
Kun login uden adgangskode - I denne tilstand kan brugeren logge ind med e-mail (brugernavn) og adgangskode på normal vis ELLER kun bruge autentifikatoren (den tilgængelige nøglemetode).
|
Tilstand |
Login med e-mail og adgangskode |
Authenticator-login |
|
Kun to-faktor (standard) |
Muligt, autentificering påkrævet |
Ikke muligt |
|
To-faktor og uden adgangskode |
Muligt, autentificering påkrævet |
Det er muligt |
|
Kun uden adgangskode |
Muligt, autentificering ikke påkrævet |
Det er muligt |
Når tofaktorgodkendelsen er blevet aktiveret som beskrevet ovenfor, kan brugerne registrere nye enheder og administrere eksisterende fra deres brugerprofilside, som kan tilgås øverst til højre ved at vælge den menu, der åbnes fra deres brugernavn.
På brugerprofilsiden er der et afsnit, der hedder "Multifaktor-godkendelse". De kan se de registrerede enheder der eller tilføje en ny enhed ved hjælp af knappen 'Registrer enhed'.
De kan også fjerne eller redigere eksisterende autentifikatorer, men hvis man sletter en passkey-autentifikator, fjernes den ikke fra autentifikatorens hukommelse - der skal bruges andre, enhedsafhængige metoder til at slette legitimationsoplysningerne fra enheden, hvis det ønskes.
Adgangskode - Når de vælger at registrere en ny enhed, kommer der en ny dialog frem. For at tilføje en ny enhed skal de først bekræfte deres eksisterende Provet Cloud-brugeradgangskode for at kunne registrere en enhed.
Indstilling uden adgangskode - Dernæst kan de beslutte, om login skal være uden adgangskode eller ej. Dette anbefales af hensyn til brugervenligheden, men det fungerer måske ikke med alle enheder. Bemærk, at hvis den passwordløse indstilling er aktiveret, kan den ikke deaktiveres uden at fjerne og registrere enheden igen.
Godkendelsestype - Endelig kan de vælge, om de vil tilføje en bærbar godkender som YubiKey+NFC-læseren nævnt ovenfor, eller en godkender på enheden som en fingeraftrykslæser eller Face ID. Som der står i infoteksten, kan en bærbar autentificering flyttes mellem computere, men data fra en autentificering på enheden gemmes på selve enheden (Windows Hello, Apples Touch ID).
Kælenavn - Bemærk, at man også kan give enheden et kælenavn, men kun ved at redigere enheden efter den første registrering.
For at hjælpe brugere i tilfælde, hvor de bliver låst ude fra deres konto, hvis godkendelsen af en eller anden grund mislykkes, findes der en backupkodefunktion. Backup-koder er et sæt af 10 alfanumeriske koder med 8 tegn, hvor der skelnes mellem store og små bogstaver, som kan bruges til at omgå godkendelsessystemet efter korrekt indtastning af e-mail (brugernavn) og adgangskode.
Backup-koder kan genereres fra brugerens profilside. En knap til dette vises ved siden af knappen til registrering af enheder, når mindst én enhed er blevet tilføjet.
En dialog viser koderne og gør det også muligt at generere nye koder, hvis alle koderne er brugt eller kompromitteret. Backup-koderne skal opbevares eksternt på et sikkert, men let tilgængeligt sted for brugeren.
Bemærk
Indstillingen backupkode er ikke synlig på brugerprofilsiden, hvis indstillingen kun adgangskode bruges, da brugerne kan logge ind normalt med deres e-mail (brugernavn) og adgangskode, hvis enheden ikke er tilgængelig eller ikke fungerer.
Administratorer med brugeradministrationsrettigheder kan kontrollere og styre brugernes multifaktor-godkendelser ved at åbne en brugers profil fra Indstillinger > Brugere.
Ved at vælge 'Nulstil totrinsgodkendelsesoplysningerne' og gemme, fjernes alle brugerens enheder, og de kan begynde at gendanne deres opsætning ved at logge ind på normal vis med deres e-mail (brugernavn) og adgangskode.
Opdateret
Kommentarer
0 kommentarer
Log ind for at kommentere.