Skip to content ↓

Konfiguracja logowania dwuskładnikowego do SSO

Konfiguracja uwierzytelniania dwuskładnikowego do SSO AGH

W celu zwiększenia bezpieczeństwa swoich zasobów dostępnych w usługach po zalogowaniu za pomocą SSO AGH, warto zastosować uwierzytelnianie dwuskładnikowe.

UWAGA – BARDZO WAŻNE

Skonfiguruj więcej niż jedną metodę uwierzytelnia dla Twojego konta, czyli np. aplikację OTP oraz metodę z wykorzystaniem klucza sprzętowego.

Uchroni Cię to przed utratą dostępu do systemów AGH w przypadku np. zgubienia telefonu.

Jeśli nie masz takiej możliwości, koniecznie wykonaj kopię zapasową poświadczeń z aplikacji OTP. Szczegóły.

Jeśli tego nie zrobisz – aby ponownie uzyskać dostęp do systemów AGH – konieczna będzie wizyta osobista w CRI z dokumentem tożsamości ze zdjęciem. 

Dostępne są trzy możliwości za pomocą, których można korzystać z takiego uwierzytelniania:

  • aplikacja w telefonie, która generuje tymczasowe, jednorazowe kody do dodatkowego uwierzytelnienia Użytkownika (TOTP -Time-based one-time password),
  • WEBAUTHN z wykorzystaniem funkcji biometrii,
  • WEBAUTHN z wykorzystaniem klucza sprzętowego "Yubikey".
  1. Zaloguj się na stronie sso.agh.edu.pl używając danych logowania do Poczty AGH (Logowanie do SSO AGH).
  1. Klinij w przycisk "Menedżer 2ndFA".
  1. Zdecyduj, który sposób weryfikacji dwuskładnikowej chcesz ustawić. Szczegóły konfiguracji można znaleźć w poniższych odnośnikach:

TOTP - weryfikacja poprzez aplikację w telefonie

TOTP (Time-based one-time password) to najszybszy i najpopularniejszy sposób weryfikacji, który jest dostępny zarówno na urządzeniach z systemem Android, jak i iOS. Aplikacje tego typu obsługują kody QR lub 32-znakowe klucze dostępowe.

CRI AGH proponuje i zaleca skorzystanie z darmowej aplikacji 2FA Authenticator (2FAS) dostępnej do pobrania w sklepie Google Play i App Store.

  1. Pobierz i zainstaluj aplikację dedykowaną dla systemu operacyjnego na Twoim urządzeniu.

pobierz z Google Play

Download on the App Store

  1. Wybierz kafelek "Aplikacja OTP".
  1. Uruchom zainstalowaną w ramach pkt 1 aplikację 2FAS i przejdź przez samouczek klikając “Kontynuuj”. Aby dodać konto, kliknij „+” (prawy górny lub dolny róg ekranu, w zależności od systemu operacyjnego) lub przycisk “Sparuj nowy serwis”.
  1. Aplikacja poprosi Cię o dostęp do aparatu – udziel go klikając “OK”.
  1. Zeskanuj kod QR lub wpisz 32-znakowy klucz. Zarówno kod QR, jak i klucz znajdujący się poniżej kodu QR wyświetlone zostaną na stronie SSO AGH.
  1. W aplikacji w telefonie pojawi się pierwszy token – wpisz go w polu “Wprowadź kod dostarczony przez aplikację”, a następnie kliknij "Zarejestruj".
Uwaga

Można dodać tylko jedno urządzenie z aplikacją TOTP.

  1. Aplikacja w telefonie została sparowana z kontem w usłudze SSO AGH i tym samym ustawiony został drugi składnik uwierzytelniania poprawiający bezpieczeństwo logowania do wielu usług Uczelni.

Uwaga

Zalecamy wykonanie kopii zapasowej poświadczeń. W aplikacji 2FAS możesz zrobić to na 2 sposoby

  1. Kopia zapasowa w chmurze – jest to domyślnie włączona funkcja. Kopia zapasowa zapisuje się automatycznie na Twoim koncie Google lub iCloud. W razie przypadkowego usunięcia aplikacji z urządzenia lub utraty dostępu do telefonu, po ponownym jej zainstalowaniu dane sparowanych serwisów zostaną automatycznie przywrócone.
  2. Eksport danych do pliku – kopię zapasową można też eksportować do pliku, który następnie można zaimportować na innym urządzeniu. W tym celu kliknij „Ustawienia” -> „Kopia zapasowa 2FAS” i wybierz „Eksport/Eksportuj do pliku”. Plik zostanie zapisany w pamięci telefonu.

WEBAUTHN - Biometria

Jako drugi składnik uwierzytelnienia do usługi SSO AGH można również wykorzystać funkcję biometrii (rozpoznawanie twarzy, odcisk palca), jeśli Twoje urządzenie jest do tego przystosowane.

WEBAUTHN - Biometria w systemie Windows

  1. Jeśli nie skonfigurowałeś jeszcze logowania za pomocą swojego odcisku palca/rozpoznawania twarzy w Twoim urządzeniu, musisz zrobić to przed dodaniem drugiego składnika w postaci biometrii. Szczegóły konfiguracji opisane są w instrukcji: Konfigurowanie funkcji Windows Hello. Jeśli korzystasz już z funkcji biometrii Windows Hello, możesz pominąć ten krok.
  1. Otwórz Menedżera 2ndFA i wybierz drugi składnik w postaci WEBAUTHN.
  1. Wpisz "Windows Hello" w polu tekstowym, a następnie naciśnij przycisk "Zarejestruj".
  1. Dotknij czytnika linii papilarnych/pozwól urządzeniu zeskanować Twoją twarz.
  1. Funkcja Windows Hello została sparowana z kontem w usłudze SSO AGH i tym samym ustawiony jest drugi składnik uwierzytelniania poprawiający bezpieczeństwo logowania do wielu usług Uczelni.

  1. Możesz wyświetlić listę zarejestrowanych urządzeń do uwierzytelniania poprzez ponowne wybranie z menu "Menedżer 2ndFA".
Uwaga!

Logowanie za pomocą Windows Hello jako drugiego składnika uwierzytelniania jest dostępne tylko na urządzeniu, na którym zostało ono skonfigurowane.

WEBAUTHN - Biometria w systemie MacOS

  1. Jeśli nie skonfigurowałeś jeszcze logowania za pomocą swojego odcisku palca w Twoim urządzeniu, musisz zrobić to przed dodaniem drugiego składnika w postaci biometrii. Szczegóły konfiguracji opisane są w instrukcji: Używanie Touch ID na Macu. Jeśli korzystasz już z Touch ID, możesz pominąć ten krok.
  1. Otwórz Menedżera 2ndFA i wybierz drugi składnik w postaci WEBAUTHN.
  1. Wpisz "Touch ID" w polu tekstowym, a następnie naciśnij przycisk "Zarejestruj".
  1. Dotknij czytnika linii papilarnych.
  1. Funkcja Touch ID została sparowana z kontem w usłudze SSO AGH i tym samym ustawiony jest drugi składnik uwierzytelniania poprawiający bezpieczeństwo logowania do wielu usług Uczelni. 

  2. Możesz wyświetlić listę zarejestrowanych urządzeń do uwierzytelniania poprzez ponowne wybranie z menu "Menedżer 2ndFA".

Uwaga!

Logowanie za pomocą Touch ID jako drugiego składnika uwierzytelniania jest dostępne tylko na urządzeniu, na którym zostało ono skonfigurowane.

WEBAUTHN - klucz sprzętowy

Jako drugi składnik uwierzytelnienia do usługi SSO AGH można również wykorzystać klucz sprzętowy, np. "Yubikey". W tym celu należy wykonać następujące kroki:

  1. Wybierz drugi składnik w postaci klucza fizycznego - WEBAUTHN.
  1. Wpisz nazwę, jaką chcesz nadać dla Twojego klucza sprzętowego i naciśnij "Zarejestruj".
  1. Włóż klucz do portu USB komputera i po wyświetleniu monitu systemowego "Ustawienia klucza zabezpieczeń" i upewnij się, że na monicie wyświetla się adres sso.agh.edu.pl do którego konfigurujesz klucz, a następnie kliknij "OK".
  1. Rozpocznie się proces instalacji klucza zabezpieczeń, a program poprosi o dotknięcie palcem klucza "Yubikey" w celu sparowania z usługą SSO AGH. Przytrzymaj 3 sekundy przycisk na fizycznym urządzeniu, które znajduje się w porcie USB komputera.
  1. Klucz sprzętowy "Yubikey" został sparowany z kontem w usłudze SSO AGH i tym samym ustawiony jest drugi składnik uwierzytelniania poprawiający bezpieczeństwo logowania do wielu usług Uczelni. 

  2. Możesz wyświetlić listę zarejestrowanych urządzeń do uwierzytelniania poprzez ponowne wybranie z menu "Menedżer 2ndFA".

Stopka