Konfiguracja logowania dwuskładnikowego do SSO

Konfiguracja uwierzytelniania dwuskładnikowego do SSO AGH

W celu zwiększenia bezpieczeństwa swoich zasobów dostępnych w usługach po zalogowaniu za pomocą SSO AGH, warto zastosować uwierzytelnianie dwuskładnikowe.

Dostępne są trzy możliwości za pomocą, których można korzystać z takiego uwierzytelniania:

  • aplikacja w telefonie, która generuje tymczasowe, jednorazowe kody do dodatkowego uwierzytelnienia Użytkownika (TOTP -Time-based one-time password),
  • WEBAUTHN (z wykorzystaniem klucza sprzętowego "Yubikey"),
  • klucz sprzętowy "Yubikey".
  1. Zaloguj się na stronie sso.agh.edu.pl używając danych logowania do Poczty AGH (Logowanie do SSO AGH).
Logowanie SSO
  1. Po kliknięciu w przycisk "zalogowano jako <adres e-mail>" z rozwijanego menu wybierz pozycję "Menedżer 2ndFA".
Logowanie do systemów
  1. Kliknij sposób weryfikacji dwuskładnikowej, który chcesz ustawić:
  • aplikacja OTP
  • klucz sprzętowy - WEBAUTHN
  • klucz sprzętowy Yubikey
Wybór urządzenia

TOTP - weryfikacja poprzez aplikację w telefonie

TOTP (Time-based one-time password) to najszybszy i najpopularniejszy sposób weryfikacji, który jest dostępny zarówno na urządzeniach z systemem Android, jak i iOS. Aplikacje tego typu obsługują kody QR lub 32-znakowe klucze dostępowe.

Proponowane sprawdzone, darmowe aplikacje dostępne do pobrania w sklepie Google Play/App Store to:

  • "andOTP" na urządzenia z systemem Android,
  • "FreeOTP" na urządzenia z systemem iOS.

  1. Pobierz aplikacje dedykowaną dla systemu operacyjnego na Twoim urządzeniu.

  2. Po uruchomieniu aplikacji na stronie SSO wybierz kafelek "Aplikacja OTP".

Wybór TOTP

  1. Postępuj zgodnie z komunikatami w aplikacji zainstalowanej na telefonie.

  2. Zeskanuj kod QR w aplikacji lub wpisz 32-znakowy klucz. Zarówno kod QR, jak i klucz znajdujący się poniżej kodu QR wyświetlone zostaną na stronie SSO AGH.

Dodawanie klucza zabezpieczającego
  1. Po pomyślnym zeskanowaniu w aplikacji w telefonie pojawi się informacja o połączeniu z SSO AGH - sso.agh.edu.pl.
Aplikacja w telefonie

  1. Możesz wpisać własną nazwę dla swojego urządzenia TOTP (przyjazną nazwę telefonu).

  2. Wprowadź 6-cyfrowy kod dostarczony przez aplikację w telefonie (poniżej przykład wygenerowanego kodu w aplikacji "FreeOTP") i naciśnij "Zarejestruj".

Widok wygenerowanego kodu
Rejestracja klucza

  1. Aplikacja w telefonie została sparowana z kontem w usłudze SSO AGH i tym samym ustawiony jest drugi składnik uwierzytelniania poprawiający bezpieczeństwo logowania do wielu usług Uczelni. 

  2. Możesz wyświetlić listę zarejestrowanych urządzeń do uwierzytelniania poprzez ponowne wybranie z menu "Menedżer 2ndFA".

Uwaga

Można dodać tylko jedno urządzenie z aplikacją TOTP.

Lista urządzeń

WEBAUTHN - klucz sprzętowy

Jako drugi składnik uwierzytelnienia do usługi SSO AGH można również wykorzystać klucz sprzętowy, np. "Yubikey". W tym celu należy wykonać następujące kroki:

  1. Wybierz drugi składnik w postaci klucza fizycznego - WEBAUTHN.
Wybór urządzenia
  1. Włóż klucz do portu USB komputera i po wyświetleniu monitu systemowego "Ustawienia klucza zabezpieczeń" i upewnij się, że na monicie wyświetla się adres sso.agh.edu.pl do którego konfigurujesz klucz, a następnie kliknij "OK".
Ustawienia klucza zabezpieczeń
  1. Rozpocznie się proces instalacji klucza zabezpieczeń, a program poprosi o dotknięcie palcem klucza "Yubikey" w celu sparowania z usługą SSO AGH. Przytrzymaj 3 sekundy przycisk na fizycznym urządzeniu, które znajduje się w porcie USB komputera.
Instalacja Yubikey

  1. Klucz sprzętowy "Yubikey" został sparowany z kontem w usłudze SSO AGH i tym samym ustawiony jest drugi składnik uwierzytelniania poprawiający bezpieczeństwo logowania do wielu usług Uczelni. 

  2. Możesz wyświetlić listę zarejestrowanych urządzeń do uwierzytelniania poprzez ponowne wybranie z menu "Menedżer 2ndFA".

Lista urządzeń

Klucz sprzętowy "Yubikey"

Jako drugi składnik uwierzytelnienia do usługi SSO AGH można również wykorzystać klucz sprzętowy, np. "Yubikey". W tym celu należy wykonać następujące kroki:

  1. Wybierz drugi składnik w postaci klucza fizycznego "Yubikey".
Wybór urządzenia
  1. Wpisz nazwę urządzenia, abyś mógł w łatwy sposób rozpoznać swoje urządzenie na liście, a następnie kliknij na okienko "Id". Dotknij przycisk na kluczu Yubikey, który znajduje się w porcie USB komputera.
Aktywacja klucza Yubikey

  1. Klucz sprzętowy "Yubikey" został sparowany z kontem w usłudze SSO AGH i tym samym ustawiony jest drugi składnik uwierzytelniania poprawiający bezpieczeństwo logowania do wielu usług Uczelni. 

  2. Możesz wyświetlić listę zarejestrowanych urządzeń do uwierzytelniania poprzez ponowne wybranie z menu "Menedżer 2ndFA".

Lista urządzeń