Just-in-Time-Zugriff (JIT) auf geteilte Konten mit Rublon MFA einrichten

Geändert am Mi, 2 Jul um 12:01 NACHMITTAGS

Die folgenden Anweisungen sind für Szenarien gedacht, in denen mehrere Personen ein gemeinsames Hauptkonto (Benutzername + Passwort) verwenden müssen – jedoch nur dann Zugriff erhalten sollen, wenn es wirklich erforderlich ist.

Option #1: Individuelle Authenticatoren für jede berechtigte Person

Dieser Ansatz stellt sicher, dass jede Person, die das Konto mitbenutzt, über einen eigenen Authenticator verfügt. So kann ein einzelner Authenticator entfernt werden, ohne die anderen Benutzer zu beeinträchtigen.

1. Fügen Sie das gemeinsam genutzte Benutzerkonto auf eine der folgenden Arten zu Rublon MFA hinzu:

• Benutzerkonto manuell hinzufügen. Stellen Sie sicher, dass der Benutzername mit dem Benutzernamen in Ihrem externen Verzeichnisdienst übereinstimmt.

• Synchronisieren Sie das Konto aus einem externen Verzeichnis, wie Active Directory oder Entra ID.

• Stellen Sie sicher, dass der Enrollment Type in der Rublon Admin Console auf Automatisch gesetzt ist, und verwenden Sie die primären Zugangsdaten des gemeinsam genutzten Kontos, um sich bei der Rublon-integrierten Anwendung anzumelden.

2. Registrierung der Authenticatoren für dieses Konto :

• Senden Sie eine Enrollment-E-Mail an jede Person, die das gemeinsam genutzte Konto verwenden wird. Ändern Sie vor dem Versand jeweils das Feld E-Mail-Adresse, damit jede Person eine eigene Enrollment-E-Mail erhält und ihren persönlichen Authenticator durch Öffnen des Links registrieren kann.

3. Den Status des gemeinsam genutzten Kontos auf Denied setzen, sodass jeder Anmeldeversuch bereits nach der Passworteingabe mit Access Denied! abgebrochen wird.

• Um temporären Zugriff zu gewähren, sollte der Status des gemeinsam genutzten Kontos unmittelbar vor Beginn des Wartungsfensters, der Schicht oder der Ad-hoc-Sitzung auf Aktiv gesetzt werden.
Die Benutzer melden sich mit dem gemeinsamen Benutzernamen und Passwort an und authentifizieren sich anschließend mit ihrem jeweils registrierten Authenticator.

• Sobald die Arbeiten abgeschlossen sind, sollte der Kontostatus wieder auf Denied gesetzt werden.
Da bei diesem Ansatz lediglich ein Status-Flag geändert wird, ist keine erneute Registrierung erforderlich. Die Protokolle zeigen eindeutig, welcher Benutzer sich mit welchem Authenticator angemeldet hat.

Status	Auswirkung auf die Anmeldung	Verwendung
Active	Passwort plus ein zusätzlicher MFA-Faktor erforderlich.	Normaler, kontrollierter Zugriffszeitraum.
Denied	Alle Anmeldeversuche werden blockiert (Benutzer sehen Access Denied!).	Der Standardzustand, wenn niemand das Konto verwenden können soll.

Option #2: Beaufsichtigte MFA (Genehmigungsbasierter JIT-Zugriff)

Manchmal soll die Anmeldung von Anwender A durchgeführt werden, während die MFA-Bestätigung durch Vorgesetzten B erfolgen muss.

1. Fügen Sie das gemeinsame Benutzerkonto auf eine der folgenden Arten zu Rublon MFA hinzu:

• Benutzerkonto manuell hinzufügen. Stellen Sie sicher, dass der Benutzername mit dem Benutzernamen in Ihrem externen Verzeichnisdienst übereinstimmt.

• Synchronisieren Sie das Konto aus einem externen Verzeichnis, wie Active Directory oder Entra ID.

2. Authenticatoren für überwachende Vorgesetzte registrieren:

• Senden Sie eine Enrollment-E-Mail an jede Person, die als Vorgesetzter für die Bestätigung von Anmeldungen fungieren soll. Ändern Sie vor dem Versand jeweils das Feld E-Mail-Adresse, damit jede Person eine eigene Enrollment-E-Mail erhält und ihren persönlichen Authenticator durch Öffnen des Links registrieren kann.

3. Blenden Sie die Schaltfläche Authentificatoren verwalten aus, indem Sie die Option Benutzern das Verwalten von Authenticatoren erlauben deaktivieren. Danach können Benutzer im Rublon-Prompt keine neuen Authenticatoren mehr hinzufügen.

4. Während der Anmeldung:

Der Anwender gibt den gemeinsamen Benutzernamen und das Passwort ein.
Der Anwender wählt den registrierten Authenticator des Vorgesetzten aus.
Der Vorgesetzte erhält die Authentifizierungsanfrage und genehmigt sie.

Tipp: Wenn es nur einen Vorgesetzten gibt, sollte die Standard-Authentifizierungsmethode aktiviert werden. Bei korrekt eingegebenem Passwort erfolgt die MFA-Anfrage automatisch an den hinterlegten Vorgesetzten. Dies beschleunigt den Anmeldeprozess.

Die folgende Tabelle zeigt, wie gut sich die einzelnen Authentifizierungsmethoden für die beaufsichtigte MFA eignen.

Methode	Wie die Genehmigung erfolgt	Empfohlen?	Notiz
Mobile Push	In Rublon Authenticator auf „Genehmigen“ tippen.	✅	Schnellste und bequemste Methode.
Phone Call	Während des Anrufs eine beliebige Taste drücken.	✅	Funktioniert sogar mit Festnetztelefonen.
SMS Link	Link in der SMS-Nachricht öffnen.	✅	Praktisch, aber nicht so schnell oder sicher wie Mobile Push.
Email Link	Link in der E-Mail öffnen.	✅	Praktisch, aber nicht so schnell oder sicher wie Mobile Push.
QR Code	QR-Code mit Rublon Authenticator scannen.	❌	Erfordert die physische Anwesenheit des Vorgesetzten oder das Teilen des Bildschirms durch den Anwender, was umständlich ist.
Passcode	Den Passcode aus einer App eingeben.	❌	Erfordert die physische Anwesenheit des Vorgesetzten oder die Weitergabe des OTP-Codes an den Anwender, was umständlich ist.
SMS Passcode	Den Passcode aus der SMS-Nachricht eingeben.	❌	Erfordert die physische Anwesenheit des Vorgesetzten oder die Weitergabe des OTP-Codes an den Anwender, was umständlich ist.
WebAuthn/U2F Security Key	Schlüssel einstecken und berühren.	❌	Bietet den besten Phishing-Schutz, ist jedoch nicht für den Fernzugriff geeignet und unpraktisch für den Vorgesetzten, der physisch mit dem Sicherheitsschlüssel anwesend sein muss.
YubiKey OTP	Schlüssel einstecken und berühren.	❌	Nicht für den Fernzugriff geeignet und unpraktisch für den Vorgesetzten, der physisch mit dem Sicherheitsschlüssel anwesend sein muss.