1. (Valfritt) Förvärva nödvändiga hårdvarukomponenter
2. (Valfritt) Förstå biometriska enheter och operativsystemets alternativ
3. Enable Hardware Two-Factor Authentication (Aktivera tvåfaktorsautentisering för maskinvara)
4. Användare registrerar sina enheter
Förutom det traditionella inloggningsalternativet med e-post (användarnamn) och lösenord erbjuder Provet Cloud också olika inloggningsalternativ med nyckel. Dessa funktioner använder WebAuthn system.
Inloggningsalternativet hardware innebär att man använder fysiska tokens (nycklar) med en NFC-läsare ansluten till en dator. Användarna behöver bara använda nyckeln och ange en fyrsiffrig pinkod för att få tillgång till Provet Cloud i den enklaste konfigurationen. Token och NFC-läsare tillhandahålls inte av Provet Cloud utan måste köpas separat. Detta lämpar sig bäst för delade arbetsstationer på kliniken. Kliniken kan köpa en NFC-läsare för varje delad arbetsstation och säkerhetsnycklar för alla anställda som behöver åtkomst.
Med biometriska inloggningsalternativ kan användare utnyttja biometriska enheter som kanske redan är anslutna eller integrerade i enheter, t.ex. en fingeravtrycksläsare på en bärbar dator. Apples Face ID och Touch ID stöds, liksom liknande funktioner på Windows 10-enheter. Användare behöver bara använda den biometriska metoden och ange en fyrsiffrig pinkod för att få tillgång till Provet Cloud, i den enklaste konfigurationen. Detta rekommenderas om användarna har personliga enheter som stöder biometrisk autentisering.
Notera
Passkeys inloggningsalternativ har testats med webbläsaren Chrome på macOS och Windows 10. Alternativen kanske inte fungerar korrekt med andra kombinationer av webbläsare och operativsystem.
Om du väljer att konfigurera alternativen för säkerhetsnycklar för hårdvara behöver du kompatibla NFC-enheter och säkerhetsnycklar som kan köpas direkt från tillverkare eller välutrustade webbshoppar. I teorin bör inbyggda NFC-läsare också fungera. Läsarna ska vara anslutna till de arbetsstationer som behöver funktionen.
Feitian R502-CL är en smartcard/NFC-läsare som har visat sig vara kompatibel med kontaktlös WebAuthn-verifiering på Windows 10-enheter. Den har testats med både Feitian och Yubico Security Key NFC-enheter.
Feitian Reader rekommenderas eftersom den har det:
-
Lägre pris (ca 27 € jämfört med 40 €, exkl. moms)
-
Längre sladd
-
Avsaknad av inbyggda högtalare (ger inte ifrån sig ljud när kort/nycklar läses)
Tips: Vi rekommenderar att du köper direkt från Feitian för lägsta möjliga kostnad.
ACS ACR1252U är en NFC-läsare som har visat sig vara lämplig för kontaktlös autentisering med Windows 10. ACR1252U (Amazon-länk) bör finnas tillgänglig i olika e-butiker och lokala elektronikaffärer. Läsaren måste anslutas till datorn med hjälp av en USB-anslutning.
Autentiseringen sker genom att en fysisk säkerhetsnyckel läses av NFC-läsaren. Alla användare som behöver funktionen behöver en egen nyckel.
Security Key NFC från Yubico är det rekommenderade alternativet för detta arbetsflöde. Nyckeln stöder både tvåfaktorsverifiering och lösenordslösa inloggningar. NFC-varianterna kan också användas med kompatibla NFC-läsare när du använder Windows 10, eller med NFC-aktiverade smarta enheter som iPhones eller nyare Android-telefoner.
Yubico erbjuder en programvara som heter YubiKey Manager som gör det möjligt för användare att återställa PIN-koden för hårdvaran, återställa hela enheten eller ändra vilka gränssnitt säkerhetsnyckeln fungerar på (du kan t.ex. inaktivera NFC).
Observera att det har funnits många versioner av Security Keys, och att de äldsta enheterna saknar FIDO2-stöd och därför inte kan användas för lösenordslös autentisering.
Det företag som tillverkar den rekommenderade NFC-läsaren tillverkar också lämpliga säkerhetsnycklar. Yubico-nyckeln rekommenderas här eftersom den ger bättre användbarhet - den loggar in nästan omedelbart efter att PIN-koden har angetts, medan Feitian-nycklarna har en fördröjning på 4 sekunder.
Om du väljer det biometriska alternativet, se till att du förstår funktionerna och begränsningarna för varje enhet.
Windows 10-datorer kan användas för tvåfaktorsverifiering eller lösenordslös inloggning med hjälp av Windows Hello som stöder PIN-koder, ansiktsigenkänning och fingeravtrycksläsning. Detta kan göras antingen genom integrerad hårdvara (t.ex. inbyggda läsare i bärbara datorer) eller externa tillbehör (t.ex. webbkameror med Windows Hello-stöd).
Windows Hello rekommenderas inte att användas med delade Windows-användarkonton. Det går bra att använda en delad dator med separata Windows-användarkonton.
Inställningarna för passerkort kan hanteras i Inställningar > Konton > Inloggningsalternativ. Här kan användare ställa in eller ändra sin PIN-kod, hantera lagrade fingeravtryck, visa sparade referenser (för lösenordsfri autentisering), hantera Windows Hello-funktioner och andra funktioner.
VeriMark Pro Key marknadsförs som en FIDO2-kompatibel fingeravtrycksläsare. Den fungerar som en Windows Hello autentiserare. Som sådan är den endast kompatibel med Windows 10-enheter.
Fingeravtryck måste först läggas till på ett Windows-konto och först därefter kan de användas för inloggning på Provet Cloud. Det går inte att använda olika fingeravtryck för att logga in på olika Provet Cloud-konton från ett och samma Windows-användarkonto. Istället måste varje användare på en dator ha sitt eget Windows-konto som de måste använda för inloggning.
Den här enheten rekommenderas om du vill implementera Windows Hello-inloggning på datorer som saknar inbyggd fingeravtrycksläsare eller kompatibel webbkamera för ansiktsigenkänning. Den bör inte köpas som en bärbar biometrisk säkerhetsnyckel - den kommande YubiKey Bio skulle vara en bättre kandidat för denna typ av implementering. YubiKey Bio är för närvarande endast tillgänglig genom ett slutet förhandsgranskningsprogram.
Apples Face ID- och Touch ID-funktioner är tillgängliga för inloggning med passkey och erbjuder alternativ för ansiktsigenkänning respektive fingeravtryck. Se bruksanvisningen till din enhet för att se vilka funktioner som stöds.
Med Google Chrome på Apple-enheter kan användare hantera sina webbautentiserare i Inställningar > Sekretess och säkerhet > Säkerhet > Hantera säkerhetsnycklar.
Detta gör det möjligt för användare att ställa in eller ändra sin PIN-kod, hantera lagrade fingeravtryck, visa sparade referenser (för lösenordsfri autentisering) och helt återställa enheten vid behov.
Huvudkontrollområdet kan nås från Inställningar > Användare > Lösenordsinställningar. Där finns två relevanta inställningar, med flera olika lägen att välja mellan. Dessa inställningar gäller för hela organisationen.
Enable hardware two-factor authentication (Web Authentication) - Den här inställningen aktiverar både hårdvara och biometriska inloggningsalternativ med passkey.
Web Authentication mode - Detta gör att du kan välja mellan de inloggningsalternativ som beskrivs nedan.
Endast tvåfaktorsverifiering - I det här läget måste användarna ange sin e-postadress (användarnamn) och sitt lösenord normalt för inloggning OCH verifiera med en av de nyckelmetoder som finns tillgängliga för dem.
Tvåfaktorsverifiering och lösenordslös inloggning - I det här läget kan användarna antingen använda sin e-post (användarnamn) och lösenord som inloggningsmetod normalt MED ytterligare verifiering krävs ELLER logga in med enbart autentiseringsverktyget (lösenordsmetod tillgänglig för dem).
Endast lösenordslös inloggning - I det här läget kan användaren logga in med e-post (användarnamn) och lösenord på vanligt sätt ELLER bara använda autentiseringsverktyget (lösenordsmetoden som är tillgänglig för dem).
|
Läge |
Inloggning med e-post och lösenord |
Autentiseringsinloggning |
|
Endast två faktorer (standard) |
Möjligt, autentisering krävs |
Inte möjligt |
|
Tvåfaktors- och lösenordslös |
Möjligt, autentisering krävs |
Möjligt |
|
Endast lösenordslös |
Möjligt, autentisering krävs inte |
Möjligt |
När tvåfaktorsautentiseringen har aktiverats enligt beskrivningen ovan kan användarna registrera nya enheter och hantera befintliga enheter från sin användarprofilsida som kan nås längst upp till höger genom att välja menyn som öppnas från användarnamnet.
På sidan med användarprofilen finns ett avsnitt som heter "Multi-factor authentication". Där kan användaren se de registrerade enheterna eller lägga till en ny enhet med hjälp av knappen "Registrera enhet".
De kan också ta bort eller redigera befintliga autentiserare, men om du tar bort en autentiserare med passkey tas den inte bort från autentiserarens minne - andra, enhetsberoende metoder måste användas för att ta bort referenser från enheten om så önskas.
Lösenord - När de väljer att registrera en ny enhet kommer en ny dialog upp. För att lägga till en ny enhet måste de först bekräfta sitt befintliga Provet Cloud-användarlösenord för att kunna registrera en enhet.
Lösenordslöst alternativ - Därefter kan de bestämma om inloggningen ska vara lösenordslös eller inte. Detta rekommenderas för att underlätta användningen, men det kanske inte fungerar med alla enheter. Observera att om det lösenordsfria alternativet är aktiverat kan det inte inaktiveras utan att enheten tas bort och registreras på nytt.
Typ av autentiserare - Slutligen kan du välja om du vill lägga till en portabel autentiserare som YubiKey+NFC-läsaren som nämns ovan, eller en autentiserare på enheten som en fingeravtrycksläsare eller Face ID. Som det står i informationstexten kan en bärbar autentiserare flyttas mellan datorer, medan uppgifterna i en autentiserare på enheten lagras på själva enheten (Windows Hello, Apples Touch ID).
Smeknamn - Observera att ett smeknamn också kan ges till enheten, men endast genom att redigera enheten efter den första registreringen.
För att hjälpa användare som blir utelåsta från sitt konto om autentiseringen av någon anledning misslyckas finns en funktion för säkerhetskopieringskoder. Säkerhetskoder är en uppsättning av 10 alfanumeriska koder med 8 tecken som kan användas för att kringgå autentiseringssystemet efter att användaren har angett sin e-postadress (användarnamn) och sitt lösenord korrekt.
Säkerhetskoder kan genereras från användarens profilsida. En knapp för detta visas bredvid knappen för enhetsregistrering när minst en enhet har lagts till.
En dialog visar koderna och gör det också möjligt att generera nya koder om alla koder har använts eller äventyrats. Säkerhetskoderna bör lagras externt, på en säker men lättillgänglig plats för användaren.
Notera
Alternativet backupkod är inte synligt på användarprofilsidan om alternativet endast lösenord används eftersom användare kan logga in normalt med sin e-postadress (användarnamn) och sitt lösenord om enheten inte är tillgänglig eller inte fungerar.
Administratörer med användarhanteringsrättigheter kan kontrollera och styra användarnas multifaktorautentiserare genom att öppna en användares profil från Inställningar > Användare.
Genom att välja alternativet "Återställ informationen för tvåstegsautentisering" och spara tas alla användarens enheter bort och de kan börja återställa sina inställningar genom att logga in normalt med sin e-post (användarnamn) och sitt lösenord.
Uppdaterad
Kommentarer
0 kommentarer
logga in för att lämna en kommentar.