leo-le
Goto Top

Suche passenden OTP Token für SAML

Hallo liebe Community,

wir sind vor kurzem bei O365 ( Entra Free Plan) und benötigen eine Lösung für unsere User, welche kein Handy für die MFA haben. Wir schauen da in Richtung Yubikey oder OTP Hardware Token, welche wir für SAML nutzen können.
Hat hier jemand Erfahrung damit und kann uns etwas empfehlen?
Müssen die USB Token für die Authentifizierung eigentlich immer berührt werden?


Vielen Dank im Voraus!

Content-Key: 52548454993

Url: https://administrator.de/contentid/52548454993

Printed on: February 21, 2024 at 04:02 o'clock

Member: Dani
Dani Dec 07, 2023 at 21:48:10 (UTC)
Goto Top
Moin,
Wir schauen da in Richtung Yubikey oder OTP Hardware Token, welche wir für SAML nutzen können.
SAML oder WebAuth?

Müssen die USB Token für die Authentifizierung eigentlich immer berührt werden?
Das trifft meines Wissens nach nur bei der Verwendung von WebAuth zu. Bei SAML nutzt du OTP. Beim Yubikey wird der OTP beim Drücken der Taste automatisch eingetragen.


Gruß,
Dani
Member: Leo-le
Leo-le Dec 07, 2023 at 22:30:10 (UTC)
Goto Top
Abend Dani und vielen Dank für die schnelle Antwort.
Es geht bei uns um SAML über Entra office 365.

Bzgl. Yubikey berühren, d.h., der Stick muss immer in der Nähe sein. Ich Frage, da ja manche einen Desktop Rechner unterm Tisch haben, wo die USB Buchsen nur auf der Rückseite sind.

Kannst du USB oder Hardware OTP Token mit Tokenanteige empfehlen ?

Gruß,
Leo
Member: Mr-Gustav
Mr-Gustav Dec 08, 2023 at 07:51:29 (UTC)
Goto Top
Es gibt von Reiner SCT auch noch einen MFA Authenticator der ähnlich wie der MS Authenticator ist. Haben die Leute bei uns die kein Handy wollen und dennoch unterwegs sind.

https://authenticator.reiner-sct.com/de/reiner-sct-authenticator/

oder Alternativ haben wir auch die https://www.mtrix.de/feitian-i34-c200-totp/sw10010-2
( Glaube zumindest das es die Sind )
Member: Leo-le
Leo-le Dec 08, 2023 at 07:58:51 (UTC)
Goto Top
Guten Morgen MR-Gustav,

besten Dank für die Tipps, den Feitian i34 habe ich tatsächlich in der engeren Auswahl, aber kann der problemlos bei Microsoft Entra hinzugefügt werden, ohne dass die Mitarbeiten diesen vor Ort einrichten müssen?
Welchen Entra Plan nutzt ihr dafür?

Viele Grüße
Member: Mr-Gustav
Mr-Gustav Dec 08, 2023 at 08:57:23 (UTC)
Goto Top
Wir haben den P1 soweit ich weiß. Der ist ausreichend für Uns.

Der benutzer musste bei Uns nix einrichten. Das Ding hat ja nur einen Knopp um das OTP zu erzeugen. Da gibts so gut wie keine Programmierung. Du fügst die Dinger anhand des Private Keys in Azure / Entra ID hinzu und fertig. War damals kein großer Akt wenn ich das recht in Erinnerung hatte. Glaube wir haben länger nach dem Priv key gesucht als das die Einrichtung gedauert hatte
Member: Leo-le
Leo-le Dec 08, 2023 at 09:05:03 (UTC)
Goto Top
ja, da ist das kein Problem. Wir nutzen Business Premium St. , da ist nur der Entra free Plan dabei.
Welchen Plan benutzt ihr?
Member: Leo-le
Leo-le Dec 08, 2023 at 09:13:52 (UTC)
Goto Top
Also welchen Office Plan? Oder habt ihr für jeden User den P1 Plan? MS möchte dafür pro User 8 Euro im Monat haben. Das nur für die MFA abzuschließen wäre natürlich Wahnsinn.
Member: Dani
Dani Dec 09, 2023 at 09:30:33 (UTC)
Goto Top
Moin,
Kannst du USB oder Hardware OTP Token mit Tokenanteige empfehlen ?
Thales Safenet OTP. Nutzen wir aber nicht in Azure sondern ausschließlich an unseren AD FS. Ob und wie weit diese Tokens auch für M365 nutzbar sind, müsstest du bei Thales erfragen.

Privat nutze für ein paar Services die Empfehlung von Mr-Gustav. Tut was es soll und ist für alle Beteiligen leicht zu bedienen.

Also welchen Office Plan? Oder habt ihr für jeden User den P1 Plan?
Microsoft 365 E3

ja, da ist das kein Problem. Wir nutzen Business Premium St. , da ist nur der Entra free Plan dabei.
In Microsoft Entra ID Free ist MFA enthalten (Link). Die Frage ist ob es für dein Vorhaben ausreichend ist.


Gruß,
Dani
Member: Leo-le
Leo-le Dec 11, 2023 at 12:24:33 (UTC)
Goto Top
Hi Dani, danke für deine Antwort.

Letztendlich möchten wir die HardwareToken bei MS hinterlegen und der Mitarbeiter bekommt diesen zugeschickt, um sich selbst die MFA einzurichten. Scheinbar funktioniert das aber nur mit den FIDO2 USB-Sticks.