User Tools
userzone:security:2fa
Differences
This shows you the differences between two versions of the page.
| Next revision | Previous revision | ||
|
userzone:security:2fa [2020/06/24 12:20] roel created |
userzone:security:2fa [2020/10/19 18:33] (current) roel [2FA configuratie instellingen door centraal beheerders] |
||
|---|---|---|---|
| Line 6: | Line 6: | ||
| Door het instellen van 2FA worden uw gebruikers geautoriseerd voor het koppelen van hun smartphone aan hun GemsTracker account en gaat hun smartphone als tweede factor werken voor het inloggen op een GemsTracker site. Hun inlog naam en wachtwoord blijft de eerste factor authenticatie die met deze procedure niet wijzigt. De standaard instelling in GemsTracker is dat na het aanzetten en aanmelden van deze 2FA, de 2FA alleen gevraagd zal worden buiten het locale netwerk. Binnen het locale netwerk fungeert het interne IP adres als 2FA.\\ | Door het instellen van 2FA worden uw gebruikers geautoriseerd voor het koppelen van hun smartphone aan hun GemsTracker account en gaat hun smartphone als tweede factor werken voor het inloggen op een GemsTracker site. Hun inlog naam en wachtwoord blijft de eerste factor authenticatie die met deze procedure niet wijzigt. De standaard instelling in GemsTracker is dat na het aanzetten en aanmelden van deze 2FA, de 2FA alleen gevraagd zal worden buiten het locale netwerk. Binnen het locale netwerk fungeert het interne IP adres als 2FA.\\ | ||
| Belangrijk:\\ | Belangrijk:\\ | ||
| - | Iemand kan een smartphone alleen koppelen als hij of zij op een PC ingelogd is in GemsTracker, binnen het locale netwerk. Ook via “mijn werkplek” is de ervaring tot nu toe dat dit goed verloopt. | + | Iemand kan een smartphone alleen koppelen als hij of zij op een PC ingelogd is in GemsTracker, binnen het locale netwerk. Ook via een VPN omgeving zoals “mijn werkplek” is de ervaring tot nu toe dat dit goed verloopt. |
| - | Wijzigt de smartphone dan zal deze koppeling binnen het netwerk opnieuw ingesteld moeten worden (zie de gebruiker handleiding). | + | Wijzigt de smartphone dan zal deze koppeling binnen het netwerk<sup>1</sup> opnieuw ingesteld moeten worden (zie de gebruiker handleiding). |
| - | ==== 2FA instellen voor gebruikers ==== | + | ==== 2FA instellen voor eindgebruikers door key-users/administrators ==== |
| - Log in op de GemsTracker omgeving van uw project | - Log in op de GemsTracker omgeving van uw project | ||
| * Log in op een PC in het locale netwerk | * Log in op een PC in het locale netwerk | ||
| Line 25: | Line 25: | ||
| - | ==== 2FA herstellen / uitschakelen voor een gebruiker ==== | + | ==== 2FA herstellen / uitschakelen voor een eindgebruiker door key-users/administrators==== |
| - Wat als iemand niet kan inloggen met 2FA | - Wat als iemand niet kan inloggen met 2FA | ||
| * Gebruikt deze persoon misschien verschillende GemsTracker accounts? De 2FA is specifiek voor elk project. | * Gebruikt deze persoon misschien verschillende GemsTracker accounts? De 2FA is specifiek voor elk project. | ||
| Line 34: | Line 34: | ||
| * Met behulp van de “Reset 2FA” knop kan kunt u bij een account de 2FA uitzetten, zodat iemand de 2FA opnieuw kan instellen. (vanaf versie 1.8.7, sept 2019). | * Met behulp van de “Reset 2FA” knop kan kunt u bij een account de 2FA uitzetten, zodat iemand de 2FA opnieuw kan instellen. (vanaf versie 1.8.7, sept 2019). | ||
| * Indien nodig kan de gebruiker via Citrix inloggen en de 2FA opnieuw instellen. | * Indien nodig kan de gebruiker via Citrix inloggen en de 2FA opnieuw instellen. | ||
| - | * Indien dit niet mogelijk is zal de gebruiker alleen kunnen inloggen op het locale netwerk en daar opnieuw de 2FA activeren. | + | * Indien dit niet mogelijk is zal de gebruiker alleen kunnen inloggen op het locale netwerk<sup>1</sup> en daar opnieuw de 2FA activeren. |
| ==== 2FA configuratie instellingen door centraal beheerders ==== | ==== 2FA configuratie instellingen door centraal beheerders ==== | ||
| - | Toelichting: deze sectie kan door local administrators gecontroleerd worden, maar zij kunnen rollen niet aanpassen (groepen wel). Het is een taak voor centraal beheerders (superadmins) om dit goed te configureren. Om te zorgen dat de 2FA goed instelbaar is voor key-users moet de configuratie van GemsTracker goed zijn ingesteld. Dit moet op 2 niveaus: ten eerste op rol-niveau om het recht op 2FA in te stellen, ten tweede op groep-niveau om de IP-adres toegang te configureren. | + | Toelichting: deze sectie kan door local administrators gecontroleerd worden, maar zij kunnen rollen niet aanpassen (groepen wel). Het is een taak voor centraal beheerders (superadministrators) om dit goed te configureren. Om te zorgen dat de 2FA goed instelbaar is voor key-users moet de configuratie van GemsTracker goed zijn ingesteld. Dit moet op 2 niveaus: ten eerste op rol-niveau om het recht op 2FA in te stellen, ten tweede op groep-niveau om de IP-adres toegang te configureren. |
| - Log in op de GemsTracker omgeving van uw project | - Log in op de GemsTracker omgeving van uw project | ||
| * Log in op een PC in het locale netwerk | * Log in op een PC in het locale netwerk | ||
| Line 60: | Line 60: | ||
| Pas dit aan indien dit niet precies zo is ingesteld. U gebruikt dus alleen de optionele IP adres reeksen. Instellen van een lokale IP reeks bij de eerste regel overruled de optionele instellingen, waardoor men toch niet buiten de toegestane IP reeks kan inloggen met 2FA. | Pas dit aan indien dit niet precies zo is ingesteld. U gebruikt dus alleen de optionele IP adres reeksen. Instellen van een lokale IP reeks bij de eerste regel overruled de optionele instellingen, waardoor men toch niet buiten de toegestane IP reeks kan inloggen met 2FA. | ||
| + | <sup>1</sup> Dit is ook op te lossen door een extra rol en groep (bijv. AccountValidation) te maken met minimale privileges: alleen voor het wijzigen van het eigen account, en met open toegang. Na instellen van de 2FA door de gebruiker zelf kan de gebruiker aan de administrator vragen in de juiste groep geplaatst te worden.\\ | ||
| + | ^ account ^ role ^ group ^ privacysettings in group^ | ||
| + | |account not validated| {{:userzone:security:2fa_roleexample.png?direct&300|}}|{{:userzone:security:2fa_groupexample.png?direct&300|}}|{{:userzone:security:2fa_group_privacysettings.png?direct&300|}} | | ||
| + | |account validated (e.g. staff)| |{{:userzone:security:2fa_group_extstaff.png?direct&300|}}|{{:userzone:security:2fa_group_stafprivacysettings.png?direct&300|}}| | ||
| + | And don't forget this: {{:userzone:security:2fa_super_dontforget.png?direct&500|}} | ||
userzone/security/2fa.1592994057.txt.gz · Last modified: 2020/06/24 12:20 by roel
