Zwei-Faktor-Authentisierung (2FA) - VPN mit YubiKey und Yubico Authenticator App
Achtung! Wichtiger Hinweis für die Ersteinrichtung
Die Ersteinrichtung der Zwei-Faktor-Authentisierung (2FA) selbst kann nur direkt vor Ort an der PH Schwäbisch Gmünd erfolgen und wird entweder durch eine Verbindung über Netzwerkkabel oder über WLAN durchgeführt.
Yubico Authenticator App für die Verwaltung
Auf windowsbasierten Dienstgeräten kann bzw. muss die Yubico Authenticator App über den Aagon Client Management Platform (ACMP) Kiosk selbständig installiert bzw. aktualisiert werden (vgl. Bild 1).

Installation und Start der Yubico Authenticator App
Die Zwei-Faktor-Authentisierung (2FA) wird durch das MIZ für Ihren Account aktiviert.
Zusätzlich müssen Sie die Yubico Authenticator App über den ACMP Kiosk auf Ihrem Dienstgerät installieren. Bei Problemen bei der Installation der Yubico Authenticator App hilft Ihnen das MIZ gerne weiter.
Die Yubico Authenticator App und weitere Informationen finden Sie unter https://www.yubico.com/products/yubico-authenticator/.
Nach der Installation starten Sie die Yubico Authenticator App (vgl. Bild 2).

Kennwortvergabe für YubiKey
Achtung! Wichtiger Hinweis!
Alle YubiKey-Nutzer sind verpflichtet ein Kennwort für Ihren YubiKey zu vergeben.
Stecken Sie Ihren YubiKey in einen USB-Steckplatz ein. Warten Sie bis die Yubico Authenticator App Ihren YubiKey erkannt hat. Wählen Sie die Option "Authenticator" aus und öffnen Sie die Einstellungen über das Symbol "Schieberegler" (vgl. Bild 3).

Unter Abschnitt "Manage" öffnen Sie die Option "Set password" (vgl. Bild 4). Die Kennwortvergabe für Ihren YubiKey ist verpflichtend!

Geben Sie Ihr Kennwort für Ihren YubiKey in das Eingabefeld "New password" ein und bestätigen Sie Ihr Kennwort im Eingabefeld "Confirm password". Speichern Sie Ihr Kennwort über die Option "Save" (vgl. Bild 5).
Achtung! Wichtiger Hinweis!
Das Kennwort Ihres YubiKey und das Kennwort Ihres PH-Account müssen unterschiedlich sein!

Benutzerkonto in Yubico Authenticator App hinzufügen
Wählen Sie die Option "Authenticator" aus und öffnen Sie die Einstellungen über das Symbol "Schieberegler" (vgl. Bild 3). Unter Abschnitt "Setup" öffnen Sie die Option "Add account" (vgl. Bild 6).

Zur Einrichtung Ihres Benutzerkontos in der Yubico Authenticator App müssen Sie verschiedene Einstellungen in Formular "Add account" vornehmen (vgl. Bild 7). Dafür müssen Sie sich am VPN-Portal anmelden.

Anmeldung am VPN-Portal
Sobald die Zwei-Faktor-Authentisierung (2FA) durch das MIZ für Ihren Account aktiviert wurde, müssen Sie sich am VPN-Portal unter https://vpn-portal.ph-gmuend.de:8443 mit Ihrem Benutzernamen und Ihrem Kennwort der PH Schwäbisch Gmünd anmelden (vgl. Bild 8).

Durch Anmeldung am VPN-Portal wird Ihnen ein QR-Code angezeigt. Klicken Sie auf "[Details]" unter dem QR-Code (vgl. Bild 9).

Über "[Details]" werden Ihnen detaillierte Informationen über den QR-Code angezeigt, die Sie für die Einrichtung Ihres Benutzerkontos in der Yubico Authenticator App benötigen. Markieren und kopieren Sie die gesamte Zeichenfolge aus dem Feld "Schlüssel (BASE32)" (vgl. Bild 10).

Benutzerkonto in Yubico Authenticator App einrichten
Wechseln Sie zurück in die Yubico Authenticator App in das Formular "Add account" (vgl. Bild 11).
- In das Feld "Secret Key" fügen Sie die kopierte Zeichenfolge aus dem Feld "Schlüssel (BASE32)" ein
- In das Feld "Issuer (optional)" geben Sie "PHSG" ein
- In das Feld "Account name" geben Sie Ihren Benutzernamen der PH Schwäbisch Gmünd ein
- Als Verschlüsselungsverfahren wählen Sie "SHA-256" aus
- Speichern Sie die Einstellungen über die Option "Save"

Nach erfolgreicher Einrichtung Ihres Benutzerkontos wird Ihnen eine neue sechsstellige Zahl automatisch alle 30 Sekunden generiert (vgl. Bild 12). Diese sechsstellige Zahl müssen Sie zusätzlich am Ende Ihres aktuellen Kennwortes anhängen.
Achtung! Wichtiger Hinweis!
Alle automatisch generierten sechsstelligen Zahlen werden nach 30 Sekunden ungültig.

Sie können die automatisch generierte sechsstellige Zahl anklicken und über Symbol "Kopieren" kopieren (vgl. Bild 13).

Kennwortbeispiel nach Aktivierung der Zwei-Faktor-Authentisierung (2FA)
Ihr aktuelles Kennwort lautet: abc123cde
Automatisch generierte sechsstellige Zahl lautet: 034054
Ihr neues Kennwort für die Zwei-Faktor-Authentisierung (2FA) lautet dann: abc123cde034054
Nach Aktivierung der Zwei-Faktor-Authentisierung (2FA) muss im VPN-Portal und in allen VPN-Clients ausschließlich das neue Kennwort für die Zwei-Faktor-Authentisierung (2FA) eingegeben werden (vgl. Bild 14).

Sophos Connect VPN-Client: Konfigurationsdatei importieren und Einstellungen anpassen
Damit Sophos Connect VPN-Client die Zwei-Faktor-Authentisierung (2FA) verwenden kann, müssen Sie die Konfigurationsdatei in Sophos Connect VPN-Client aktualisieren.
Melden Sie sich dafür im VPN-Portal an und laden Sie sich dort die neue Konfigurationsdatei herunter. Anschließend importieren die neue Konfigurationsdatei in Sophos Connect VPN-Client.
Eine Anleitungen zur Aktualisierung der Konfigurationsdatei in Sophos Connect VPN-Client finden Sie unter Sophos VPN Konfigurationsdatei aktualisieren.
Nach Aktualisierung der Konfigurationsdatei in Sophos Connect VPN-Client müssen Sie sich immer mit dem Kennwort für die Zwei-Faktor-Authentisierung (2FA) anmelden.
Durch die automatische Generierung einer sechsstelligen Zahl alle 30 Sekunden ändert sich auch das Kennwort für die Zwei-Faktor-Authentisierung (2FA) alle 30 Sekunden. Somit kann der Benutzername und das Kennwort nicht gespeichert werden. Die Option "Benutzername und Kennwort speichern" müssen Sie deshalb deaktivieren (vgl. Bild 15).

Sophos Connect VPN-Client: Konfigurationsdatei prüfen bzw. verifizieren
Nachdem Sie eine VPN-Verbindung mit Sophos Connect VPN-Client erfolgreich hergestellt haben, sollten Sie zusätzliche prüfen bzw. verifizieren, ob die Aktualisierung der Konfigurationsdatei vollständig durchgeführt wurde.
Unter Verbindungen muss in den Bereichen "Verbindung überwachen" und "IKE" im Eintrag "Nächster Rekey" ein Wert von mindestens 8 Stunden angezeigt werden.
Wird unter Verbindungen in den Bereichen "Verbindung überwachen" und "IKE" im Eintrag "Nächster Rekey" ein Wert um 2 Stunden angezeigt, dann wurde die Konfigurationsdatei in Sophos Connect VPN-Client nicht oder nur unvollständig aktualisiert (vgl. Bild 16).
Die Konfigurationsdatei für Sophos Connect VPN-Client müssen Sie über das VPN-Portal aktualisieren.
Eine Anmeldung am VPN-Portal unter https://vpn-portal.ph-gmuend.de:8443 mit Benutzernamen und Kennwort + sechsstelliger Zahl (Zwei-Faktor-Authetisierung (2FA)) ist nur direkt an der PH Schwäbisch Gmünd oder über eine Virtual Private Network (VPN)-Verbindung möglich.

OpenVPN Connect-Client: Profileinstellung anpassen
In OpenVPN Connect-Client müssen Sie keine Konfigurationsdatei aktualisieren.
Durch die automatische Generierung einer sechsstelligen Zahl alle 30 Sekunden ändert sich auch das Kennwort für die Zwei-Faktor-Authentisierung (2FA) alle 30 Sekunden. Somit kann das Kennwort nicht in der Profileinstellung gespeichert werden.
Deshalb müssen Sie ein hinterlegtes Kennwort aus der Profileinstellung manuell entfernen. Mit einem Klick auf das Symbol "Stift" ändern Sie Ihre Profileinstellung (vgl. Bild 17).

In Ihrer Profileinstellung die Option "Save password"deaktvieren und Ihre geränderte Profileinstellung über die Option "Save" speichern (vgl. Bild 18).

Nach Aktualisierung Ihrer Profileinstellung in OpenVPN Connect-Client müssen Sie sich immer mit dem Kennwort für die Zwei-Faktor-Authentisierung (2FA) anmelden.
[Stand: 04.04.2024]