Die folgenden Anweisungen sind für Szenarien gedacht, in denen mehrere Personen ein gemeinsames Hauptkonto (Benutzername + Passwort) verwenden müssen – jedoch nur dann Zugriff erhalten sollen, wenn es wirklich erforderlich ist.
Option #1: Individuelle Authenticatoren für jede berechtigte Person
Dieser Ansatz stellt sicher, dass jede Person, die das Konto mitbenutzt, über einen eigenen Authenticator verfügt. So kann ein einzelner Authenticator entfernt werden, ohne die anderen Benutzer zu beeinträchtigen.
1. Fügen Sie das gemeinsam genutzte Benutzerkonto auf eine der folgenden Arten zu Rublon MFA hinzu:
• Benutzerkonto manuell hinzufügen. Stellen Sie sicher, dass der Benutzername mit dem Benutzernamen in Ihrem externen Verzeichnisdienst übereinstimmt.
• Synchronisieren Sie das Konto aus einem externen Verzeichnis, wie Active Directory oder Entra ID.
• Stellen Sie sicher, dass der Enrollment Type in der Rublon Admin Console auf Automatisch gesetzt ist, und verwenden Sie die primären Zugangsdaten des gemeinsam genutzten Kontos, um sich bei der Rublon-integrierten Anwendung anzumelden.
2. Registrierung der Authenticatoren für dieses Konto :
• Senden Sie eine Enrollment-E-Mail an jede Person, die das gemeinsam genutzte Konto verwenden wird. Ändern Sie vor dem Versand jeweils das Feld E-Mail-Adresse, damit jede Person eine eigene Enrollment-E-Mail erhält und ihren persönlichen Authenticator durch Öffnen des Links registrieren kann.
3. Den Status des gemeinsam genutzten Kontos auf Denied setzen, sodass jeder Anmeldeversuch bereits nach der Passworteingabe mit Access Denied! abgebrochen wird.
• Um temporären Zugriff zu gewähren, sollte der Status des gemeinsam genutzten Kontos unmittelbar vor Beginn des Wartungsfensters, der Schicht oder der Ad-hoc-Sitzung auf Aktiv gesetzt werden.
Die Benutzer melden sich mit dem gemeinsamen Benutzernamen und Passwort an und authentifizieren sich anschließend mit ihrem jeweils registrierten Authenticator.
• Sobald die Arbeiten abgeschlossen sind, sollte der Kontostatus wieder auf Denied gesetzt werden.
Da bei diesem Ansatz lediglich ein Status-Flag geändert wird, ist keine erneute Registrierung erforderlich. Die Protokolle zeigen eindeutig, welcher Benutzer sich mit welchem Authenticator angemeldet hat.
Status | Auswirkung auf die Anmeldung | Verwendung |
Active | Passwort plus ein zusätzlicher MFA-Faktor erforderlich. | Normaler, kontrollierter Zugriffszeitraum. |
Denied | Alle Anmeldeversuche werden blockiert (Benutzer sehen Access Denied!). | Der Standardzustand, wenn niemand das Konto verwenden können soll. |
Option #2: Beaufsichtigte MFA (Genehmigungsbasierter JIT-Zugriff)
Manchmal soll die Anmeldung von Anwender A durchgeführt werden, während die MFA-Bestätigung durch Vorgesetzten B erfolgen muss.
1. Fügen Sie das gemeinsame Benutzerkonto auf eine der folgenden Arten zu Rublon MFA hinzu:
• Benutzerkonto manuell hinzufügen. Stellen Sie sicher, dass der Benutzername mit dem Benutzernamen in Ihrem externen Verzeichnisdienst übereinstimmt.
• Synchronisieren Sie das Konto aus einem externen Verzeichnis, wie Active Directory oder Entra ID.
• Stellen Sie sicher, dass der Enrollment Type in der Rublon Admin Console auf Automatisch gesetzt ist, und verwenden Sie die primären Zugangsdaten des gemeinsam genutzten Kontos, um sich bei der Rublon-integrierten Anwendung anzumelden.
2. Authenticatoren für überwachende Vorgesetzte registrieren:
• Senden Sie eine Enrollment-E-Mail an jede Person, die als Vorgesetzter für die Bestätigung von Anmeldungen fungieren soll. Ändern Sie vor dem Versand jeweils das Feld E-Mail-Adresse, damit jede Person eine eigene Enrollment-E-Mail erhält und ihren persönlichen Authenticator durch Öffnen des Links registrieren kann.
3. Blenden Sie die Schaltfläche Authentificatoren verwalten aus, indem Sie die Option Benutzern das Verwalten von Authenticatoren erlauben deaktivieren. Danach können Benutzer im Rublon-Prompt keine neuen Authenticatoren mehr hinzufügen.
4. Während der Anmeldung:
- Der Anwender gibt den gemeinsamen Benutzernamen und das Passwort ein.
- Der Anwender wählt den registrierten Authenticator des Vorgesetzten aus.
- Der Vorgesetzte erhält die Authentifizierungsanfrage und genehmigt sie.
Die folgende Tabelle zeigt, wie gut sich die einzelnen Authentifizierungsmethoden für die beaufsichtigte MFA eignen.
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren