Nach oben

Multi-Faktor-Authentifizierung mit ArcGIS

Multi-Faktor-Authentifizierung (MFA) bezeichnet die Verwendung mehrerer Methoden, Anmeldeinformationen oder Faktoren zur Überprüfung der Identität eines Benutzers oder Clients, der versucht, sich bei einem System zu authentifizieren. Im Gegensatz dazu beruht die Ein-Faktor-Authentifizierung auf einer einzigen Authentifizierungsmethode, z. B. einem Kennwort. Mithilfe der Multi-Faktor-Authentifizierung kann sichergestellt werden, dass gestohlene Anmeldeinformationen oder Secrets allein nicht ausreichen, um die Identität eines Benutzers anzunehmen.

Bei einem Faktor kann es sich um beliebige feststellbare, überprüfbare Daten handeln. Im einfachsten Fall handelt es sich um ein Kennwort. Ein Faktor kann aber auch eine andere Form annehmen, wie zum Beispiel:

  • Persönliche Identifikationsnummern oder PINs
  • Sicherheitsfragen: Eine vom Benutzer bereitgestellte Antwort, die während der Anmeldung überprüft wird (und ursprünglich vom Benutzer festgelegt wird)
  • Biometrische Faktoren: wie die Darstellung der Netzhaut oder eines Fingerabdrucks
  • Ein Soft Token: Meistens ein softwarebasierter Zufallszahlengenerator, der mit einer bestimmten Eingabe versehen wird, um zu beweisen, dass nur das Gerät, auf dem die Software ausgeführt wird, in der Lage ist, sie ordnungsgemäß zu generieren
  • Ein Hard Token: Häufig ein Softwaregerät, wie etwa ein Schlüsselanhänger, der so konstruiert ist, dass eine Zeichenfolge oder Zahl angezeigt wird, die für dieses Gerät eindeutig identifizierbar ist, um zu beweisen, dass der Benutzer das Gerät in seinem Besitz hat
  • Kennwortlose Authentifizierungsgeräte und -technologien wie FIDO2
  • SMS-basierte MFA: Dabei wird ein Code per SMS an eine bekannte Telefonnummer gesendet, die der Benutzer dann angibt, um den Zugriff auf das mobile Gerät zu überprüfen, das die SMS empfängt.
  • Softwarebasierte MFA: Dabei erhält eine andere App, die in der Regel auf einem mobilen Gerät ausgeführt wird, eine Push-Benachrichtigung, die der Benutzer überprüft, bevor der Zugriff gewährt wird.
  • Smartcards: Karten zur Überprüfung der persönlichen Identität, die häufig ein bestimmtes Client-Zertifikat enthalten

Die MFA kann in einem oder in allen Schritten eines Authentifizierungsprozesses angewendet werden. Sie wird häufig während der ersten Authentifizierung oder Überprüfung anwendet, nach der das System für einen bestimmten Zeitraum nicht zur erneuten Authentifizierung auffordert. Dies dient dazu, dem Benutzer den Zugriff zu erleichtern und Frustration mit dem MFA-System zu vermeiden, was dazu führen kann, dass Benutzer die zusätzlichen Faktoren deaktivieren, wenn diese Option verfügbar ist.

In der Regel sind bei der ersten Anmeldung über einen bestimmten Identity-Provider oder ein bestimmtes Identitätssystem mehrere Authentifizierungsfaktoren erforderlich, insbesondere bei der Verwendung nicht erkannter Hardware wie einem öffentlichen PC oder einem neuen mobilen Gerät. Sobald die Identität festgestellt ist, verwenden viele Systeme ein Cookie oder eine Kombination aus Geräteinformationen, Ortsangaben oder IP-Adresse, um MFA-Anforderungen für zukünftige Anmeldungen von diesem Gerät oder System aus zu umgehen.

Gängige MFA-Muster

Zwar kann die Implementierung von MFA viele Formen annehmen, doch sind folgende Muster für Unternehmenssysteme üblich:

  • Meist werden MFA-Anforderungen auf der Ebene des Identity-Providers (IdP) umgesetzt. Ein IdP stellt SAML- oder OpenID Connect-basierte Anmeldungen für ArcGIS Enterprise oder ArcGIS Online bereit.
    • In diesem Szenario wird ein Benutzer während des SAML- oder OIDC-Anmeldevorgangs zur Eingabe eines zusätzlichen Faktors aufgefordert. Dies kann an einer Site oder Schnittstelle geschehen, die vom IdP betreut wird, wenn die ArcGIS-Software von der MFA-Anforderung nichts weiß. Der Faktor wird ausschließlich vom IdP verlangt und überprüft.
  • MFA für integrierte ArcGIS Enterprise-Konten
    • Diese Option kann für integrierte ArcGIS Enterprise-Konten aktiviert werden. Sie bietet integrierten Benutzern die Möglichkeit, MFA mit einer vorhandenen Anwendung wie Google Authenticator einzurichten. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung in ArcGIS Enterprise.
  • MFA für integrierte ArcGIS Online-Konten
    • Wie im obigen Beispiel kann MFA mit integrierten ArcGIS Online-Konten aktiviert werden. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung in ArcGIS Online.

Überlegungen bei der Implementierung der MFA

  • ArcGIS basiert auf einem OAuth-basierten Authentifizierungsprozess für App-basierte Anmeldungen wie bei Field Maps oder ArcGIS Pro. Das bedeutet, dass die MFA-Eingabeaufforderung von einem Identity-Provider oder von ArcGIS selbst direkt während des Anmeldevorgangs in einem eingebetteten oder externen Webbrowser verarbeitet wird, der von der App selbst aus gestartet wird. Die Sitzung des Benutzers wird eingerichtet und ohne weitere Eingabeaufforderungen fortgesetzt, bis er sich erneut authentifiziert. Dieser Anmeldeprozess wird in der Regel in einem eingebetteten oder separaten Browserfenster ausgeführt, in dem Cookies, Weiterleitungen und die vielen Varianten der browserbasierten MFA für SAML- und OIDC-Anbieter verarbeitet werden können.
  • Bei allen Workflows, die entweder regelmäßige Headless-Anforderungen (wie etwa skriptgesteuerte Prozesse oder Workflow-Automatisierungssysteme) oder eine Backend-Kommunikation zwischen Servern beinhalten, sollten Sie darauf achten, die MFA nicht so zu implementieren, dass diese Anforderungen fehlschlagen, da dies zu einer unerwarteten Unterbrechung der Kommunikation oder Automatisierung führen kann.
  • Eine MFA, die für Workflows wie etwa für die Herstellung einer Verbindung mit einer Datenbank aktiviert ist, ist vermutlich nur mit ArcGIS erfolgreich, wenn sie explizit unterstützt wird. Vergewissern Sie sich daher anhand der ArcGIS-Versionshinweise und den Anforderungen für Ihr Datenbanksystem, ob eine Unterstützung vorhanden ist.

Zusammenfassend lässt sich sagen, dass es viele verschiedene Definitionen von MFA und verschiedene Möglichkeiten gibt, wie sie in verschiedenen Softwarepaketen konfiguriert werden kann. Aus der Sicht von ArcGIS wird die MFA jedoch in der Regel auf der Ebene des Identity-Providers für Anmeldemuster in Unternehmen konfiguriert und umfassend unterstützt oder den integrierten Anmeldeprozessen bei ArcGIS Enterprise oder ArcGIS Online hinzugefügt.

Top