Logo
Über Nutzer-Doku Admin-Doku FAQ
DE | FR | EN

Häufig gestellte Fragen

Wie wird die MFA für Schüler:innen zur Nutzung freigegeben?

Es ist keine zusätzliche Freigabe/Aktivierung erforderlich. Sobald die MFA eingerichtet und die Code-Karte bereitgestellt ist, kann sie direkt genutzt werden.

Wie integriert ein IT-Administrator neue Schüler:innen?

Die MFA wird auf dem Entra ID Mandanten eingerichtet. Alle Benutzer, welche Mitglied der MFA-Sicherheitsgruppe sind, können den Code-Karten-MFA-Dienst nutzen.

Ist es sicher, eine 10x5 Code-Karte zu verwenden?

Eine 10x5 Code-Karte enthält 50 Codes, woarus bei jedem Versuch zufällig ein Code ausgewählt wird. Dadurch ist es unwahrscheinlich, dass ein Angreifer den Code erraten kann. Die maximale Kartengrösse ist 10x10.

Können unterschiedliche Code-Längen, Spalten und Zeilen je Schüler:in festgelegt werden?

Ja, jede:r Schüler:in kann eine individuell angepasste Karte mit variierenden Code-Längen haben. Diese Flexibilität erlaubt Anpassungen an individuelle Bedürfnisse.

Wie lange dauert es, Codes für 20'000 Schüler:innen zu generieren?

SHA512 für 20'000 Codes = ~3,5 Stunden bei 10x5. Batch-Grösse: 100 => ~60 Sekunden.

Wie sollten die Code-Karten verteilt werden?

Die Code-Karten sollten über eine zuverlässige, nicht-elektronische Methode verteilt werden, z.B. über einen vertrauenswürdigen Postdienst.

Was passiert, wenn eine Code-Karte gestohlen wird?

Wenn eine Code-Karte gestohlen wird, kann sie sofort über die Schülerverwaltungs-API invalidiert werden.

Wie wird eine bestehende Code-Karte ersetzt?

Wenn eine neue Code-Karte erstellt wird, wird die bisherige Code-Karte des entsprechenden Benutzers automatisch invalidiert.

Wie werden die Codes gespeichert?

Die Codes werden gehasht und nur der HASH wird gespeichert: Rfc2898DeriveBytes.Pbkdf2 unter Verwendung des SHA512-Algorithmus.

Wie werden Authentifizierungsangriffe verhindert?

Die Anzahl der Versuche ist pro Sitzung auf drei begrenzt, um Brute-Force-Angriffe zu verhindern.

Welche Berechtigungen benötigt die multi-Mandaten App Registrierung für die externe Authentifizierungsmethode?

Bei der Registrierung der App wird lediglich der delegierte Zugriff auf die Profildaten des Nutzers beantragt. Das bedeutet, dass die App nur die Erlaubnis hat, auf die Profilinformationen des Nutzers zuzugreifen. Dazu gehören z.B. der Name, die E-Mail-Adresse sowie andere grundlegende Details, die vom Nutzer genehmigt wurden. Über diesen Umfang hinaus werden keine weiteren Berechtigungen oder Datenzugriffe angefordert.

Wie werden die Zertifikate verwendet, um die OpenID Connect Server Token zu signieren?

Die Verschlüsselungs- und Signierzertifikate werden direkt aus einem sicheren Azure Key Vault erstellt und verwendet. Der Azure Key Vault ist nicht über das Internet erreichbar.

Kann eine Objekt ID (OID), welche einen Benutzer repräsentiert, in verschiedenen Mandanten existieren?

Nein. Jede OID kann nur in einem einzigen Mandanten existieren.

Sollte ein:e Schüler:in die Möglichkeit haben, andere MFA-Authentifizierungsmethoden zusätzlich zum Code-Karten-MFA-Dienst zu verwenden?

Es wird nicht empfohlen, mehrere MFA-Authentifizierungsmethoden zu unterstützen, wenn die Code-Karten-MFA verwendet wird. Dies kann nämlich zu einer schlechten Benutzererfahrung in der Microsoft Entra ID Oberfläche führen.

Werden Bildschirmlesegeräte unterstützt?

Ja, die MFA-Benutzeroberfläche bietet vollständige Unterstützung für Bildschirmlesegeräte und entspricht den statischen WCAG-Standards.