Zwei-Faktor-Authentifizierung

Sicherheitsleitfaden
Version
R61 SP4
ft:lastEdition
2022-04-04
Zwei-Faktor-Authentifizierung

Bevor Sie beginnen: Die Zwei-Faktor-Authentifizierung kann, wie in den folgenden Abschnitten beschrieben, nur mit dem nativen Dayforce-Anmeldeverfahren verwendet werden. Sie wird in der mobilen App oder bei Single Sign-On (SSO) Anmeldeprozessen nicht unterstützt. Wenn Ihre Organisation SSO einsetzt, würde die zusätzliche Verifizierungsebene zu Ihrem SSO-/Netzwerk-Anmeldeprozess hinzugefügt werden. Da zwischen Dayforce und Ihrem Identitätsanbieter ein Vertrauensverhältnis besteht, akzeptiert Dayforce den authentifizierten Benutzer weiterhin, wenn sein Authentifizierungs-Token übergeben wird.

Die Zwei-Faktor-Authentifizierung (TFA) kann sowohl als „etwas wissen“ als auch als „etwas haben“ beschrieben werden. Ein Benutzer muss seinen Benutzernamen und sein Kennwort kennen, und er muss über ein Gerät verfügen, das auf ihn registriert ist. Bei der Zwei-Faktor-Authentifizierung melden sich Dayforce-Benutzer wie gewohnt bei der Anwendung an und werden dann aufgefordert, ihre Identität mithilfe eines auf sie registrierten Geräts zu überprüfen. Dies ist besonders nützlich für Benutzer, die Zugang zu sensiblen Aufgaben wie der Durchführung von Lohn- und Gehaltslisten haben könnten. Sie kann jedoch für jeden Benutzer aktiviert werden.

In den folgenden Themen finden Sie weitere Einzelheiten über die Verwendung der Zwei-Faktor-Authentifizierung mit Dayforce:

Duo Security – Übersicht

Dayforce verwendet Duo Security, einen Drittanbieter, für die Zwei-Faktoren-Authentifizierung. Um diese Funktionalität nutzen zu können, müssen Organisationen ein Konto bei Duo erstellen. Die Art des Kontos hängt von der Größe der Organisation ab. Dies wird zwischen Duo Security und der Organisation festgelegt.

Hinweis: Dayforce verwaltet keine Duo-Konten im Namen seiner Kunden. Kunden müssen ein Konto bei Duo erstellen und selbst verwalten, um die Zwei-Faktor-Authentifizierung zu nutzen.

Administratoren haben Zugriff auf ein Dashboard innerhalb ihres Duo-Kontos, wo sie eine Reihe von Aufgaben durchführen können, einschließlich der Verwaltung ihrer registrierten Benutzer und der Anpassung des geleiteten Prozesses von Duo.

Weitere Informationen über die Integration und die Dienste von Duo Security finden Sie unter https://www.duosecurity.com/.

Dienstleistungsvereinbarung

Ein Problem bei der Integration eines Drittanbieters während des Anmeldevorgangs ist, dass Dayforce von der Verfügbarkeit dieses Drittanbieters abhängig ist. Wenn die Drittpartei offline ist, kann möglicherweise nicht auf Dayforce zugegriffen werden (siehe Abschnitt unten zum Thema Fail Open vs. Fail Closed).

Duo veröffentlicht seine Dienstleistungsvereinbarung unter https://www.duosecurity.com/sla. Laut Mathew Varghese von Duo beträgt die Betriebszeit seit der Gründung 99,995 %. In letzter Zeit wurden Verbesserungen vorgenommen, um die Betriebszeit zu erhöhen, z. B. können jetzt Upgrades durchgeführt werden, ohne das System offline zu setzen.

Einrichten eines Duo-Security-Kontos

Bevor Sie die Zwei-Faktor-Authentifizierung aktivieren können, müssen Sie zunächst ein Konto bei Duo Security einrichten, dieses Konto für den entsprechenden API-Zugang aktivieren und die Zugangsschlüssel generieren. Diese APIs werden von Dayforce verwendet, um Benutzern die Anmeldung mithilfe des von Duo bereitgestellten UI-Workflow-Prozesses zur erstmaligen Registrierung von Benutzern und zur Authentifizierung bei nachfolgenden Anmeldungen zu ermöglichen.

Der Typ des Duo Security-Kontos hängt von der Größe Ihrer Organisation ab und muss von Ihnen und Duo Security vereinbart werden.

Es ist wichtig, dass das Konto die Web-SDK-Integration und die Admin API-Integration unterstützt. Zum Zeitpunkt der Erstellung dieses Artikels ist dies ein Duo Security „Enterprise“-Konto. Sie müssen Duo Security bitten, die speziell die Admin-API-Integration speziell zu aktivieren, da sie nicht standardmäßig aktiviert ist. Duo tut dies, weil die Aktivierung es Kunden ermöglichen kann, große und irreversible Änderungen an ihrem Konto programmatisch vorzunehmen. Dayforce verwendet die Admin-API-Integration, um die Zwei-Faktor-Authentifizierungsfunktion auf dem Bildschirm der Benutzerverwaltung zu aktivieren.

Web-SDK-Integration

Diese Integration ist erforderlich, um Benutzern die Anmeldung mithilfe des von Duo bereitgestellten UI-Workflow-Prozesses zur erstmaligen Registrierung von Benutzern und zur Authentifizierung bei nachfolgenden Anmeldungen zu ermöglichen.

Admin-API-Integration

Diese Integration wird benötigt, um auf der Benutzerverwaltungsseite Funktionen zum Zurücksetzen (Löschen) von Benutzern im Duo-System zu ermöglichen. Diese Integration wird auch auf der Admin-Seite verwendet, wo die TFA-Konfigurationsschlüssel eingegeben werden, um zu überprüfen, ob die Schlüssel korrekt sind.

Erstellen der Dayforce-Anwendung in Duo Security

Nachdem Ihr Duo Security-Konto erstellt wurde, müssen Sie die Dayforce-Anwendung und die API-Integration innerhalb von DUO Security konfigurieren.

Erstellen der Webanwendung

  1. Klicken Sie im Menü Duo Security auf Anwendungen.
  2. Klicken Sie auf Eine Anwendung schützen und gehen Sie wie folgt vor:
    1. Wählen Sie Web-SDK und klicken Sie auf Diese Anwendung schützen.
    2. Geben Sie Dayforce-Web als Anwendungsname ein.
    3. Überprüfen Sie die Einstellungen der Anwendung. Vergewissern Sie sich, dass im Abschnitt Richtlinie die Option Erfordert Anmeldung ausgewählt ist. Die anderen Einstellungen müssen auf ihren Standardwerten bleiben.
    4. Erstellen Sie ein Dokument mit Ihrer Textverarbeitungsanwendung und kopieren/fügen Sie den Integrationsschlüssel, den geheimen Schlüssel und den API-Hostnamen in dieses Dokument ein. Sie benötigen diese Schlüssel, um Dayforce einzurichten.
    5. Klicken Sie auf Änderungen speichern.

Erstellen der Admin-API-Anwendung

  1. Klicken Sie im Menü Duo Security auf Anwendungen.
  2. Klicken Sie auf Eine Anwendung schützen und gehen Sie wie folgt vor:
    1. Suchen Sie Admin-API und wählen Sie Diese Anwendung schützen.
    2. Geben Sie Dayforce Admin als Anwendungsname ein.
    3. Aktivieren Sie Ressource zum Lesen gewähren und Ressource zum Schreiben gewähren.
    4. Kopieren Sie den Integrationsschlüssel und den geheimen Schlüssel und fügen Sie sie in das von Ihnen erstellte Dokument ein. Der API-Hostname ist derselbe, die anderen Schlüssel sind jedoch einmalig. Sie benötigen diese Schlüssel, um Dayforce einzurichten.
    5. Belassen Sie alle Einstellungen auf ihren Standardwerten und klicken Sie auf Änderungen speichern.

Wichtig: Die Schlüssel, die Sie in dem von Ihnen erstellten Dokument gespeichert haben, sind vertraulich. Sie sollten wie Passwörter behandelt und sicher gespeichert werden.

Aktivieren der Zwei-Faktoren-Authentifizierung in Dayforce

Die Zwei-Faktor-Authentifizierung wird auf der Ebene der Kennwortrichtlinie aktiviert, sodass sie nur für einige Benutzer eingeschaltet werden kann. Nachdem Sie die erforderlichen Duo Security-Schlüssel generiert haben, können Sie die Zwei-Faktor-Authentifizierung in Dayforce aktivieren.

So aktivieren Sie die Zwei-Faktor-Authentifizierung in Dayforce:

  1. Navigieren Sie zu Systemadministrator > Kennwortrichtlinie.
  2. Klicken Sie auf die Registerkarte 2-Faktor-Authentifizierung.
  3. Kopieren Sie die Schlüssel, die Sie in Duo generiert haben, und fügen Sie sie in die entsprechenden Felder ein:
  4. Hinweis: Die unten abgebildeten Schlüssel sind nur Beispiele.
  6. Durch das Hinzufügen dieser Schlüssel wird Dayforce mit dem Duo-Konto der Organisation integriert. Dieser Vorgang muss nur einmal durchgeführt werden.
  7. Klicken Sie auf Testschlüssel, um die Schlüssel zu überprüfen.
  8. Klicken Sie auf Speichern.
  9. Klicken Sie auf die Registerkarte Kennwortrichtlinie.
  10. Wählen Sie die Kennwortrichtlinie aus, für die Sie die Zwei-Faktoren-Authentifizierung aktivieren möchten.
  11. Aktivieren Sie im Abschnitt 2-Faktor-Authentifizierung das Kontrollkästchen Zwei-Faktoren-Erfordernis:
  12. Screenshot showing the Require Two Factors checkbox being clicked.
  13. Wählen Sie im selben Abschnitt eine der folgenden Optionen aus dem Kontrollkästchen Zwei-Faktor-Fehlermöglichkeit:
    • Wenn Sie die Option Offen wählen: In dem seltenen Fall, dass der TFA-Anbieter nicht erreichbar ist, können sich die Benutzer trotzdem nur mit ihrem Benutzernamen und ihrem Kennwort anmelden.
    • Wenn Sie die Option Geschlossen wählen: Wenn der Provider nicht erreichbar ist, können sich die Benutzer nicht anmelden, bis der Provider wieder erreichbar wird.
  14. Hinweis: Um den Netzwerkverkehr zu kontrollieren, pingt Dayforce Duo einmal alle fünf Minuten an und speichert dann das Ergebnis. Dies bedeutet, dass eine fünfminütige Verzögerung auftreten kann, bevor Dayforce erkennt, dass sich die Verfügbarkeit von Duo geändert hat. Wenn Duo nach einem erfolgreichen Ping, aber vor der Verifizierung des Geräts eines Benutzers nicht mehr verfügbar ist, kann sich der Benutzer nicht mehr anmelden. Dies entspricht der Auswahl der Geschlossen.
  15. Wiederholen Sie die Schritte 7 bis 9 für alle weiteren Kennwortrichtlinien, für die Sie die Zwei-Faktor-Authentifizierung aktivieren möchten.
  16. Klicken Sie auf Speichern.

Benutzererfahrung

Wenn sich Benutzer zum ersten Mal mithilfe von TFA anmelden, müssen sie einen Selbstregistrierungsprozess durchlaufen, der von Duo und seinem Web-SDK bereitgestellt wird. Es gibt sowohl ein „klassisches“ als auch ein „neues“ Anmeldemodul. Sie können mithilfe der Konfigurationseinstellungen in Ihrem Duo-Konto auswählen, welches Sie verwenden möchten. Die Hauptunterschiede zwischen dem „klassischen“ und dem „neuen“ Anmeldemodul bestehen darin, dass der „neue“ Prozess es dem Benutzer ermöglicht, mehrere Geräte anzumelden und mehr Hilfsfunktionen bietet.

Der Prozess ist in die Benutzeroberfläche der Anwendung eingebettet, sodass sich die Benutzer nicht separat bei Duo anmelden müssen:

Hinweis: Der Kontoname (im Screenshot oben als „Ceridian“ dargestellt) kann auf der Duo-Administrationsseite konfiguriert werden. Sie können ihn auch mit dem Logo Ihrer Organisation versehen.

Für die Benutzer besteht der Anmeldeprozess aus der Auswahl des zu registrierenden Gerätetyps, z. B. Mobiltelefon, Tablet oder Festnetztelefon, und der anschließenden Registrierung der Telefonnummer des Geräts. Sobald ein Benutzer in TFA registriert ist, ist er für alle Versionen von Dayforce registriert. Wenn sich der Benutzer beispielsweise in Version 56 registriert, muss er sich nicht erneut registrieren, wenn er zu Version 57 wechselt.

Nach der Registrierung müssen die Benutzer beim Einloggen mit den TFA-Prozess mit ihrem Gerät abschließen:

Nach der Authentifizierung werden die Benutzer bei der Anwendung angemeldet.

Hinweis: Diese Funktion wird nicht für die mobilen Anwendungen oder die Kunden-Stellenangebotsseite der Funktion „Personalbeschaffung“ unterstützt.

Zurücksetzen oder Entfernen von Benutzern in Duo Security

In manchen Situationen müssen Sie einen Benutzer zurücksetzen oder aus dem Duo-System entfernen. Dazu gehören Benutzer, die Ihre Organisation verlassen haben, oder Benutzer, die ihr Gerät gewechselt haben und sich neu anmelden müssen. In den meisten dieser Fälle müssen Sie sich im Duo Security Administrationsportal anmelden und diese Aktionen im Bereich Benutzer durchführen.

Es gibt einige wenige Szenarien, in denen Benutzer mit aktivierter TFA in ihren Kennwortrichtlinien automatisch aus Duo Security gelöscht werden. Die sind folgende Szenarien:

  • Ein Administrator löscht den Benutzer manuell unter Systemadministrator > Benutzer.
  • Der Arbeitnehmer wird beim HR-Import als ausgeschieden aktualisiert.
  • Der Arbeitnehmerstatus im Benutzerkonto setzt den Arbeitnehmer auf „nicht genehmigt“ (d. h. das Kontrollkästchen Genehmigt unter Systemadministrator > Benutzer wird deaktiviert).
  • Hinweis: Durch manuelle Deaktivieren des Kontrollkästchens Genehmigt unter Systemadministrator > Benutzer löscht den Benutzer nicht aus DUO Security

Dayforce löscht ausgeschiedene Benutzer nicht automatisch aus Duo Security, wenn sie einer Beendigungsrolle zugewiesen sind, da sie in diesem Fall in Systemadministrator > Benutzer immer noch auf „genehmigt“ gesetzt sind.