Allgemeine Informationen zum Perigon Hello
Perigon Hello ist das Modul im Perigon, das für mehr Sicherheit sorgt. Perigon Hello besteht aus einem Authentication Service (Anmeldedienst) und den darin verfügbaren Funktionen. Mit einem Authentication Service wird die Datensicherheit spürbar erhöht und die Daten werden bestmöglich vor unbefugten Zugriffen geschützt.
Allgemeine Informationen zum Authentication Service
Ein Authentication Service (Anmeldedienst) ist ein Dienst, der Login-Informationen empfängt und mit diesen Informationen die Identität des Benutzers prüft. Abhängig vom Resultat der Prüfung und von den Berechtigungen des Benutzers werden danach entsprechende Zugriffe gewährt oder verweigert. Der Authentication Service wird in einem Rechenzentrum in der Schweiz betrieben und hat dabei Zugriff auf eine zentrale Datenbank. Gespeichert werden der Perigon-Benutzername und eine verschlüsselte Version des Kennworts. Diese verschlüsselte Version des Kennworts kann nur mit der Kennworteingabe des Perigon-Benutzers verglichen werden. In der Datenbank des Authentication Services werden ausschliesslich Daten der Perigon-Benutzer gespeichert. Kunden- oder Mitarbeiterdaten usw. bleiben nach wie vor in der jeweiligen Datenbank des Perigon.
Funktionen des Authentication Services
Der Authentication Service enthält die beiden Funktionen Login Delegation und Multifaktor-Authentifizierung (MFA). Diese Funktionen können jeweils einzeln oder zusammen eingesetzt werden.
Informationen zum root-Authentication Service
Der root-Authentication Service ist der Authentication Service, welcher von der root-service ag betrieben wird. Er verfügt über die selben Funktionen wie andere Authentication Services und kann auch für die Zugangsprüfung für Programme anderer Hersteller eingesetzt werden.
Hinweis
Wenden Sie sich für weitere Informationen zur Zugangsprüfung für Programme anderer Hersteller und für die Klärung von Details an unseren Support.
Beispiel
Beispiele zur Anwendung des root-Authentication Services sind in den AbschnittenBeispiel 1: Anmeldung mit root-Authentication ServiceundBeispiel 2: Anmeldung mit root-Authentication Service und Multifaktor-Authentifizierung (MFA) im KapitelBeispiele für die Anmeldung mit einem Authentication Service beschrieben(siehe Kapitel «Beispiele für die Anmeldung mit einem Authentication Service»).
Allgemeine Informationen zur Login Delegation
Bei der Login Delegation entscheidet nicht das Perigon, ob die Anmeldedaten korrekt sind, sondern ein Authentication Service. Solche Authentication Services sind beispielsweise HIN, SwissID oder Microsoft Azure.
Vorteile der Login Delegation
Die Login Delegation bringt folgende Vorteile:
- Gleicher Benutzername und gleiches Kennwort für verschiedene Anwendungen Der Benutzer kann die gleichen Login-Daten (Benutzername und Kennwort) für verschiedene Anwendungen (nicht nur für das Perigon) verwenden.
- Kennwortrichtlinien nur an einem Ort pflegen Die Kennwort-Richtlinien, die für alle Anwendungen gelten, müssen nur an einem Ort definiert und gepflegt werden.
- Login-Delegation mit Multifaktor-Authentifizierung (MFA) Sobald die Login Delegation verwendet wird, gelten auch die Richtlinien des Authentication Services, beispielsweise Microsoft Azure. Setzt der Authentication Service die Multifaktor-Authentifizierung (MFA) voraus, werden die Login-Delegation und die Multifaktor-Authentifizierung (MFA) kombiniert. Dadurch wird die Datensicherheit weiter erhöht.
Hinweise
- Für die Delegation an HIN wird die HIN eID benötigt. Die HIN eID entspricht nicht HIN Mail. Die HIN eID ist ein eigenes Produkt von HIN, das separat gekauft werden muss.
- Weitere Informationen zur HIN eID finden Sie auf der Website von HIN im Blogeintrag vom 27. Mai 2021: Zweifelsfreie Verifizierung Ihrer HIN Identität für ein sicheres, digitales Gesundheitswesen (hin.ch > Blog > Zweifelsfreie Verifizierung Ihrer HIN Identität für ein sicheres, digitales Gesundheitswesen).
Multifaktor-Authentifizierung (MFA)
Allgemeine Informationen zur Multifaktor-Authentifizierung (MFA)
Unter Multifaktor-Authentifizierung versteht man alle Varianten, bei welchen zusätzlich zum Kennwort eine weitere Bestätigung erfasst werden muss. Beispielsweise wird beim Login im Online-Banking bereits heute ein zweiter Faktor verlangt. Nachdem der Benutzer sein Benutzername und Kennwort eingegeben hat, wird die Bestätigung durch den zweiten Faktor gefordert. Erst wenn auch der zweite Faktor erfolgreich bestätigt werden konnte, erhält der Benutzer Zugriff.
Für Perigon Hello nutzbare Formen der Multifaktor-Authentifizierung
- SMS - SMS Empfang auf mobiles Endgerät
- E-Mail - E-Mail Empfang auf Endgerät
- FIDO - Auf Smartphone: Fingerabdruck, Pincode, Gesichtserkennung
- FIDO-Sticks - Verschiedene Sticks wie: FEITIAN, Yubikey
- TOTP - Authenticator-Apps: Google Authenticator, Microsoft Authenticator
Die Liste der für Perigon Hello nutzbaren Formen der Multifaktor-Authentifizierung ist nicht abschliessend. Es erscheinen laufend neue Varianten für FIDO und TOTP. Falls Sie eine nicht aufgelistete Variante einsetzen wollen, wenden Sie sich bitte an unseren Support, damit die Möglichkeit geprüft werden kann.
Vorteile der Multifaktor-Authentifizierung (MFA)
Die Multifaktor-Authentifizierung (MFA) bringt folgende Vorteile:
- Sicherheit dank zwei Elementen Erbeuten, erraten oder gelangen Unbefugte auf anderen Wegen an ein einzelnes Kennwort, reicht das nicht mehr aus, um sich Zugriff zum System zu verschaffen. Für den Zugriff werden beide Sicherheitselemente benötigt.
- Einfacheres Kennwort und gleichzeitig mehr Sicherheit Eines der beiden Sicherheitselemente ist weiterhin ein Kennwort. Diese Kennwort muss nicht mehr zwingend komplizierten Regeln entsprechen. Dadurch kann der Benutzer sich das Kennwort besser merken. Verfügen Unbefugte über dieses einfache Kennwort, ist es nutzlos, solange sie nicht über das zweite Sicherheitselement verfügen.
Keine Anmeldung am Perigon light Web mit Perigon Hello
Sobald Perigon Hello für die Anmeldung verwendet wird, ist die Anmeldung am Perigon light Web nicht mehr möglich.
Häufige Fragen (FAQ) zum Perigon Hello
Braucht es für die Multifaktor-Authentifizierung (MFA) eine zusätzliche App?
Das hängt davon ab, wie der zweite Faktor (zusätzlich zum Kennwort) generiert wird.
- SMS-Code & Code via E-Mail Kein zusätzliche App wird benötigt.
- Authenticator-App Eine zusätzliche App wie beispielsweise Authenticator von Microsoft oder der Google Authenticator wird benötigt.
Wie lange sind die automatisch generierten Codes der Multifaktor-Authentifizierung (MFA) gültig?
Das hängt davon ab, wie der zweite Faktor (zusätzlich zum Kennwort) generiert wird.
- SMS-Code & Code via E-Mail Die Codes sind 9 Minuten gültig. Danach muss ein neuer Code angefordert werden.
- Authenticator-App Die Codes werden nach 30 Sekunden automatisch neu generiert. Ein Code ist jedoch ungefähr eine Minute lang gültig, auch wenn bereits ein neuer Code generiert worden ist.
Weshalb soll ich für die Anmeldung den Authentication Service verwenden?
Mit dem Einsatz des Authentication Service und der darin enthaltenen Funktionen Login Delegation und Multifaktor-Authentifizierung (MFA) wird die Datensicherheit, also der Schutz der Daten vor unbefugten Zugriffen, stark verbessert.
An welchen Geräten ist die Anmeldung mit dem Authentication Service möglich?
Mit dem Authentication Service können sich die Perigon-Benutzer am Perigon am PC (Abk. Personal Computer) Ein Personal Computer (auch Desktop-Computer) ist ein Mehrzweckcomputer, dessen Grösse und Fähigkeiten ihn für den individuellen persönlichen Gebrauch im Alltag nutzbar machen. als auch an mobilen Geräten anmelden. Die Anmeldeinformationen sind für alle Geräte gültig.
Funktioniert der Authentication Service auch, wenn ich keinen Mobilfunk-Empfang (Funkloch) habe?
Nein. Für den Authentication Service wird eine aktive Datenverbindung benötigt.
Kann ich nur die Login Delegation, ohne Multifaktor-Authentifizierung (MFA), verwenden?
Das ist möglich, hängt jedoch davon ab, wie die Anmeldung mit dem Anmeldedienst konfiguriert ist. Meistens lässt sich in der Konfiguration des Anmeldedienstes festlegen, ob Multifaktor-Authentifizierung (MFA) aktiv ist oder nicht.
Kann ich nur die Multifaktor-Authentifizierung (MFA), ohne Login Delegation, verwenden?
Ja, das ist mit dem root-Authentication Service möglich. Der root-Authentication Service generiert den zweiten Faktor, der für die Anmeldung benötigt wird.
Ich habe mein Kennwort vergessen. Kann ich es selbst ändern?
Ja, das ist möglich. Der genaue Ablauf ist in dieser Online-Hilfe im KapitelEigenes Kennwort zurücksetzen und neues Kennwort erfassen beschrieben(siehe Kapitel «Eigenes Kennwort zurücksetzen und neues Kennwort erfassen»).
Kann das Kennwort eines anderen Benutzers zurückgesetzt werden?
Ja, das ist möglich. Der genaue Ablauf ist in dieser Online-Hilfe im KapitelBenutzerverwaltung Perigon Hello beschrieben(siehe Abschnitt «Kennwort eines anderen Benutzers ändern (direkt im Perigon Hello)» im Kapitel «Benutzerverwaltung Perigon Hello»).
Kann ich mich mit Perigon Hello auch am Perigon light Web anmelden?
Nein. Sobald Perigon Hello für die Anmeldung verwendet wird, ist die Anmeldung am Perigon light Web nicht mehr möglich.
Ist der Versand von SMS-Nachrichten mit Perigon SMS ins Ausland möglich?
Ja, das ist möglich, sofern die Mobilfunk-Anbieter im Ausland unterstützt werden. Die Liste der unterstützten ausländischen Anbieter ist unter ecall.ch/service/service.asp verfügbar.
Ist die Anmeldung am Perigon Hello auch ohne E-Mail-Adresse möglich?
Ja. Damit dies möglich ist, muss eine entsprechende Anmelderichtlinie erfasst werden(siehe Abschnitt «Anmelderichtlinie für Anmeldung ohne E-Mail-Adresse erfassen» im Kapitel «Anmelderichtlinien»).
Kann ich mich auf einem Smartphone oder Tablet mit dem Standard-Webbrowser von Samsung am Perigon Hello anmelden?
Das ist grundsätzlich möglich. Allerdings muss zwingend die aktuellste Version des Samsung Webbrowsers installiert sein. Wir empfehlen, den Google Chrome Webbrowser anstatt des Samsung Webbrowsers zu verwenden(siehe Abschnitt «Internetfähiges Gerät und Webbrowser» im Kapitel «Voraussetzungen Perigon Hello»).
Können für Schulungs- oder Testsysteme unterschiedliche Perigon Hello-Benutzer verwendet werden?
Nein. Die Mitarbeiter müssen für Schulungs- oder Testsysteme die selben Anmeldeinformationen (Benutzername, Kennwort usw.) verwenden, die sie bereits im produktiven System einsetzen.(siehe Abschnitt «Informationen zu Perigon Hello-Benutzern für Schulungs- oder Testsysteme» im Kapitel «Benutzerverwaltung Perigon Hello»).
Ist es möglich, unterschiedliche Benutzer-Einstellungen für die Perigon Hello-Benutzer in Schulungs- und Testsystemen zu haben?
Ja, jedoch nur Einstellungen an der Delegation und an der Multifaktor-Authentifizierung (MFA). Dies, weil die Mitarbeiter für die Anmeldung, unabhängig ob Schulungs- oder Testsysteme, die selben Anmeldeinformationen verwenden müssen(siehe Abschnitt «Informationen zu Perigon Hello-Benutzern für Schulungs- oder Testsysteme» im Kapitel «Benutzerverwaltung Perigon Hello»).
Wie können Benutzer gesperrt werden?
- Im Perigon am PC werden Benutzer im Menü Y200 Benutzer
(im Auswahlmenü Status den Wert Passiv auswählen) gesperrt(siehe Abschnitt «Benutzer passiv setzen (im Perigon am PC)» im Kapitel «Benutzerverwaltung Perigon Hello»). - Im Perigon Hello direkt werden Benutzer direkt in den Benutzereinstellungen (Kontrollkästchen Benutzer aktiv deaktivieren) gesperrt(siehe Abschnitt «Benutzer passiv setzen (direkt im Perigon Hello)» im Kapitel «Benutzerverwaltung Perigon Hello»).
