1. (Valinnainen) Tarvittavien laitteistokomponenttien hankkiminen
2. (Valinnainen) Biometristen laitteiden ja käyttöjärjestelmän vaihtoehtojen ymmärtäminen
3. Ota käyttöön laitteiston kaksitekijätodennus
4. Käyttäjät rekisteröivät laitteensa
Perinteisen sähköpostin (käyttäjätunnus) ja salasanan kirjautumisvaihtoehdon lisäksi Provet Cloud tarjoaa myös erilaisia salasanakirjautumisvaihtoehtoja. Nämä ominaisuudet käyttävät WebAuthn -järjestelmää.
laitteistokirjautumisvaihtoehto tarkoittaa fyysisten tunnisteiden (avainten) käyttöä tietokoneeseen liitetyn NFC-lukijan kanssa. Käyttäjien tarvitsee vain käyttää avainta ja syöttää nelinumeroinen pin-koodi päästäkseen Provet Cloudiin yksinkertaisimmassa kokoonpanossa. Provet Cloud ei tarjoa tunnuksia ja NFC-lukijoita, vaan ne on ostettava erikseen. Tämä soveltuu parhaiten klinikan yhteisiin työasemiin. Klinikka voi ostaa yhden NFC-lukijan jokaista jaettua työasemaa varten ja turva-avaimet kaikille työntekijöille, jotka tarvitsevat pääsyä.
biometrisen kirjautumisvaihtoehdon avulla käyttäjät voivat hyödyntää biometrisiä laitteita, jotka voivat olla jo liitettyinä tai integroituina laitteisiin, kuten kannettavan tietokoneen sormenjälkilukija. Applen Face ID ja Touch ID ovat tuettuja, samoin kuin Windows 10 -laitteiden vastaavat ominaisuudet. Yksinkertaisimmassa kokoonpanossa käyttäjien tarvitsee vain käyttää biometristä menetelmää ja syöttää nelinumeroinen pin-koodi päästäkseen Provet Cloudiin. Tätä suositellaan, jos käyttäjillä on henkilökohtaisia laitteita, jotka tukevat biometristä todennusta.
Huomaa
Passkey-kirjautumisvaihtoehtoja on testattu Chrome-selaimella macOS- ja Windows 10 -käyttöjärjestelmissä. Vaihtoehdot eivät välttämättä toimi oikein muilla selain- ja käyttöjärjestelmäyhdistelmillä.
Jos päätät ottaa käyttöön laitteiston turvaavainvaihtoehdot, tarvitset yhteensopivia NFC-laitteita ja turvaavaimia, joita voi ostaa suoraan valmistajilta tai hyvin varustetuista verkkokaupoista. Teoriassa myös sisäänrakennettujen NFC-lukulaitteiden pitäisi toimia. Lukijat on liitettävä työasemiin, jotka tarvitsevat toimintoa.
Feitian R502-CL on älykortin/NFC-lukija, jonka on todettu olevan yhteensopiva Windows 10 -laitteiden kosketuksettoman WebAuthn-varmennuksen kanssa. Se on testattu sekä Feitianin että Yubico Security Key NFC -laitteiden kanssa.
Feitian-lukijaa suositellaan, koska siinä on:
-
Alhaisempi hinta (n. 27 € vs. 40 €, ilman alv:tä).
-
Pidempi johto
-
Sisäänrakennettujen kaiuttimien puute (ei anna ääniä, kun kortteja/näppäimiä luetaan).
Vinkki: Suosittelemme ostamaan suoraan Feitianilta mahdollisimman edullisesti.
ACS ACR1252U on NFC-lukija, jonka on todettu soveltuvan kosketuksettomaan todennukseen Windows 10:llä. ACR1252U (Amazon-linkki) -laitetta pitäisi olla saatavilla eri verkkokaupoista ja paikallisista elektroniikkaliikkeistä. Lukija on liitettävä tietokoneeseen USB-liitännän avulla.
Todentaminen tapahtuu, kun NFC-lukija lukee fyysisen turvaavaimen. Kaikki käyttäjät, jotka tarvitsevat tätä toimintoa, tarvitsevat oman avaimensa.
Security Key NFC by Yubico on suositeltava vaihtoehto tähän työnkulkuun. Avain tukee sekä kaksitekijävarmennusta että salasanattomia kirjautumisia. NFC-vaihtoehtoja voidaan käyttää myös yhteensopivien NFC-lukijoiden kanssa, kun käytössä on Windows 10, tai NFC-yhteensopivien älylaitteiden, kuten iPhonen tai uudempien Android-puhelinten kanssa.
Yubico tarjoaa YubiKey Manager -nimisen ohjelmiston, jonka avulla käyttäjät voivat nollata laitteiston PIN-koodin, nollata koko laitteen tai vaihtaa, mihin liitäntöihin turvaavain toimii (voit esimerkiksi poistaa NFC:n käytöstä).
Huomaa, että Security Keys -avaimista on ollut useita versioita, ja vanhimmista laitteista puuttuu FIDO2-tuki, joten niitä ei voi käyttää salasanattomaan todennukseen.
Yritys, joka valmistaa suositellun NFC-lukijan, valmistaa myös sopivat turvaavaimet. Yubicon avainta suositellaan tässä yhteydessä, koska se tarjoaa paremman käytettävyyden - se kirjautuu sisään lähes välittömästi PIN-koodin antamisen jälkeen, kun taas Feitian avaimissa on 4 sekunnin viive.
Jos valitset biometrisen vaihtoehdon, varmista, että ymmärrät laitteen toiminnot ja rajoitukset.
Windows 10 -tietokoneissa voidaan käyttää kaksitekijävarmennusta tai salasanatonta kirjautumista Windows Hello -ohjelmalla, joka tukee PIN-koodeja, kasvojentunnistusta ja sormenjälkilukua. Tämä voidaan tehdä joko integroidun laitteiston (esim. kannettavien tietokoneiden sisäänrakennetut lukijat) tai ulkoisten lisävarusteiden (esim. Windows Hello -tuella varustetut webkamerat) avulla.
Windows Heliä ei suositella käytettäväksi jaettujen Windows-käyttäjätilien kanssa. Jaetun tietokoneen käyttäminen erillisillä Windows-käyttäjätileillä käy hyvin.
Tunnusavaimen asetuksia voi hallita kohdassa Asetukset > Tilit > Kirjautumisasetukset. Näin käyttäjät voivat määrittää tai muuttaa PIN-koodinsa, hallita tallennettuja sormenjälkiä, tarkastella tallennettuja tunnuksia (salasanattomaan todennukseen), hallita Windows Hello -toimintoja ja muita ominaisuuksia.
VeriMark Pro Key on mainostettu FIDO2-yhteensopivana sormenjälkilukijana. Se toimii Windows Hello -todentajana. Sinänsä se on yhteensopiva vain Windows 10 -laitteiden kanssa.
Sormenjäljet on ensin lisättävä Windows-tiliin, ja vasta sen jälkeen niitä voidaan käyttää Provet Cloud -kirjautumiseen. Ei ole mahdollista käyttää eri sormenjälkiä eri Provet Cloud -tileille kirjautumiseen yhdeltä Windows-käyttäjätililtä. Sen sijaan jokaisella tietokoneen käyttäjällä on oltava oma Windows-tili, jota heidän on käytettävä kirjautumiseen.
Tätä laitetta suositellaan, jos haluat ottaa Windows Hello -kirjautumisen käyttöön tietokoneissa, joissa ei ole sisäänrakennettua sormenjälkilukijaa tai yhteensopivaa web-kameraa kasvojentunnistusta varten. Sitä ei kannata hankkia kannettavaksi biometriseksi turva-avaimeksi - tuleva YubiKey Bio olisi parempi ehdokas tämäntyyppiseen toteutukseen. YubiKey Bio on tällä hetkellä saatavilla vain suljetun esikatseluohjelman kautta.
Applen Face ID- ja Touch ID -ominaisuudet ovat käytettävissä avainkirjautumista varten, ja ne tarjoavat kasvojen tunnistuksen ja sormenjäljen vaihtoehdot. Katso laitteesi käyttöoppaasta, mitä ominaisuuksia laite tukee.
Apple-laitteiden Google Chrome antaa käyttäjien hallita verkkotodentajiaan kohdassa Asetukset > Tietosuoja ja suojaus > Suojaus > Hallitse suojausavaimia.
Näin käyttäjät voivat määrittää tai muuttaa PIN-koodinsa, hallita tallennettuja sormenjälkiä, tarkastella tallennettuja tunnistetietoja (salasanattomaan todennukseen) ja tarvittaessa nollata laitteen kokonaan.
Päävalvonta-alueelle pääsee osoitteesta Asetukset > Käyttäjät > Salasana-asetukset. Siellä on kaksi asiaankuuluvaa asetusta, joista voi valita useita tiloja. Nämä asetukset koskevat koko organisaatiota.
Enable hardware two-factor authentication (Enable hardware two-factor authentication) (Ota käyttöön laitteiston kaksitekijätodennus (Web Authentication)) - Tämä asetus ottaa käyttöön sekä laitteiston että biometrisen salasana-avaimen kirjautumisvaihtoehdot.
Web Authentication mode - Tämän avulla voit valita alla kuvattujen kirjautumisvaihtoehtojen välillä.
Vain kahden tekijän vahvistus - Tässä tilassa käyttäjien on syötettävä sähköpostiosoitteensa (käyttäjätunnus) ja salasanansa normaalisti kirjautumista varten JA vahvistettava se jollakin käytettävissä olevalla salasanamenetelmällä.
Kahden tekijän vahvistus ja kirjautuminen ilman salasanaa - Tässä tilassa käyttäjät voivat joko käyttää sähköpostiosoitettaan (käyttäjätunnus) ja salasanaa kirjautumismenetelmänä normaalisti, jolloin vaaditaan lisävarmennusta TAI kirjautua sisään vain todentajan avulla (salasanamenetelmä käytettävissä).
Vain kirjautuminen ilman salasanaa - Tässä tilassa käyttäjä voi kirjautua sisään sähköpostilla (käyttäjänimi) ja salasanalla normaalisti TAI käyttää vain todentajaa (salasanamenetelmä).
|
Tila |
Sähköposti ja salasana kirjautuminen |
Todentajan kirjautuminen |
|
Vain kaksi tekijää (oletus) |
Mahdollista, autentikointi vaaditaan |
Ei mahdollista |
|
Kahden tekijän ja salasanattomuus |
Mahdollista, autentikointi vaaditaan |
Mahdollinen |
|
Vain ilman salasanaa |
Mahdollista, todentajaa ei tarvita |
Mahdollinen |
Kun kaksitekijätodennus on otettu käyttöön edellä kuvatulla tavalla, käyttäjät voivat rekisteröidä uusia laitteita ja hallita olemassa olevia laitteita käyttäjäprofiilisivultaan, johon pääsee oikeasta yläkulmasta valitsemalla käyttäjänimen kohdalta avautuvan valikon.
Käyttäjän profiilisivulla on osio "Monitekijätodennus". Käyttäjä voi nähdä siellä rekisteröidyt laitteet tai lisätä uuden laitteen painikkeella 'Rekisteröi laite'.
He voivat myös poistaa tai muokata olemassa olevia todentajia, mutta salasana-avaimen todentajan poistaminen ei poista sitä todentajan muistista - haluttaessa on käytettävä muita, laitteesta riippuvia menetelmiä tunnistetietojen poistamiseksi laitteesta.
Salasana - Kun käyttäjä päättää rekisteröidä uuden laitteen, näyttöön tulee uusi valintaikkuna. Uuden laitteen lisäämiseksi heidän on ensin vahvistettava nykyinen Provet Cloud -käyttäjän salasanansa, jotta he voivat rekisteröidä laitteen.
Salasanaton vaihtoehto - Seuraavaksi he voivat päättää, onko kirjautuminen salasanaton vai ei. Tätä suositellaan helppokäyttöisyyden vuoksi, mutta se ei välttämättä toimi kaikilla laitteilla. Huomaa, että jos salasanaton vaihtoehto on käytössä, sitä ei voi poistaa käytöstä poistamatta ja rekisteröimättä laitetta uudelleen.
Todentajan tyyppi - Lopuksi he voivat valita, lisäävätkö he kannettavan todentajan, kuten edellä mainitun YubiKey+NFC-lukijan, vai laitteessa olevan todentajan, kuten sormenjälkilukijan tai Face ID:n. Kuten infotekstissä sanotaan, kannettavaa todentajaa voidaan siirtää tietokoneiden välillä, mutta laitteessa olevan todentajan tiedot tallennetaan itse laitteeseen (Windows Hello, Applen Touch ID).
Lempinimi - Huomaa, että laitteelle voidaan antaa myös lempinimi, mutta vain muokkaamalla laitetta ensimmäisen rekisteröinnin jälkeen.
Varmuuskopiointikooditoiminto auttaa käyttäjiä tapauksissa, joissa heidän tilinsä on lukittu, jos todennus jostain syystä epäonnistuu. Varakoodit ovat joukko 10:tä 8-merkkistä aakkosnumeerista koodia, joita voidaan käyttää todentamisjärjestelmän ohittamiseen sen jälkeen, kun sähköpostiosoite (käyttäjänimi) ja salasana on syötetty oikein.
Varmuuskopiointikoodit voidaan luoda käyttäjän profiilisivulta. Tätä varten on laitteen rekisteröintipainikkeen vieressä painike, kun vähintään yksi laite on lisätty.
Dialogi näyttää koodit ja mahdollistaa myös uusien koodien luomisen, jos kaikki koodit on käytetty tai ne ovat vaarassa. Varakoodit olisi säilytettävä ulkoisesti turvallisessa, mutta käyttäjän helposti saatavilla olevassa paikassa.
Huomaa
Varmuuskopiointikoodivaihtoehto ei näy käyttäjän profiilisivulla, jos käytössä on vain salasana -vaihtoehto, sillä käyttäjät voivat kirjautua sisään normaalisti sähköpostilla (käyttäjänimi) ja salasanalla, jos laite ei ole käytettävissä tai se ei toimi.
Järjestelmänvalvojat, joilla on käyttäjähallintaoikeudet, voivat tarkistaa ja hallita käyttäjien monitekijätodentajia avaamalla käyttäjän profiilin osoitteesta Asetukset > Käyttäjät.
Kun valitset vaihtoehdon "Nollaa kaksivaiheisen todennuksen tiedot" ja tallennat, kaikki käyttäjän laitteet poistetaan ja hän voi aloittaa asetustensa palauttamisen kirjautumalla normaalisti sisään sähköpostilla (käyttäjänimi) ja salasanalla.
Päivitetty
Kommentit
0 kommenttia
Kirjaudu sisään jättääksesi kommentin.