2FA / Two-Factor-Authentication mit Microsoft Authenticator einrichten

[ph!L]

Hallo zusammen,
ich stehe zum ersten Mal vor der Aufgabe eine 2FA mit Microsoft Authenticator einzurichten.

Wie passiert das denn konkret? Es gibt zwar die Einstellung im Backend, aber irgendwie muss der Code der App mit dem Contao Backend ja abgeglichen werden?

Microsoft Authenticator wird in den Docs und in einigen Blog Artikeln auch immer als konkretes Beispiel genannt, aber wie man beide miteinander verbindet steht nirgendwo.

Wie fange ich das Thema am besten an?

Besten Dank im Voraus
Philipp

[Spooky]

Mir scheint du fragst generell wie 2FA funktioniert? Du aktivierst 2FA, scannst den QR Code in deiner Authenticator App (wie zB der Microsoft Authenticator, kann aber auch Google Authenticator, Authy, oder sonst was sein), bestätigst das dann mit dem Code und fertig.

[ph!L]

Ich glaube Contao und ich haben unterschiedliche Anforderungen an 2FA?
Ich bin davon ausgegangen, dass ich das als Admin jedem Benutzer aufdrücken kann. tatsächlich muss das aber jeder User für sich selbst aktivieren und einrichten. Damit ist es ja dann nur so sicher wie der User es zulässt. Ich kenne es aus dem Microsoft Umfeld so, dass ein erster Login gar nicht möglich ist ohne die 2FA einzurichten.

Ab dem Punkt wo ich als User den Code gescannt habe ist mir das Verfahren klar ;-)

[Spooky]

Ich bin davon ausgegangen, dass ich das als Admin jedem Benutzer aufdrücken kann.

Das kannst du über die Config, ja.

[ph!L]

Code:

security:
        two_factor:
            enforce_backend: true

Oder gibt es auch eine Checkbox, die ich nicht finde?

[Spooky]

Eine Checkbox gibt es nicht. Und ich hoffe du hast

PHP-Code:

# config/config.yaml
contao:
    security:
        two_factor:
            enforce_backend: true 


benutzt

[ph!L]

Hab ich aktiviert und tatsächlich das Ergebnis erhalten, das ich erwartet habe. So einfach kann es sein.

Tausend Dank!

[derRenner]

Aber das steht doch

Erzwingt die Zwei-Faktor-Authentifizierung für alle Mitglieder.

Ich hätte da auch heraus gelesen, dass das Setzen des Häkchen die 2FA für alle auslöst - oder gilt das dann nur für Mitglieder die sich im Frontend anmelden? Und für Benutzer im Backend greift das nicht?

Ja, ich könnte das austesten

[ph!L]

Aber das steht doch

Ich hätte da auch heraus gelesen, dass das Setzen des Häkchen die 2FA für alle auslöst - oder gilt das dann nur für Mitglieder die sich im Frontend anmelden? Und für Benutzer im Backend greift das nicht?

Ja, ich könnte das austesten

"enforde_backend" erzwingt nur fürs Backend, also für Benutzer, nicht Mitglieder. So zumindest meine Lesart.

[Spooky]

Aber das steht doch

Ich hätte da auch heraus gelesen, dass das Setzen des Häkchen die 2FA für alle auslöst - oder gilt das dann nur für Mitglieder die sich im Frontend anmelden? Und für Benutzer im Backend greift das nicht?

Ja, ich könnte das austesten

Das ist für Mitglieder, nicht für Backend User.