Just-in-Time-Zugriff (JIT) auf geteilte Konten mit Rublon MFA einrichten

Geändert am Mi, 2 Jul um 12:01 NACHMITTAGS

Die folgenden Anweisungen sind für Szenarien gedacht, in denen mehrere Personen ein gemeinsames Hauptkonto (Benutzername + Passwort) verwenden müssen – jedoch nur dann Zugriff erhalten sollen, wenn es wirklich erforderlich ist. 


Option #1: Individuelle Authenticatoren für jede berechtigte Person 

Dieser Ansatz stellt sicher, dass jede Person, die das Konto mitbenutzt, über einen eigenen Authenticator verfügt. So kann ein einzelner Authenticator entfernt werden, ohne die anderen Benutzer zu beeinträchtigen. 


1. Fügen Sie das gemeinsam genutzte Benutzerkonto auf eine der folgenden Arten zu Rublon MFA hinzu: 


Benutzerkonto manuell hinzufügen. Stellen Sie sicher, dass der Benutzername mit dem Benutzernamen in Ihrem externen Verzeichnisdienst übereinstimmt. 


Synchronisieren Sie das Konto aus einem externen Verzeichnis, wie Active Directory oder Entra ID. 


• Stellen Sie sicher, dass der Enrollment Type in der Rublon Admin Console auf Automatisch gesetzt ist, und verwenden Sie die primären Zugangsdaten des gemeinsam genutzten Kontos, um sich bei der Rublon-integrierten Anwendung anzumelden. 


2. Registrierung der Authenticatoren für dieses Konto :


Senden Sie eine Enrollment-E-Mail an jede Person, die das gemeinsam genutzte Konto verwenden wird. Ändern Sie vor dem Versand jeweils das Feld E-Mail-Adresse, damit jede Person eine eigene Enrollment-E-Mail erhält und ihren persönlichen Authenticator durch Öffnen des Links registrieren kann. 


3. Den Status des gemeinsam genutzten Kontos auf Denied setzen, sodass jeder Anmeldeversuch bereits nach der Passworteingabe mit  Access Denied! abgebrochen wird.


• Um temporären Zugriff zu gewähren, sollte der Status des gemeinsam genutzten Kontos unmittelbar vor Beginn des Wartungsfensters, der Schicht oder der Ad-hoc-Sitzung auf Aktiv gesetzt werden.
Die Benutzer melden sich mit dem gemeinsamen Benutzernamen und Passwort an und authentifizieren sich anschließend mit ihrem jeweils registrierten Authenticator.  


• Sobald die Arbeiten abgeschlossen sind, sollte der Kontostatus wieder auf Denied gesetzt werden.
Da bei diesem Ansatz lediglich ein Status-Flag geändert wird, ist keine erneute Registrierung erforderlich. Die Protokolle zeigen eindeutig, welcher Benutzer sich mit welchem Authenticator angemeldet hat.  


StatusAuswirkung auf die Anmeldung Verwendung
ActivePasswort plus ein zusätzlicher MFA-Faktor erforderlich. Normaler, kontrollierter Zugriffszeitraum. 
DeniedAlle Anmeldeversuche werden blockiert (Benutzer sehen Access Denied!). Der Standardzustand, wenn niemand das Konto verwenden können soll. 


Option #2: Beaufsichtigte MFA (Genehmigungsbasierter JIT-Zugriff) 

Manchmal soll die Anmeldung von Anwender A durchgeführt werden, während die MFA-Bestätigung durch Vorgesetzten B erfolgen muss. 


1. Fügen Sie das gemeinsame Benutzerkonto auf eine der folgenden Arten zu Rublon MFA hinzu:


Benutzerkonto manuell hinzufügen. Stellen Sie sicher, dass der Benutzername mit dem Benutzernamen in Ihrem externen Verzeichnisdienst übereinstimmt. 


Synchronisieren Sie das Konto aus einem externen Verzeichnis, wie Active Directory oder Entra ID. 


• Stellen Sie sicher, dass der Enrollment Type in der Rublon Admin Console auf Automatisch gesetzt ist, und verwenden Sie die primären Zugangsdaten des gemeinsam genutzten Kontos, um sich bei der Rublon-integrierten Anwendung anzumelden.


2. Authenticatoren für überwachende Vorgesetzte registrieren: 


Senden Sie eine Enrollment-E-Mail an jede Person, die als Vorgesetzter für die Bestätigung von Anmeldungen fungieren soll. Ändern Sie vor dem Versand jeweils das Feld E-Mail-Adresse, damit jede Person eine eigene Enrollment-E-Mail erhält und ihren persönlichen Authenticator durch Öffnen des Links registrieren kann.


3. Blenden Sie die Schaltfläche Authentificatoren verwalten aus, indem Sie die Option Benutzern das Verwalten von Authenticatoren erlauben deaktivieren. Danach können Benutzer im Rublon-Prompt keine neuen Authenticatoren mehr hinzufügen. 


4. Während der Anmeldung:

  1. Der Anwender gibt den gemeinsamen Benutzernamen und das Passwort ein. 
  2. Der Anwender wählt den registrierten Authenticator des Vorgesetzten aus. 
  3. Der Vorgesetzte erhält die Authentifizierungsanfrage und genehmigt sie. 


Tipp: Wenn es nur einen Vorgesetzten gibt, sollte die Standard-Authentifizierungsmethode aktiviert werden. Bei korrekt eingegebenem Passwort erfolgt die MFA-Anfrage automatisch an den hinterlegten Vorgesetzten. Dies beschleunigt den Anmeldeprozess.


Die folgende Tabelle zeigt, wie gut sich die einzelnen Authentifizierungsmethoden für die beaufsichtigte MFA eignen.


MethodeWie die Genehmigung erfolgt Empfohlen?Notiz
Mobile PushIn Rublon Authenticator auf „Genehmigen“ tippen.Schnellste und bequemste Methode.
Phone CallWährend des Anrufs eine beliebige Taste drücken. Funktioniert sogar mit Festnetztelefonen. 
SMS LinkLink in der SMS-Nachricht öffnen.Praktisch, aber nicht so schnell oder sicher wie Mobile Push.
Email LinkLink in der E-Mail öffnen.Praktisch, aber nicht so schnell oder sicher wie Mobile Push.
QR CodeQR-Code mit Rublon Authenticator scannen.Erfordert die physische Anwesenheit des Vorgesetzten oder das Teilen des Bildschirms durch den Anwender, was umständlich ist. 
PasscodeDen Passcode aus einer App eingeben. Erfordert die physische Anwesenheit des Vorgesetzten oder die Weitergabe des OTP-Codes an den Anwender, was umständlich ist. 
SMS PasscodeDen Passcode aus der SMS-Nachricht eingeben. Erfordert die physische Anwesenheit des Vorgesetzten oder die Weitergabe des OTP-Codes an den Anwender, was umständlich ist. 
WebAuthn/U2F Security KeySchlüssel einstecken und berühren.Bietet den besten Phishing-Schutz, ist jedoch nicht für den Fernzugriff geeignet und unpraktisch für den Vorgesetzten, der physisch mit dem Sicherheitsschlüssel anwesend sein muss. 
YubiKey OTPSchlüssel einstecken und berühren.Nicht für den Fernzugriff geeignet und unpraktisch für den Vorgesetzten, der physisch mit dem Sicherheitsschlüssel anwesend sein muss.

War dieser Artikel hilfreich?

Das ist großartig!

Vielen Dank für das Feedback

Leider konnten wir nicht helfen

Vielen Dank für das Feedback

Wie können wir diesen Artikel verbessern?

Wählen Sie wenigstens einen der Gründe aus
CAPTCHA-Verifikation ist erforderlich.

Feedback gesendet

Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren