Konfiguracja logowania dwuskładnikowego do SSO

Konfiguracja uwierzytelniania dwuskładnikowego do SSO AGH

W celu zwiększenia bezpieczeństwa swoich zasobów dostępnych w usługach po zalogowaniu za pomocą SSO AGH, warto zastosować uwierzytelnianie dwuskładnikowe.

Dostępne są trzy możliwości za pomocą, których można korzystać z takiego uwierzytelniania:

  • aplikacja w telefonie, która generuje tymczasowe, jednorazowe kody do dodatkowego uwierzytelnienia Użytkownika (TOTP -Time-based one-time password),
  • WEBAUTHN (z wykorzystaniem klucza sprzętowego "Yubikey"),
  • klucz sprzętowy "Yubikey".
  1. Zaloguj się na stronie sso.agh.edu.pl używając danych logowania do Poczty AGH (Logowanie do SSO AGH).
Logowanie SSO
  1. Po kliknięciu w przycisk "zalogowano jako <adres e-mail>" z rozwijanego menu wybierz pozycję "Menedżer 2ndFA".
Logowanie do systemów
  1. Kliknij sposób weryfikacji dwuskładnikowej, który chcesz ustawić:
  • aplikacja OTP
  • klucz sprzętowy - WEBAUTHN
  • klucz sprzętowy Yubikey
Wybór urządzenia

TOTP - weryfikacja poprzez aplikację w telefonie

TOTP (Time-based one-time password) to najszybszy i najpopularniejszy sposób weryfikacji, który jest dostępny zarówno na urządzeniach z systemem Android, jak i iOS. Aplikacje tego typu obsługują kody QR lub 32-znakowe klucze dostępowe.

Proponowane sprawdzone, darmowe aplikacje dostępne do pobrania w sklepie Google Play/App Store to:

  • "andOTP" na urządzenia z systemem Android,
  • "FreeOTP" na urządzenia z systemem iOS.

  1. Pobierz aplikacje dedykowaną dla systemu operacyjnego na Twoim urządzeniu.

  2. Po uruchomieniu aplikacji na stronie SSO wybierz kafelek "Aplikacja OTP".

Wybór TOTP

  1. Postępuj zgodnie z komunikatami w aplikacji zainstalowanej na telefonie.

  2. Zeskanuj kod QR w aplikacji lub wpisz 32-znakowy klucz. Zarówno kod QR, jak i klucz znajdujący się poniżej kodu QR wyświetlone zostaną na stronie SSO AGH.

Dodawanie klucza zabezpieczającego
  1. Po pomyślnym zeskanowaniu w aplikacji w telefonie pojawi się informacja o połączeniu z SSO AGH - sso.agh.edu.pl.
Aplikacja w telefonie

  1. Możesz wpisać własną nazwę dla swojego urządzenia TOTP (przyjazną nazwę telefonu).

  2. Wprowadź 6-cyfrowy kod dostarczony przez aplikację w telefonie (poniżej przykład wygenerowanego kodu w aplikacji "FreeOTP") i naciśnij "Zarejestruj".

Widok wygenerowanego kodu
Rejestracja klucza

  1. Aplikacja w telefonie została sparowana z kontem w usłudze SSO AGH i tym samym ustawiony jest drugi składnik uwierzytelniania poprawiający bezpieczeństwo logowania do wielu usług Uczelni. 

  2. Możesz wyświetlić listę zarejestrowanych urządzeń do uwierzytelniania poprzez ponowne wybranie z menu "Menedżer 2ndFA".

Uwaga

Można dodać tylko jedno urządzenie z aplikacją TOTP.

Lista urządzeń
Uwaga

Pamiętaj, że w przypadku utracenia dostępu do generatora kodów jednorazowych (aplikacji), zalogowanie się na konto chronione dwuskładnikowym uwierzytelnieniem jest najczęsciej niemożliwe. Aby ochronić się przed utratą dostępu, zabezpiecz odpowiednio klucz, który służy do skonfigurowania drugiego składnika. Klucz ten może być w formie ciągu tekstowego lub kodu QR. Niektóre serwisy oferują również kody jednorazowe (w ograniczonej liczbie).

Niezależnie od sposobu zabezpieczenia dostępu, w bezpieczny sposób przechowuj kody dostępowe – w zależności od preferencji i możliwości może to być szyfrowana notatka w menedżerze haseł.

WEBAUTHN - klucz sprzętowy

Jako drugi składnik uwierzytelnienia do usługi SSO AGH można również wykorzystać klucz sprzętowy, np. "Yubikey". W tym celu należy wykonać następujące kroki:

  1. Wybierz drugi składnik w postaci klucza fizycznego - WEBAUTHN.
Wybór urządzenia
  1. Włóż klucz do portu USB komputera i po wyświetleniu monitu systemowego "Ustawienia klucza zabezpieczeń" i upewnij się, że na monicie wyświetla się adres sso.agh.edu.pl do którego konfigurujesz klucz, a następnie kliknij "OK".
Ustawienia klucza zabezpieczeń
  1. Rozpocznie się proces instalacji klucza zabezpieczeń, a program poprosi o dotknięcie palcem klucza "Yubikey" w celu sparowania z usługą SSO AGH. Przytrzymaj 3 sekundy przycisk na fizycznym urządzeniu, które znajduje się w porcie USB komputera.
Instalacja Yubikey

  1. Klucz sprzętowy "Yubikey" został sparowany z kontem w usłudze SSO AGH i tym samym ustawiony jest drugi składnik uwierzytelniania poprawiający bezpieczeństwo logowania do wielu usług Uczelni. 

  2. Możesz wyświetlić listę zarejestrowanych urządzeń do uwierzytelniania poprzez ponowne wybranie z menu "Menedżer 2ndFA".

Lista urządzeń

Klucz sprzętowy "Yubikey"

Jako drugi składnik uwierzytelnienia do usługi SSO AGH można również wykorzystać klucz sprzętowy, np. "Yubikey". W tym celu należy wykonać następujące kroki:

  1. Wybierz drugi składnik w postaci klucza fizycznego "Yubikey".
Wybór urządzenia
  1. Wpisz nazwę urządzenia, abyś mógł w łatwy sposób rozpoznać swoje urządzenie na liście, a następnie kliknij na okienko "Id". Dotknij przycisk na kluczu Yubikey, który znajduje się w porcie USB komputera.
Aktywacja klucza Yubikey

  1. Klucz sprzętowy "Yubikey" został sparowany z kontem w usłudze SSO AGH i tym samym ustawiony jest drugi składnik uwierzytelniania poprawiający bezpieczeństwo logowania do wielu usług Uczelni. 

  2. Możesz wyświetlić listę zarejestrowanych urządzeń do uwierzytelniania poprzez ponowne wybranie z menu "Menedżer 2ndFA".

Lista urządzeń