Hardwaretoken für VPN und RWTH Single Sign-On (HOTP)
Der Hardwaretoken für VPN und RWTH Single Sign-On (HOTP) wird mit einem physischen Sicherheitsschlüssel (z.B. YubiKey) genutzt.
1. Voraussetzung zur Einrichtung dieses Tokens:
- Sie besitzen einen Hardware Sicherheitsschlüssel (Hardwaretoken).
- Kompatibel mit beiden Token-Arten "Hardwaretoken für VPN und RWTH Single Sign-On (HOTP)" und "Hardwaretoken für RWTH Single Sign-On (WebAuthn/FIDO2)" sind z.B. YubiKeys, Nitrokeys (Pro 2 und 3) und ausgewählte Feitian Keys.
- Zur Einrichtung dieses Tokens muss der Sicherheitsschlüssel mindestens das Protokoll OTP (one time password) unterstützen.
- Sie haben eine passende Manager-App für Ihren Sicherheitsschlüssel installiert (z.B. YubiKey Manager).
Video-Tutorial zur Tokeneinrichtung für VPN.
Schritt 1
Stecken Sie Ihren Sicherheitsschlüssel in einen USB-Slot an Ihrem PC ein.
Schritt 2
Rufen Sie den Tokenmanager auf.
Falls Sie bereits einen oder mehrere Token eingerichtet haben, werden Sie aufgefordert, einen Einmal Sicherheitscode einzugeben.
Bitte wählen Sie den Token aus dem Drop-Down-Menü aus, den Sie verwenden möchten und geben den Einmal Sicherheitscode passend zum Token ein.
Schritt 3
Klicken Sie dann auf Weiter.
Schritt 4
Klicken Sie im Tokenmanager unten links auf den blauen Button Erstellen.
Schritt 5
Wählen Sie als Art des Tokens Hardwaretoken für VPN und RWTH Single Sign-On (HOTP).
Schritt 6
klicken Sie auf Weiter.
Schritt 7
Tragen Sie eine eindeutige Beschreibung für den Sicherheitsschlüssel ein (z.B. Mein HOTP-Schlüssel für VPN).
Dies hilft Ihnen dabei Token unterscheiden zu können, besonders wenn Sie mehrere Token angelegt haben.
Unter Erweiterte Optionen können Sie die Länge des Sicherheitscodes anpassen. Voreingestellt sind 6 Zeichen, was auch nicht verändert werden muss.
Stellen Sie nur sicher, dass die Länge der Einmal Sicherheitscodes im Tokenmanager und in der Manager-App gleich eingestellt sind.
Schritt 8
Klicken Sie dann auf Erstellen.
Schritt 9
Kopieren Sie den Code unter Token-Geheimnis und navigieren Sie in die Manager-App für Ihren Sicherheitsschlüssel. Behalten Sie den RWTH Tokenmanager im Hintergrund offen.
Schritt 10
Navigieren Sie in der Manager-App zur OTP-Konfiguration Ihres Sicherheitsschlüssels.
Im YubiKey Manager über Applications (1) > OTP (2).
Schritt 11
Wählen sie dann Configure. Entweder unter Slot 1 (links) für kurzes antippen oder unter Slot 2 (rechts) für langes halten.
Falls bereits ein Slot für eine andere Anwendung (z. B. Bitwarden oder ähnliches) verwendet wird, können Sie den jeweils anderen Slot auswählen, damit die Konfiguration nicht gelöscht wird.
Schritt 12
Wählen Sie im nächsten Fenster OATH-HOTP.
Schritt 13
Fügen Sie das kopierte Token-Geheimnis in das entsprechende Feld (1) in der Manager App ein.
Stellen Sie sicher, dass die Länge der Einmal Sicherheitscodes (2) im Tokenmanager und in der Manager-App gleich eingestellt sind.
Voreingestellt sind 6 Zeichen, was auch nicht verändert werden muss.
Schritt 14
Klicken Sie dann auf Finish (3).
Schritt 15
Sobald Sie in der Manager App fertig sind, kehren Sie in den Tokenmanager zurück und klicken Sie in den grauen Bereich unter Token Bestätigen / Sicherheitscode.
Tippen Sie nun mit Ihrem Finger auf Ihren Sicherheitsschlüssel. Beim Yubikey auf die kreisförmige goldene Aussparung mit dem Y darauf.
Sofern Slot 1 (links) gewählt wurde tippen Sie einmal kurz, sofern Slot 2 (rechts) gewählt wurde, halten Sie den Sicherheitsschlüssel gedrückt.
Es sollte automatisch ein Sicherheitscode eingetragen werden, welcher für die Bestätigung des Tokens gebraucht wird.
Schritt 16
Durch die Eingabe des Sicherheitscodes sollte der Prozess automatisch abgeschlossen und die Übersicht der erstellten Token angezeigt werden.
Ist dies nicht der Fall, klicken Sie im Tokenmanager manuell auf Abschließen.
Sollte es jetzt eine Fehlermeldung geben ist leider irgendwo im Prozess ein Fehler unterlaufen. Bitte überprüfen Sie noch einmal ob Sie korrekt kurz getippt (Slot 1) oder lange gehalten (Slot 2) haben.
Falls die Fehlermeldung bestehen bleibt klicken Sie auf Abbrechen und löschen Sie in der Übersicht im Tokenmanager alle Token, welche ganz rechts kein grünes Steckersymbol besitzen.
Starten Sie den Prozess dann bitte noch einmal neu. Achten Sie darauf, das in der Manager App und im Tokenmanager die Länge des Sicherheitscodes gleich gewählt sind.
Bei Fragen oder bestehenden Problemen wenden Sie sich bitte an die Kolleg*innen vom IT-ServiceDesk.
Um einen Sicherheitsschlüssel nach erfolgreicher Einrichtung für die MFA zu verwenden, stecken Sie diesen in den USB Port Ihres Gerätes ein und tippen Sie mit dem Finger darauf, wenn Sie die Aufforderung zur Eingabe von einem Einmal Sicherheitscode von der Anwendung erhalten.
Beim Yubikey auf die kreisförmige goldene Aussparung mit dem Y darauf. Sofern Slot 1 (links) gewählt wurde tippen Sie einmal kurz, sofern Slot 2 (rechts) gewählt wurde, halten Sie den Sicherheitsschlüssel gedrückt.
3. Synchronisierung (optional)
Sollten die Einmal Sicherheitscodes des Sicherheitsschlüssels nicht mehr zur Authentifizierung funktionieren, können Sie das Hardwaretoken im Tokenmanager synchronisieren.
Dazu benötigen Sie aber mindestens ein anderes funktionierendes Token, normalerweise die Backup Tan Liste, um in den Tokenmanager zu gelangen.
Schritt 1
Klicken Sie auf der Übersichtsseite im Tokenmanager auf den Button Synchronisieren rechts neben der Tokenart.
Schritt 2
Geben Sie zwei direkt nacheinander generierte Einmal Sicherheitscodes in die Felder (1) und (2) ein, indem Sie in die Felder klicken und mit dem Finger auf Ihren Sicherheitsschlüssel tippen oder diesen halten (Je nach Konfiguration in Schritt 15).
Schritt 3
Die Synchronisierung erfolgt automatisch und das Fenster schließt sich. Ist dies nicht der Fall, klicken Sie bitte manuell auf Token Synchronisieren (3).
Falls der Sicherheitsschlüssel weiter nicht akzeptiert wird, können Sie diesen noch in der Übersicht löschen, müssen die Einrichtung dann aber erneut vornehmen.
Bei Fragen oder Problemen wenden Sie sich bitte an die Kolleg*innen vom IT-ServiceDesk.
