FAQ - Multifaktor-Authentifizierung (MFA)
Für folgende Services ist MFA verpflichtend:
- RWTH Single Sign-On
- Einrichtung von MFA über den Tokenmanager im IdM Selfservice
- Anleitung: Einrichtung von MFA für den Single Sign-On
- VPN
- Einrichtung der MFA über den Tokenmanager im IdM Selfservice.
- Anleitung: Einrichtung von MFA für VPN
- HPC
- Einrichtung der MFA über die RegApp
- Anleitung: Einrichtung von MFA über die RegApp
Für folgende Services ist MFA optional:
- M365
- Einrichtung von MFA über den M365-Account
- Anleitung: MFA für M365 aktivieren
- sciebo
- Einrichtung von MFA über das sciebo-Webinterface
- Anleitung: Authenticator App (TOTP) für sciebo
- GitLab
- Einrichtung von MFA über den GitLab-Account
- Anleitung: Authenticator App (TOTP) für GitLab
zuletzt geändert am 11.12.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Aktuell werden folgende Tokenarten unterstützt. Dabei können mehrere oder alle Tokenarten gleichzeitig genutzt werden:
- Hardwaretoken
- Biometrische Daten
- Authenticator App
- TAN-Liste (Einmal Sicherheitscode)
- Muss zum Einrichten der Multifaktor-Authentifizierung einmal angelegt werden
- Nur als Backup Token empfohlen
- E-Mail
- Kann nicht als zweiter Faktor für die VPN Nutzung verwendet werden
- Kann trotzdem als zweiter Faktor für die RWTH Single Sign-On Anmeldung verwendet werden
*Zur Nutzung empfohlen.
zuletzt geändert am 15.05.2025
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
- Um alle Tokenarten für die Multifaktor-Authentifizierung nutzen zu können, muss ein Hardwaretoken mindestens die Protokolle HOTP und WebAuthn/FIDO2 unterstützen.
- HOTP für die Verwendung als Hardwaretoken für VPN und RWTH Single Sign-On (HOTP)
- WebAuthn/FIDO2 für die Verwendung als Hardwaretoken für RWTH Single Sign-On (WebAuthn/FIDO2)
- Alternativ kann auch ein mobiles Endgerät, das biometrische Daten erfassen kann als Hardwaretoken für RWTH Single Sign-On (WebAuthn/FIDO2) verwendet werden
- Mit dem Protokoll HOTP kann nur eine der beiden Tokenarten erstellt, aber auf alle RWTH Dienste mit Multifaktor-Authentifizierung zugegriffen werden. Ein Hardwaretoken das nur das HOTP Protokoll unterstützt ist theoretisch ausreichend.
- Der Hersteller der Hardwaretoken spielt keine Rolle.
- YubiKeys, Nitrokeys (Pro 2 und 3) und ausgewählte Feitian Keys sind Beispiele für Sicherheitsschlüssel die verwendet werden können.
- Ggf. muss zusätzliche Software zur Verknüpfung der Hardwaretoken mit dem Tokenmanager heruntergeladen werden. Bei Komplikation damit wenden Sie sich bitte an die Bereitsteller
zuletzt geändert am 15.05.2025
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Mitarbeitende der RWTH Aachen University können YubiKeys, Hardwaretoken der Marke Yubiko, von Ihrer Einrichtung erhalten, sofern diese Hardwaretoken zur Verfügung stellt und noch vorrätig hat.
Bitte wenden Sie sich in Ihrer Einrichtung an Ihre vorgesetzte Person oder an eine Person mit der Rolle "Bestellung IT".
Neben den zur Verfügung gestellten YubiKeys können auch eigene Sicherheitsschlüssel genutzt werden. Der Hersteller ist egal.
Bitte stellen Sie sicher, dass selbst erworbene Sicherheitsschlüssel mindestens die Protokolle HOTP und WebAuthn/FIDO2 unterstützen, wenn Sie diesen für alle geschützten Services der RWTH verwenden wollen.
zuletzt geändert am 15.05.2025
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Aktuell werden an der RWTH die folgenden Hardwaretoken-Standards angeboten:
Hardwaretoken basieren auf verschiedenen technischen Standards.
WebAuthn/FIDO2 ist der am weitesten verbreitete Standard für Webservices und wird daher für den RWTH Single Sign-On verwendet.
Aus technischen Gründen ist dieser Standard für VPN nicht einsetzbar. Daher wurde zusätzlich der Standard HOTP (HMAC-based One-time Password Algorithmus) eingeführt, um auch VPN mit dem aktuell sichersten Token schützen zu können.
zuletzt geändert am 11.12.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Es ist derzeit leider nicht möglich, einen Token als Standard festzulegen.
Allerdings wird der bei RWTH Single Sign-On zuletzt verwendete Token in einem Cookie in Ihrem Browser hinterlegt und dann bei der Anmeldung im Dropdown-Menü vorausgewählt.
Damit das verlässlich (auch über den Browser-Neustart hinweg) funktioniert, müssen Sie Ihre Browsereinstellungen anpassen.
Microsoft Edge
- Melden Sie sich an einer SSO-geschützten Plattform an (z.B. Selfservice oder RWTHmoodle).
- Wählen Sie aus dem Dropdown-Menü den Token aus, den Sie als Standard festlegen möchten.
- Klicken Sie auf die drei Punkte oben rechts.
- Klicken Sie auf Einstellungen.
- Klicken Sie auf Datenschutz, Suche und Dienste.
- Klicken Sie auf Wählen Sie aus, was beim Schließen des Browsers gelöscht werden soll.
- Klicken Sie auf Cookies und andere Websitedaten.
- Klicken Sie neben "Nicht löschen" auf Hinzufügen.
- Geben Sie unter "Website hinzufügen" ein: https://sso.rwth-aachen.de
Firefox
- Melden Sie sich an einer SSO-geschützten Plattform an (z.B. Selfservice oder RWTHmoodle).
- Wählen Sie aus dem Dropdown-Menü den Token aus, den Sie als Standard festlegen möchten.
- Klicken Sie auf die drei Zeilen oben rechts.
- Klicken Sie auf Einstellungen.
- Klicken Sie auf Datenschutz & Sicherheit.
- Klicken Sie unter "Cookies und Website-Daten" auf Ausnahmen verwalten.
- Geben Sie unter "Adresse der Website" ein: https://sso.rwth-aachen.de
- Klicken Sie auf Erlauben.
- Klicken Sie auf Änderungen speichern.
zuletzt geändert am 27.02.2025
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Manche Dienste wie GitLab bieten im Dienst selbst die Konfiguration eines zweiten Faktors an.
Wenn der Dienst über RWTH Single-Sign-On authentifiziert, werden erst vom IdentityProvider Benutzername und Passwort und ein 2. Faktor abgefragt.
Danach erfolgt die unabhängige Abfrage eines zweiten Faktors durch den Dienst selbst.
Soweit technisch möglich kann der zweite Faktor im jeweiligen Dienst deaktiviert werden.
zuletzt geändert am 04.03.2025
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Warum funktionieren meine Token nicht?
Eine häufige Ursache ist, dass der Token nicht gültig ist. Gründe hierfür können sein, dass:
- der Token deaktiviert ist, oder
- bei der Einrichtung ein Fehler unterlaufen ist, oder
- bei Benutzung der TAN-Liste (Einmal Sicherheitscodes) alle Sicherheitscodes verbraucht wurden, oder
- bei der Benutzung eines Hardwareschlüssels ein veralteter Token verwendet wird.
Was kann ich tun?
- Wenn Sie einen anderen Token haben, löschen Sie den nicht funktionierenden Token.
- Wenn Sie kein Token mehr haben, folgen Sie bitte der Anleitung Token verloren.
Wichtig: Bitte setzen Sie immer mindestens zwei Token, um im Zweifel nicht mehr funktionierende Token zurücksetzen zu können.
zuletzt geändert am 11.12.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz