Was ist ein Token und wofür brauche ich ihn?

Ein Token ist im eigentlichen Sinne eine Wertmarke (ein Symbol). Als Nutzer des Single-Sign-On müssen Sie dessen Bedeutung zum Glück jedoch nicht wirklich verstehen.

Der wirklich wichtige Teil den Sie als Nutzer verstehen müssen ist, dass Sie mithilfe des Tokens an einen Anmeldeschlüssel (ein Passwort) gelangen.

Dies findet folgendermaßen statt:

Bei:

Registrierungstokens:
Dies sind Tokens, welche Sie per Email von uns bekommen und genügen aus Sicherheitsgründen NICHT für eine dauerhafte Anmeldung. Ein Registrierungstoken enthält einen 24-stelligen Code. Dieser ist wichtig für Sie und funktioniert ohne Rücksetzung seitens des Service IT nur ein einziges Mal. Sie verbrauchen den Token bei der Anmeldung in der "2. Faktor-Leiste" indem Sie seinen Code benutzen. Danach müssen Sie umgehend einen Token über "2FA-Token" im Portal ausrollen, so dass jener aus Ihrer ersetzt Email wird. Die neuen Tokens werden anders als der Registrierungstoken nicht nach der ersten Nutzung deaktiviert.

Beachten: Die "2. Faktor-Leiste" ist nicht Ihre Nutzerpasswortleiste, sondern eine die danach erscheint.

TOTP-Tokens:
TOTP-Tokens sind Tokens, welche Sie im SSO-Portal über "2FA-Token" ausrollen und die anders als der Registrierungstoken keinen 24-stelligen Code, sondern einen 6-8-stellien Code (ein TOTP: Zeitbasiertes Einmalpasswort) haben. Dieser wird vom Token innerhalb einer App auf Ihrem Handy (HAW LA, Free OTP,  Google Authenticator) erzeugt und alle 30-60 Sekunden (30 sind empfehlenswerter) erneuert. Auch dieser Code muss in Zukunft in die "2. Faktor-Leiste" eingegeben werden.

Beachten: Die "2. Faktor-Leiste" ist nicht Ihre Nutzerpasswortleiste, sondern eine die danach erscheint.

U2F-Tokens:
Bei diesem handelt es sich um einen Hardwaretoken (und diese sind fast ausschließlich für Professoren an der Hochschule Landshut wichtig). Die nötigen Infos befinden sich auf einem speziellen Key mit USB-Schnittstelle (nicht zu verwechseln mit einem USB-Stick). Auch diese werden im SSO-Portal über "2FA-Token" ausgerollt. Die sich darauf befindenden Informationen werden automatisch in die "2. Faktor-Leiste" geladen, sobald man den Key in einem USB-Port am Rechner gesteckt hat und beim Anmeldeversuch auf den Button "Security Key aktivieren" klickt, gefolgt von einer Betätigung der blinkenden Stelle des Keys.

Beachten: Die "2. Faktor-Leiste" ist nicht Ihre Nutzerpasswortleiste, sondern eine die danach erscheint.

Für die korrekte Nutzung/das Ausrollen der Tokens befolgen Sie bitte die dazu notwendigen Anleitungen in diesem FAQ.

Update-Info zur HAW-Android-App (9. Dezember 2020)

Für die HAW App für Android ist seit dem 9. Dezember 2020 eine neue Version vorhanden. Falls Sie weiterhin die App der Hochschule verwenden möchten, möchten wir Sie bitten, die alte Version vor der Installation zu deinstallieren, da es sich tatsächlich im PlayStore um eine neue und eigene App handelt, bei welcher diverse Fehlerkorrekturen vorgenommen wurden.

Weitere Informationen finden Sie hier:

Nutzung der HAW App

SSO VIDEOANLEITUNG | SINGLE SIGN ON VIDEO GUIDE (GER/ENG)

Wie kann ich mich für das SSO-Portal registrieren?

Um sich erstmalig für SSO zu registrieren, gehen Sie wie folgt vor:
Melden Sie sich mit Ihren Hochschul-Zugangsdaten unter https://sso.haw-landshut.de an.




Klicken Sie im nächsten Fenster auf „Token registrieren“.



Anschließend erhalten Sie an Ihre Hochschul-E-Mailadresse ein Passwort (Registrierungscode) eines sogenannten "Registrierungstokens", mit dem Sie sich als zweiten Faktor einmalig anmelden können.

Dieses reicht nicht für die Zukunft! Bitte richten Sie unmittelbar nach der ersten Anmeldung einen zweiten Faktor über "2FA-Token" ein!
Bei Professoren der Hochschule ist dies in der Regel ein U2F-Security Key,
bei Lehrbeauftragten und Studierenden ist dies für gewöhnlich ein TOTP-Token (z.B. FreeOTP).

Wie kann ich mich am SSO-Portal anmelden?

Melden Sie sich unter https://sso.haw-landshut.de mit Ihren Hochschuldaten an.



Nachdem Sie sich mit Benutzernamen und Passwort angemeldet haben:


Fall 1

Sie haben nach Ihrer Registrierung eine E-Mail an ihre Hochschul-E-Mailadresse mit dem Einmal-Registrierungspasswort erhalten.

Authentifizierungsmethode:

TOTP: Token einrichten: TOTP oder
Token einrichten: TOTP


oder

U2F: Token einrichten: U2F Security Key oder
Token einrichten: U2F Security Key



Fall 2

Sie haben sich bereits erfolgreich registriert:

TOTP:
Geben Sie den sechs- bzw. achtstelligen Token aus der Authenticator-App (z.B. FreeOTP, Google Authenticator, WinAuth) ein.
Beachten Sie, dass jeder Token nur 30 bzw. 60 Sekunden gültig ist, danach wird ein neuer Token erzeugt.

U2F:
Klicken Sie auf den Button „Security Key aktivieren“ und warten bis Ihr Key leuchtet.
Danach drücken Sie einmal mit Ihrem Finger auf Ihren Key.



 

Token einrichten: TOTP

Voraussetzungen:

  • Hochschulaccount
  • Smartphone/Tablet, auf dem eine Authenticator-App z.B. „Free OTP“ installiert ist.

 

Schritt 1
Schließen Sie bitte ihren Webbrowser (Firefox) komplett und öffnen ihn wieder.

Schritt 2
Melden Sie sich unter https://sso.haw-landshut.de mit Ihren Hochschuldaten an.




Schritt 3
Eingabe des Einmal-Registrierungspassworts aus der Registrierungsmail und Klick auf Anmeldung.




Schritt 4
Klick auf Anmelden



 

Schritt 5
Klick auf 2FA-Token

 

 

Schritt 6
Klick auf Token ausrollen
 

 

Schritt 7
Klick auf Token ausrollen
 

 

Schritt 7
Scannen des QR-Codes
mit z.B. der "Free OTP"-App

Info:

  • Falls der Ausrollvorgang im Browser des Smartphones/Tablets durchgeführt wurde, das den Code einscannen müsste, kann auch der unten gezeigte Link bei dem Wort „hier“ geklickt werden. So kann der Token auch ohne QR-Code in Free OTP übernommen werden.
  • Bei IOS-Geräten, die Free OTP verwenden, werden nach dem einscannen zusätzliche Informationen abgefragt: Dort einfach „HAW Landshut“ als Token-Provider eingeben. Alle anderen Einstellungen können beliebig gewählt werden.

 

 


Anschließend dient die 6-stellige Zahl, die in der Authenticator-App im 30 Sekunden-Takt erneuert wird als Passwort für den 2. Faktor bei der Anmeldung.

 

 

Token einrichten: U2F Security Key

Ein U2F-Token ist ein USB-Sicherheitsschlüssel, welcher das FIDO U2F-Protokoll unterstützt. Einen USB-Schlüssel können Sie bei verschiedenen Anbietern kaufen.

Einen neuen U2F-Token für die SSO-Anmeldung können Sie in unserem Token-Self-Service https://pi.haw-landshut.de/https://pi.haw-landshut.de/ registrieren. 

Wählen Sie unter "Token ausrollen" die Option "Enroll a U2F token.". Stecken Sie Ihren USB-Sicherheitsschlüssel in den USB-Port.

Der Key sollte dann kurz aufblinken. Evtl. muss das Gerät erst eingerichtet werden. Das dauert dann einen Moment.

Anschließend drücken Sie auf den darunter liegenden Button "Token ausrollen" wie auf dem folgenden Screenshot.



Sie werden vom System aufgefordert den Sicherheitsschlüssel zu drücken. Sobald der Schlüssel in der Mitte aufblinkt - dies kann je nach Einstellung vor oder nach Bestätigung eines erscheinenden Popups der Fall sein - betätigen Sie ihn (ganz sanft). Nach dem Drücken ist Ihr Sicherheitsschlüssel registriert und kann als 2. Faktor bei der SSO-Anmeldung eingesetzt werden.

ACHTUNG: Sobald Sie dann in Zukunft bei der 2. Faktoren-Seite bei der Anmeldung auf "Security Key aktivieren" klicken und dann auf den blinkenden Key tippen, kann es sein, sofern dies die Erstanmeldung mit dem Key ist, dass dieser nicht angenommen wird. Dies wird jedoch nur dieses eine Mal passieren. Sie können es danach gleich nochmal probieren.

U2F mobil nutzen

Voraussetzung: Der Security Key muss ein NFC-Interface besitzen!

Öffnen Sie die Login--Seite auf Ihrem mobilen Gerät. Im 2. Schritt (Token eingeben), drücken Sie auf den Button "Security Key aktivieren":



Halten Sie gleichzeitig den Security Key hinten nah ans Smartphone (bei einem iOS-Gerät an das obere Ende), und drücken auf den goldenen Button:



Sie sind nun angemeldet.

Bitte beachten: Manche mobilen Browser unterstützen das U2F-Protokoll nicht. Wir haben den Login auf Android bisher mit Google Chrome getestet.

Hinweis zu iOS: iOS unterstützt U2F erst ab iOS 13! Des Weiteren hat bisher nur der Brave Browser das U2F-Protokoll implementiert. Erst ab voraussichtlich iOS 14, das wahrscheinlich im September 2020 veröffentlicht wird, wird es auch Safari untersützen.

Wie kann ich mein Passwort ändern?

Melden Sie sich unter https://sso.haw-landshut.de mit Ihren Zugangsdaten an. Klicken Sie in der Übersicht anschließend auf "Passwort" und geben Sie Ihr neues Passwort 2x ein.



Achten Sie bitte auf die Kennwortrichtlinien:
Das neue Passwort soll:

zwischen 8 und 15 Zeichen lang sein sowohl Klein- als auch Großbuchstaben und Ziffern enthalten keine Umlaute, ß, oder Leerzeichen enthalten keine anderen Sonderzeichen als folgende: - # ! ? { } : ; enhalten 

Wie kann ich mein Passwort zurücksetzen?

Wenn Sie Ihr Passwort vergessen haben, gehen Sie bitte auf https://sso.haw-landshut.de/pwreset/
Nun gibt es zwei Möglichkeiten:



Möglichkeit 1 (Professoren & Mitarbeiter mit Zertifikat, Studenten vor dem WS 19/20 mit Zertifikat):
Wenn Sie Ihr Zertifikat im Browser importiert haben, können Sie oben auf "Ich habe ein DFN Zertifikat!" klicken. Bestätigen Sie nun die Zertifikatsanfrage. Anschließend können Sie ein neues Passwort festlegen.

Möglichkeit 2 (Alle anderen):
Geben Sie unter "Benutzername" bitte Ihre Hochschulkennung an, mit der Sie sich auch an den Computern der Hochschule anmelden. Anschließend wird Ihnen per Mail an Ihre Hochschul-Emailadresse (oder an die entsprechende Weiterleitung) ein Token zugesendet, mit dem Sie sich unter https://sso.haw-landshut.de/resetcode anmelden und ein neues Passwort festlegen können.

Weiterhin ist es auf einem dieser Wege möglich, darauf hinzuweisen, dass man sein altes Passwort vergessen hat:

Wählen Sie im Login-Screen „Passwort vergessen?“





ODER

Wählen Sie „Passwort“ im Benutzerportal.



Anschließend klicken Sie auf „Altes Passwort vergessen?“



Ich habe meinen Token verloren, was mache ich denn jetzt?

Wenn Sie Ihren Token verloren haben, loggen Sie sich bitte unter https://sso.haw-landshut.de mit Ihren Hochschuldaten ein. Klicken Sie anschließend unten auf "Token verloren".



Im sich nun öffnenden Email-Fenster geben Sie bitte noch Ihren Benutzernamen und Ihre Email-Adresse ein. Wenn diese Daten mit denen uns hinterlegten übereinstimmen, erhalten Sie anschließend per Mail einen Einmal-Token, mit dem Sie wieder Zugriff auf Ihren Account erhalten.

Richten Sie sich gleich einen neuen Token ein und deaktivieren Sie den verlorenen!

Welche U2F Keys und TOTP-Apps werden unterstützt?

Dieser Tabelle können Sie entnehmen, ob Ihr Gerät unterstützt wird. Falls Sie ein weiteres Gerät besitzen, welches hier nicht aufgeführt ist, können Sie uns dies gern melden und wir werden es entsprechend ergänzen.
 = Wird unterstützt,  = wird nicht unterstützt, -- = nicht relevant, da es z.B. die App für das Gerät nicht gibt

WICHTIG: Ich kann mich trotz gültigem TOTP-Token nicht anmelden?!

Sind Sie sich ganz sicher, dass Sie den Token schon einmal erfolgreich verwendet haben und können somit ausschließen, dass
- es der falsche SHA-Algorithmus ist
- sowie Sie ein aktuelles TOTP abgetippt haben
und 
- beim Anmeldeversuch das TOTP-Token auch in der Liste der gültigen Tokens angezeigt wird
sowie
- Sie auch keinen Fehler beim Seitenaufruf wie das versehentliche Öffnen einer Fehlerseite durch Auto-Vervollständigung gemacht haben

dann bedeutet dies, dass Ihr Token einen niedrigen timeShift hat. Da der Token zeitabhängig ist, beeinflusst der Server den timeShift-Wert Ihres Tokens. Ist dieser zu niedrig, akzeptiert der Server den Wert nicht, den Sie eingeben.

Ist der Token nun nutzlos?
Ja, aber nur vorübergehend. Der Wert kann reduziert werden bzw. der Token auf der Serverseite resynchronisiert.

Falls Sie einen zweiten Token haben und sich damit im Portal einloggen können:

Resynchronisieren Sie Ihren Token. Öffnen Sie den Token und geben sie danach 2 aktuelle TOTP-Werte desselben Tokens ein:



Andere Tipps dazu finden Sie weiter unten.

Falls Sie sich im Portal gar nicht anmelden können:

Rufen Sie den Service-IT an. Falls Sie Ihre App zur Hand haben, dauert dieses Gespräch etwa 5 Minuten. Der Service IT benötigt dann zwei sehr aktuelle aufeinanderfolgende TOTP-Werte von Ihnen, damit der Token resynchronisiert hat (daher ist ein Telefonat oder ein Vor-Ort-Termin nötig - es nützt nichts, zwei Werte in eine Mail reinzuschreiben, da diese beim Bearbeiten der Anfrage schon zu alt sind).

Sollten Sie beim Auftreten des Problems keine Zeit für ein Telefonat oder ein Vor-Ort-Gespräch haben oder der Service IT gerade an Anfragen zu viel zu tun haben, senden Sie bitte ein Ticket an ticket@haw-landshut.de damit Ihnen alternativ Ihr Registrierungstoken zurückgesetzt wird und Sie mit diesem wieder ins Portal kommen, um dann einen neuen ausrollen zu können.

Wie entsteht dieser timeShift?
Der timeShift wird beim Anmelden mit dem TOTP beeinflusst  - auf der Serverseite - die Apps und deren Tokens selbst nehmen keine Verbindung zum Server auf, doch der Token ist ja dennoch gleich wodurch dann der Wert wie oben erwähnt nicht akzeptiert wird. Jeder Token hat einen eigenen timeShift. Sie können ihn nicht einwandfrei steuern, doch hilflos sind Sie damit auch nicht. timeShift-Werte können bei einer Anmeldung auch in die andere Richtung gehen (man will dass der Wert auf 0.0 zugeht, nicht etwa weg davon).

Was kann man denn machen?
Tatsächlich haben Sie, abgesehen von den oben angeführten Möglichkeiten, noch ein paar andere relativ gute und einfache Möglichkeiten dafür zu sorgen, dass der Wert nicht zu niedrig wird bzw. sich dieser erholt: Nehmen Sie in Ihrer App immer einen neuen Wert nachdem Sie den Timer haben ablaufen lassen. Auf diese Weise sinkt Ihr Timeshift sehr viel langsamer oder erholt sich evtl. sogar. Der Server überprüft immer, wann Sie sich das letzte Mal eingeloggt haben während der Gültigkeit des anderen TOTPs. Haben Sie sich aktuell mit einem Timer niedriger als zuvor eingeloggt, wird der timeShift kleiner (dies ist schlecht für den Token), doch haben Sie sich mit einem Timer-Wert der höher ist, als der letzte, dann erholt er sich.

Das heißt also: Warten Sie immer, bis Ihr Timer abläuft, falls er schon zu niedrig ist. Alternativ können Sie sich auch zwischen einem Token mit schon fast abgelaufenem Timer und danach beim nächsten Mal einem neuen Timer entscheiden. Das würde bedeuten, dass sich Ihr timeShift immer wieder verringert, dann erholt, usw. Oder: Melden Sie sich immer dann an, wenn der Timer bei derselben Zahl ist, wie sonst auch (in echt wiederholt schwer durchführbar), passiert sogar überhaupt nichts mit dem timeShift-Wert.

Sie können sich auch selbst ein wenig um den timeShift innerhalb Ihres Profils kümmern:



Sehen Sie sich dafür den Token in der App an und dann geben Sie einen TOTP-Wert bei einem noch möglichst hohen Timer ein. Das ist nicht ganz so wirksam wie eine Resynchronisation (welche Sie besser stattdessen machen sollten), aber es beugt ebenfalls dem Fall vor, dass Sie sich aussperren.

Haben Sie irgendeinen Tipp was man sonst noch machen könnte? 
Es ist ratsam, sollten Sie mal wieder im Service-Portal sein, wenigstens einen zweiten TOTP-Token auszurollen. Benutzen Sie diesen dann nur für wichtige Events (wie Prüfungsanmeldungen z.B). Auf diese Weise haben Sie auf jeden Fall einen, mit dem Sie ins Portal können, denn die Version des Tokens die auf dem Server liegt, wird nur dann beeinflusst, wenn er wirklich gerade benutzt wird. Das bedeutet, sind Sie wirklich einmal mit eine anderen ausgesperrt und Sie haben keine Zeit zu telefonieren oder der Service IT kann sich nicht rechtzeitig Ihres Problems annehmen, haben Sie zumindest diesen Notfalltoken für wichtige Tage.
Sollten Sie nicht oft ins Portal gehen, wird evtl. auch ein einziger Token genügen (was nicht heißt, dass er dann nicht irgendwann vom Service IT zurückgesetzt werden muss, auch dieser kann natürlich trotzdem über kurz oder lang einen ungültigen Wert erhalten).

Das ist aber kompliziert - kann man da gar nichts anderes machen?
Da Zeit eine bedeutende Rolle spielt, kann man das nicht - jedenfalls nicht bei TOTP-Tokens. Sie können einen U2F-Key erwerben, sofern Sie das möchten.

Token-Möglichkeiten: Tabellarische Ansicht

U2F Token Deprecated in Februar 2022 (Google Chrome)

Wenn Sie einen U2F Token besitzen und als Browser den Google Chrome benutzen, dann haben Sie vermutlich in Ihrem Browser die folgende Info schon gesehen:

 

Um diesen Fehler zu umgehen, drücken Sie bitte auf „Zulassen“, danach funktioniert der Security Key wie üblich.

Die Fehlermeldung wird in Chrome < V. 98, die seit 02.02.2022 verfügbar ist, angezeigt. Ab V. 98 wird der Security Key in Chrome nicht mehr unterstützt. Bitte starten Sie kein Update manuell, wenn nicht schon automatisch geschehen.  

https://developer.chrome.com/blog/deps-rems-95/#deprecate-u2f-api-cryptotoken

Die Security Keys werden auch in Microsoft Edge nicht mehr unterstützt.

Firefox ist nicht betroffen und die U2F Keys können mit Firefox weiterhin benutzt werden.

Wir empfehlen Ihnen sicherheitshalber auch einen TOTP Token bis März zu registrieren, wie oben in unseren FAQs beschrieben.