Single-Sign-On

Wie kann ich mich für das SSO-Portal registrieren?

Um sich erstmalig für SSO zu registrieren, gehen Sie wie folgt vor:
Melden Sie sich mit Ihren Hochschul-Zugangsdaten unter https://sso.haw-landshut.de an.




Klicken Sie im nächsten Fenster auf „Token registrieren“.



Anschließend erhalten Sie an Ihre Hochschul-E-Mailadresse ein Passwort (Registrierungscode) eines sogenannten "Registrierungstokens", mit dem Sie sich als zweiten Faktor einmalig anmelden können.

Dieses reicht nicht für die Zukunft! Bitte richten Sie unmittelbar nach der ersten Anmeldung einen zweiten Faktor über "2FA-Token" ein!



Bei Professoren der Hochschule ist dies in der Regel ein U2F-Security Key,


bei Lehrbeauftragten und Studierenden ist dies für gewöhnlich ein TOTP-Token.

Was ist ein Token und wie bekomme ich einen?

Sind Sie ein Professor an der Hochschule?

In diesem Fall erhalten Sie einen kostenlossen U2F-Security Key bei der Service IT, im Raum N106.   Diesen Key benötigen Sie bevor Sie mit dem SSO-Registrierungsprozess fortfahren.

Sind Sie ein Studierender oder ein Lehrbeaufrtragter an der Hochschule?

Dann installieren Sie bitte eine TOTP-App Ihrer Wahl auf Ihrem Smartphone oder kaufen Sie ggf. einen U2F-Security Key. Eine TOTP-App sollten Sie installiert haben bevor Sie sich zum ersten mal im SSO-Portal anmelden.

Welche TOTP-Apps können Sie installieren? Sehen Sie bitte unsere Auflistung weiter unten unter "Token-Möglichkeiten: Tabellarische Ansicht".

Wie kann ich mich am SSO-Portal anmelden?

Melden Sie sich unter https://sso.haw-landshut.de mit Ihren Hochschuldaten an.



Nachdem Sie sich mit Benutzernamen und Passwort angemeldet haben:


Fall 1

Sie haben nach Ihrer Registrierung eine E-Mail an ihre Hochschul-E-Mailadresse mit dem Einmal-Registrierungspasswort erhalten.

Authentifizierungsmethode:

TOTP: Token einrichten: TOTP oder
Token einrichten: TOTP


oder

U2F: Token einrichten: U2F Security Key oder
Token einrichten: U2F Security Key



Fall 2

Sie haben sich bereits erfolgreich registriert:

TOTP:
Geben Sie den sechs- bzw. achtstelligen Token aus der Authenticator-App (z.B. FreeOTP, Google Authenticator, WinAuth) ein.
Beachten Sie, dass jeder Token nur 30 bzw. 60 Sekunden gültig ist, danach wird ein neuer Token erzeugt.

U2F:
Klicken Sie auf den Button „Security Key aktivieren“ und warten bis Ihr Key leuchtet.
Danach drücken Sie einmal mit Ihrem Finger auf Ihren Key.



 

SSO VIDEOANLEITUNG | SINGLE SIGN ON VIDEO GUIDE (GER/ENG)

Token einrichten: TOTP

Voraussetzungen:

  • Hochschulaccount
  • Smartphone/Tablet, auf dem eine Authenticator-App z.B. „Free OTP“ installiert ist.

 

Schritt 1
Schließen Sie bitte ihren Webbrowser (Firefox) komplett und öffnen ihn wieder.

Schritt 2
Melden Sie sich unter https://sso.haw-landshut.de mit Ihren Hochschuldaten an.




Schritt 3
Eingabe des Einmal-Registrierungspassworts aus der Registrierungsmail und Klick auf Anmeldung.




Schritt 4
Klick auf Anmelden



 

Schritt 5
Klick auf 2FA-Token

 

 

Schritt 6
Klick auf Token ausrollen
 

 

Schritt 7
Klick auf Token ausrollen
 

 

Schritt 7
Scannen des QR-Codes
mit z.B. der "Free OTP"-App

Info:

  • Falls der Ausrollvorgang im Browser des Smartphones/Tablets durchgeführt wurde, das den Code einscannen müsste, kann auch der unten gezeigte Link bei dem Wort „hier“ geklickt werden. So kann der Token auch ohne QR-Code in Free OTP übernommen werden.
  • Bei IOS-Geräten, die Free OTP verwenden, werden nach dem einscannen zusätzliche Informationen abgefragt: Dort einfach „HAW Landshut“ als Token-Provider eingeben. Alle anderen Einstellungen können beliebig gewählt werden.

 

 


Anschließend dient die 6-stellige Zahl, die in der Authenticator-App im 30 Sekunden-Takt erneuert wird als Passwort für den 2. Faktor bei der Anmeldung.

 

 

Token einrichten: U2F Security Key (alte blaue Keys!)

Ein U2F-Token ist ein USB-Sicherheitsschlüssel, welcher das FIDO U2F-Protokoll unterstützt. Einen USB-Schlüssel können Sie bei verschiedenen Anbietern kaufen.

Einen neuen U2F-Token für die SSO-Anmeldung können Sie in unserem Token-Self-Service https://pi.haw-landshut.de/ registrieren. 

Wählen Sie unter "Token ausrollen" die Option "Enroll a U2F token.". Stecken Sie Ihren USB-Sicherheitsschlüssel in den USB-Port.

Der Key sollte dann kurz aufblinken. Evtl. muss das Gerät erst eingerichtet werden. Das dauert dann einen Moment.

Anschließend drücken Sie auf den darunter liegenden Button "Token ausrollen" wie auf dem folgenden Screenshot.



Sie werden vom System aufgefordert den Sicherheitsschlüssel zu drücken. Sobald der Schlüssel in der Mitte aufblinkt - dies kann je nach Einstellung vor oder nach Bestätigung eines erscheinenden Popups der Fall sein - betätigen Sie ihn (ganz sanft). Nach dem Drücken ist Ihr Sicherheitsschlüssel registriert und kann als 2. Faktor bei der SSO-Anmeldung eingesetzt werden.

ACHTUNG: Sobald Sie dann in Zukunft bei der 2. Faktoren-Seite bei der Anmeldung auf "Security Key aktivieren" klicken und dann auf den blinkenden Key tippen, kann es sein, sofern dies die Erstanmeldung mit dem Key ist, dass dieser nicht angenommen wird. Dies wird jedoch nur dieses eine Mal passieren. Sie können es danach gleich nochmal probieren.

U2F mobil nutzen

Voraussetzung: Der Security Key muss ein NFC-Interface besitzen!

Öffnen Sie die Login--Seite auf Ihrem mobilen Gerät. Im 2. Schritt (Token eingeben), drücken Sie auf den Button "Security Key aktivieren":



Halten Sie gleichzeitig den Security Key hinten nah ans Smartphone (bei einem iOS-Gerät an das obere Ende), und drücken auf den goldenen Button:



Sie sind nun angemeldet.

Bitte beachten: Manche mobilen Browser unterstützen das U2F-Protokoll nicht. Wir haben den Login auf Android bisher mit Google Chrome getestet.

Wie kann ich mein Passwort ändern?

Melden Sie sich unter https://sso.haw-landshut.de mit Ihren Zugangsdaten an. Klicken Sie in der Übersicht anschließend auf "Passwort" und geben Sie Ihr neues Passwort 2x ein.



Achten Sie bitte auf die Kennwortrichtlinien:
Das neue Passwort soll:

zwischen 8 und 15 Zeichen lang sein sowohl Klein- als auch Großbuchstaben und Ziffern enthalten keine Umlaute, ß, oder Leerzeichen enthalten keine anderen Sonderzeichen als folgende: - # ! ? { } : ; enhalten 

Wie kann ich mein Passwort zurücksetzen?

Wenn Sie Ihr Passwort vergessen haben, gehen Sie bitte auf https://sso.haw-landshut.de/pwreset/
Nun gibt es zwei Möglichkeiten:



Möglichkeit 1 (Professoren & Mitarbeiter mit Zertifikat, Studenten vor dem WS 19/20 mit Zertifikat):
Wenn Sie Ihr Zertifikat im Browser importiert haben, können Sie oben auf "Ich habe ein DFN Zertifikat!" klicken. Bestätigen Sie nun die Zertifikatsanfrage. Anschließend können Sie ein neues Passwort festlegen.

Möglichkeit 2 (Alle anderen):
Geben Sie unter "Benutzername" bitte Ihre Hochschulkennung an, mit der Sie sich auch an den Computern der Hochschule anmelden. Anschließend wird Ihnen per Mail an Ihre Hochschul-Emailadresse (oder an die entsprechende Weiterleitung) ein Token zugesendet, mit dem Sie sich unter https://sso.haw-landshut.de/resetcode anmelden und ein neues Passwort festlegen können.

Weiterhin ist es auf einem dieser Wege möglich, darauf hinzuweisen, dass man sein altes Passwort vergessen hat:

Wählen Sie im Login-Screen „Passwort vergessen?“





ODER

Wählen Sie „Passwort“ im Benutzerportal.



Anschließend klicken Sie auf „Altes Passwort vergessen?“



Wie kann ich mein Passwort sicher aufbewahren?

Wichtige Hinweise


·        Keepass XC nutzt eine verschlüsselte Passwortdatei die auf dem zentralen Dateiserver ZDS gespeichert werden muss.
·        Ihr Masterkennwort ist das wichtigste Passwort und bei Verlust ist keine Wiederherstellung der Passwörter aus der Datei möglich.
·        Für die Verwendung von Keepass XC kann kein Support durch die Service IT gegeben werden.


Installationsschritte

Für Mitarbeiter der Hochschule stellt das Softwarecenter Keepass XC direkt zur Verfügung.
Studierende können auf der Herstellerwebseite
https://keepassxc.org/ unter Download (See more options) die sog. Portable Version installieren. Somit ist auf dem Gerät keine Installation notwendig, sondern es muss nur die heruntergeladene ZIP-Datei entpackt werden.

Ersteinrichtung

Beim ersten Start von Keepass XC erhalten Sie den Hinweis, ob Keepass XC automatisch nach Updates suchen soll. Dies können Sie mit „Ja“ bestätigen.

Nun können Sie sich eine neue Datenbank erstellen. Gehen Sie dazu wie folgt vor:

1.     Wählen Sie „neue Datenbank erstellen“
Geben Sie dann Ihren Datenbanknamen ein. Eine Beschreibung kann optional hinzugefügt werden.
Klicken Sie danach auf „Weiter“.

2.     Im nächsten Schritt sind die Verschlüsselungseinstellungen vorzunehmen. Belassen Sie die Standartwerte und klicken auf „Weiter“.

3.     Wählen Sie nun ein sicheres Masterpasswort. Dieses sollte keine Wörter aus dem Wörterbuch, keine persönlichen Informationen beinhalten. Wählen daher min. ein 12-stelliges Passwort mit Klein- & Großbuchstaben, Zahlen sowie Sonderzeichen welches Sie sich gut merken können. Weitere Informationen für die Wahl eines sicheres Passwortes finden Sie im IT-Sicherheitsbereich im Bereich Passwörter.

Klicken Sie nun auf „Fertig“.

4.     Nun steht die Wahl des Speicherortes an. Wählen Sie hier bitte ihr „Home“-Verzeichnis auf dem ZDS:


 

 

Neuen Eintrag anlegen

Sie besitzen die Möglichkeit entweder alle Einträge im vorangelegten „Root-Ordner“ anzulegen oder können auch neue Ordner anlegen. Nachfolgend wird nun Schritt-für-Schritt ein neuer Eintrag angelegt.

1.     Wählen Sie dafür in der angemeldeten Keepass-Datei das +-Zeichen:

 

2.     Im nun aufgehenden Fenster vergeben Sie einen Titel, den verwendeten Benutzernamen und die zugehörige Webseite:

Um nicht selbstständig ein Passwort festzulegen, klicken Sie auf den ersten Button (rot umrandet) im Passwortfeld.

3.     Hier können Sie nun ein Passwort generieren lassen. Sie haben dabei die Möglichkeit, die Länge aber auch genutzte Zeichentypen festzulegen.

 


Klicken Sie dann auf „Passwort anwenden“

4.     Über die linken Navigationspunkte können Sie z.B. unter Symbol noch ein kleines Icon definieren. Danach klicken Sie auf „OK“ und haben den ersten Eintrag hinterlegt.

Auf diese Weise können Sie nun weitere Einträge anlegen.

Zugangsdaten verwenden

Suchen Sie den passenden Eintrag. Sie können entweder per Rechtsklick erst den Benutzernamen und dann das Passwort kopieren und auf der Webseite im entsprechenden Feld einfügen oder verwenden Tastenkürzel. Auch eine Auto-Ausfüllen Funktion steht zur Verfügung.

 

TOTP am Beispiel des SSO-Portals einrichten

Keepass XC kann auch zur Erzeugung des sog. One Time Password genutzt werden.
Nachfolgend werden die Schritte zur Einrichtung gezeigt:

1.     Legen Sie einen neuen Eintrag, wie oben gezeigt an oder verwenden Sie einen vorhandenen.

2.     Loggen Sie sich im SSO-Portal der Hochschule (https://sso.haw-landshut.de) ein und wählen Sie den „2FA-Token“ Block.

3.     Melden Sie sich am privacyIdea an

4.     Wählen Sie links „Token ausrollen“ und verwenden Sie folgende Einstellungen:
TOTP: Zeitbasiertes Einmalpasswort
Tokendaten

OTP Schlüssel auf dem Server erzeugen: Haken setzen

OTP-Länge: 6

Zeitschritt: 30

Hash-Algorithmus: sha-512

Klicken Sie auf „Token ausrollen“


5.     Anstelle des QR-Codes klicken Sie mit der rechten Maustaste auf den Link im Test neben dem QR-Code auf „hier“ und kopieren die Adresse:

6.     Fügen Sie den Link in einer Textverarbeitung oder dem Windows Editor ein:

Suchen Sie sich den Hashwert heraus, indem sie „secret=“ suchen und den Text bis zum „&period“ kopieren

7.     Wechseln Sie nun in Keepass XC und klicken Sie auf den in Schritt 1 angelegten Eintrag und klicken mit der rechten Maustaste auf den Eintrag um dann unter TOTP auf TOTP einrichten:


8.     Im nun aufgehenden Fenster können Sie den aus Schritt 6 kopierten Schlüssel bei „Geheimer Schlüssel“ einfügen. Wählen Sie zudem die aus Schritt 4 vorgenommen Benutzerdefinierten Einstellungen:


Klicken Sie nun auf „OK“. Keepass XC speichert nun die Passwortdatei erneut.

9.     Die Einrichtung ist damit abgeschlossen. Die Verwendung wird im nächsten Block beschrieben

 

TOTP am Beispiel des SSO-Portals verwenden

1.     Wählen Sie in Keepass XC den gewünschten Eintrag aus und klicken Sie mit der rechten Maustaste darauf. Wählen Sie dann TOTP und TOTP anzeigen. Hier können Sie nun den Token ablesen / kopieren:


Ich habe meinen Token verloren, was mache ich denn jetzt?

Wenn Sie Ihren Token verloren haben, loggen Sie sich bitte unter https://sso.haw-landshut.de mit Ihren Hochschuldaten ein. Klicken Sie anschließend unten auf "Token verloren".



Im sich nun öffnenden Email-Fenster geben Sie bitte noch Ihren Benutzernamen und Ihre Email-Adresse ein. Wenn diese Daten mit denen uns hinterlegten übereinstimmen, erhalten Sie anschließend per Mail einen Einmal-Token, mit dem Sie wieder Zugriff auf Ihren Account erhalten.

Richten Sie sich gleich einen neuen Token ein und deaktivieren Sie den verlorenen!

Ich kann mich trotz gültigem TOTP-Token nicht anmelden?!

Sind Sie sich ganz sicher, dass Sie den Token schon einmal erfolgreich verwendet haben und können somit ausschließen, dass
- es der falsche SHA-Algorithmus ist
- sowie Sie ein aktuelles TOTP abgetippt haben
und 
- beim Anmeldeversuch das TOTP-Token auch in der Liste der gültigen Tokens angezeigt wird
sowie
- Sie auch keinen Fehler beim Seitenaufruf wie das versehentliche Öffnen einer Fehlerseite durch Auto-Vervollständigung gemacht haben

dann bedeutet dies, dass Ihr Token einen niedrigen timeShift hat. Da der Token zeitabhängig ist, beeinflusst der Server den timeShift-Wert Ihres Tokens. Ist dieser zu niedrig, akzeptiert der Server den Wert nicht, den Sie eingeben.

Ist der Token nun nutzlos?
Ja, aber nur vorübergehend. Der Wert kann reduziert werden bzw. der Token auf der Serverseite resynchronisiert.

Falls Sie einen zweiten Token haben und sich damit im Portal einloggen können:

Resynchronisieren Sie Ihren Token. Öffnen Sie den Token und geben sie danach 2 aktuelle TOTP-Werte desselben Tokens ein:



Andere Tipps dazu finden Sie weiter unten.

Falls Sie sich im Portal gar nicht anmelden können:

Rufen Sie den Service-IT an. Falls Sie Ihre App zur Hand haben, dauert dieses Gespräch etwa 5 Minuten. Der Service IT benötigt dann zwei sehr aktuelle aufeinanderfolgende TOTP-Werte von Ihnen, damit der Token resynchronisiert hat (daher ist ein Telefonat oder ein Vor-Ort-Termin nötig - es nützt nichts, zwei Werte in eine Mail reinzuschreiben, da diese beim Bearbeiten der Anfrage schon zu alt sind).

Sollten Sie beim Auftreten des Problems keine Zeit für ein Telefonat oder ein Vor-Ort-Gespräch haben oder der Service IT gerade an Anfragen zu viel zu tun haben, senden Sie bitte ein Ticket an ticket@haw-landshut.de damit Ihnen alternativ Ihr Registrierungstoken zurückgesetzt wird und Sie mit diesem wieder ins Portal kommen, um dann einen neuen ausrollen zu können.

Wie entsteht dieser timeShift?
Der timeShift wird beim Anmelden mit dem TOTP beeinflusst  - auf der Serverseite - die Apps und deren Tokens selbst nehmen keine Verbindung zum Server auf, doch der Token ist ja dennoch gleich wodurch dann der Wert wie oben erwähnt nicht akzeptiert wird. Jeder Token hat einen eigenen timeShift. Sie können ihn nicht einwandfrei steuern, doch hilflos sind Sie damit auch nicht. timeShift-Werte können bei einer Anmeldung auch in die andere Richtung gehen (man will dass der Wert auf 0.0 zugeht, nicht etwa weg davon).

Was kann man denn machen?
Tatsächlich haben Sie, abgesehen von den oben angeführten Möglichkeiten, noch ein paar andere relativ gute und einfache Möglichkeiten dafür zu sorgen, dass der Wert nicht zu niedrig wird bzw. sich dieser erholt: Nehmen Sie in Ihrer App immer einen neuen Wert nachdem Sie den Timer haben ablaufen lassen. Auf diese Weise sinkt Ihr Timeshift sehr viel langsamer oder erholt sich evtl. sogar. Der Server überprüft immer, wann Sie sich das letzte Mal eingeloggt haben während der Gültigkeit des anderen TOTPs. Haben Sie sich aktuell mit einem Timer niedriger als zuvor eingeloggt, wird der timeShift kleiner (dies ist schlecht für den Token), doch haben Sie sich mit einem Timer-Wert der höher ist, als der letzte, dann erholt er sich.

Das heißt also: Warten Sie immer, bis Ihr Timer abläuft, falls er schon zu niedrig ist. Alternativ können Sie sich auch zwischen einem Token mit schon fast abgelaufenem Timer und danach beim nächsten Mal einem neuen Timer entscheiden. Das würde bedeuten, dass sich Ihr timeShift immer wieder verringert, dann erholt, usw. Oder: Melden Sie sich immer dann an, wenn der Timer bei derselben Zahl ist, wie sonst auch (in echt wiederholt schwer durchführbar), passiert sogar überhaupt nichts mit dem timeShift-Wert.

Sie können sich auch selbst ein wenig um den timeShift innerhalb Ihres Profils kümmern:



Sehen Sie sich dafür den Token in der App an und dann geben Sie einen TOTP-Wert bei einem noch möglichst hohen Timer ein. Das ist nicht ganz so wirksam wie eine Resynchronisation (welche Sie besser stattdessen machen sollten), aber es beugt ebenfalls dem Fall vor, dass Sie sich aussperren.

Haben Sie irgendeinen Tipp was man sonst noch machen könnte? 
Es ist ratsam, sollten Sie mal wieder im Service-Portal sein, wenigstens einen zweiten TOTP-Token auszurollen. Benutzen Sie diesen dann nur für wichtige Events (wie Prüfungsanmeldungen z.B). Auf diese Weise haben Sie auf jeden Fall einen, mit dem Sie ins Portal können, denn die Version des Tokens die auf dem Server liegt, wird nur dann beeinflusst, wenn er wirklich gerade benutzt wird. Das bedeutet, sind Sie wirklich einmal mit eine anderen ausgesperrt und Sie haben keine Zeit zu telefonieren oder der Service IT kann sich nicht rechtzeitig Ihres Problems annehmen, haben Sie zumindest diesen Notfalltoken für wichtige Tage.
Sollten Sie nicht oft ins Portal gehen, wird evtl. auch ein einziger Token genügen (was nicht heißt, dass er dann nicht irgendwann vom Service IT zurückgesetzt werden muss, auch dieser kann natürlich trotzdem über kurz oder lang einen ungültigen Wert erhalten).

Das ist aber kompliziert - kann man da gar nichts anderes machen?
Da Zeit eine bedeutende Rolle spielt, kann man das nicht - jedenfalls nicht bei TOTP-Tokens. Sie können einen U2F-Key erwerben, sofern Sie das möchten.

Token-Möglichkeiten: Tabellarische Ansicht

U2F Token Deprecated seit Februar 2022 (Google Chrome)

Wenn Sie einen U2F Token besitzen und als Browser den Google Chrome benutzen, dann haben Sie vermutlich in Ihrem Browser die folgende Info schon gesehen:

 

Um diesen Fehler zu umgehen, drücken Sie bitte auf „Zulassen“, danach funktioniert der Security Key wie üblich.

Die Fehlermeldung wird in Chrome < V. 98, die seit 02.02.2022 verfügbar ist, angezeigt. Ab V. 98 wird der Security Key in Chrome nicht mehr unterstützt. Bitte starten Sie kein Update manuell, wenn nicht schon automatisch geschehen.  

https://developer.chrome.com/blog/deps-rems-95/#deprecate-u2f-api-cryptotoken

Die Security Keys werden auch in Microsoft Edge nicht mehr unterstützt.

Firefox ist nicht betroffen und die U2F Keys können mit Firefox weiterhin benutzt werden.

Wir empfehlen Ihnen sicherheitshalber auch einen TOTP Token bis März zu registrieren, wie oben in unseren FAQs beschrieben.

 

 

 

 

HAWLA TOTP: Token QR-Code einscannen

Sie können mit der HAWLA TOTP App ganz einfach neue Tokens über den QR-Code Scanner einscannen.

Aktivieren Sie dazu über das QR-Code Symbol oder, falls dies nicht vorhanden ist, über das Dropdown-Menu rechts daneben den QR-Code Scanner.

Der QR-Code Scanner benötigt Zugriffsrechte auf Ihre Kamera. Sie werden aufgefordert werden, diese zu vergeben.

HAWLA TOTP: Ich habe ein neues Handy. Was passiert mit meinen Tokens?

Sie können über die Einstellungen Ihre Tokens exportieren.

Diese Funktion ist nicht verfügbar, wenn Sie kein Gerätepasswort (PIN, Muster, Fingerabdruck, etc.) festgelegt haben.

Gehen Sie dazu über das Zahnradsymbol oder, falls dies nicht vorhanden ist, über das Dropdown-Menu rechts daneben in die Einstellungen.

Tippen Sie unten auf den Button „Exportieren“. Diese Funktion benötigt Ihr Gerätepasswort. Die App hat keinerlei Zugriff auf Ihr Gerätepasswort, sondern erhält nur eine Bestätigung, wenn Sie dieses richtig eingeben haben.

Scannen Sie die generierten QR-Codes mit einer beliebigen Authenticator-App, wie z.B. „FreeOTP“, „HAWLA TOTP“ oder „Google Authenticator“.

HAWLA TOTP: Es wird eine Fehlermeldung angezeigt

Während der Nutzung der HAWLA TOTP App kann es, z.B. durch ein Softwareupdate des Gerätes, zu Fehlern kommen. Meistens wird dazu ein Fehlercode mit einer kurzen Nachricht angezeigt.

Falls ein Fehlercode angezeigt wird, dann schreiben Sie bitte eine E-Mail an support(at)haw-landshut.de mit einem Bild des Fehlercodes im Anhang und beschreiben Sie kurz was Sie getan haben, um den Fehler hervorzurufen. Fügen Sie der E-Mail bitte auch das Modell Ihres Gerätes, z.B. „Google Pixel 3a“, sowie das verwendete Betriebsystem und Version, z.B. „Android 13.0“ hinzu.

[für Mitarbeiter] Wie registriere ich meinen neuen Yubikey?

1. Loggen Sie sich im SSO-Portal ein.

2. Klicken Sie auf die Kachel:

3. Eine neue Seite wird im neuen Tab oder Fenster aufgemacht, klicken Sie dort auf den dunkelblauen Anmeldebutton. Ihre Anmeldedaten werden automatisch übernommen.

4. In der Anwendung wird Ihnen die Liste aller Ihrer bisherigen Token, falls vorhanden, angezeigt. Wählen Sie hier bitte den Menüpunkt „Token ausrollen“ aus:

Falls Sie bisher keine Token hatten, wird Ihnen direkt vorgeschlagen einen neuen WebAuth-Token auszurollen. Die Beschrebung ist kein Pflichtfeld, die können Sie auch leer lassen. Drucken Sie bitte noch nicht den Button "Token ausrollen", sondern stecken Sie zuerst Ihren Yubikey in dem USB-Slot Ihres Computers.

5. Stecken Sie den Yubikey in dem USB-Slot Ihres Computers.

6. Im neuen Fenster (Ergebnis von Schritt 4) lassen Sie die Voreinstellung auf „WebAuthn“ und klicken auf den blauen Button „Token ausrollen“:

7. Eine Sicherheitsfrage wird Ihnen angezeigt, die je nach Betriebsystem oder Browser unterschiedlich aussehen kann. Befolgen Sie bitte die Anweisungen Ihres Betriebsystems in diesem Punkt.

Hier ein paar Beispiele von Pop-Up Fenster mit Sicherheitsanweisungen:

8. Wenn der Yubikey aufleuchtet, berühren Sie ihn auf der goldenen kreisförmigen Fläche. Als Ergebnis ist der Key „ausgerollt“ bzw. registriert.

Hinweis:

Bitte beachten Sie, dass der nun ausgerollte Yubikey noch nicht als 2. Faktor im aktuellen SSO-Portal genutzt werden kann. Die Umstellung ist aktuell auf den 01.12.2023 terminiert.

Vielen Dank für Ihr Verständnis.

Ich habe zu früh auf Token ausrollen gedrückt, der Yubikey leuchtete noch nicht?

Wenn Sie zu früh den Button "Token ausrollen" gedrückt haben, öffnen Sie die Liste Ihre Token und wählen den neuen Token aus:

 

In der Detailansicht können Sie den fehlerhaften Token löschen.