Häufig gestellte Fragen

Das Login in die Admin-App funktioniert unter students.easyauth.ch mit Ihrer M365-E-Mail-Adresse und Ihrem Passwort.  

In der Admin-App sehen Sie den Menupunkt «Verwaltung». Dort können Sie neue Mitarbeitende erfassen und sie per E-Mail einladen. 

Es ist keine zusätzliche Freigabe/Aktivierung erforderlich. Sobald die MFA eingerichtet und die Code-Karte bereitgestellt ist, kann sie direkt genutzt werden.

1. Entra ID Tenant konfigurieren 
2. Benutzergruppe erfassen und SuS hinzufügen 
3. SuS in der Admin-App erfassen 
4. Code Karten generieren

Nein, da die Karten mit einem Klick invalidiert und ersetzt werden können. Zudem besteht die grösste Gefahr nicht in einem Angriff von innerhalb des Schulhauses, sondern von extern, wenn kein 2. Faktor implementiert ist. Passkeys oder Authenticator-Apps bieten einen noch höheren Schutz, sind jedoch in vielen Schulen nicht einsetzbar. Deshalb sind Papierkarten deutlich sicherer als keine 2FA. 

Je höher die Anzahl Codes ist, desto besser ist der Schutz. Wir empfehlen eine Mindestanzahl von 10x5, jedoch ist der Schutz auch mit der geringsten Anzahl schon sehr viel höher als ohne 2. Faktor. 

Ja, jede:r Schüler:in kann eine individuell angepasste Karte mit variierenden Code-Längen (4-10 Zeichen) haben. Diese Flexibilität erlaubt Anpassungen an individuelle Bedürfnisse. Optionen:

• Grossbuchstaben und Ziffern
• Kleinbuchstaben und Ziffern
• Grossbuchstaben Kleinbuchstaben und Ziffern

Die Erstellung erfolgt sofort; bei sehr vielen SuS muss eine kleine Wartezeit einkalkuliert werden. Die Generierung von 100 Code-Karten dauert ca. 1 Minute bei einer Kartengrösse von 10x5, 2 Minuten bei 10x10. 

Die Code-Karten sollten über eine zuverlässige, nicht-elektronische Methode verteilt werden, z.B. über einen vertrauenswürdigen Postdienst.

Die Code-Karte sollte sofort invalidiert werden. Dies geschieht, indem sie gelöscht wird und/oder eine neue Karte ausgestellt wird (das Neuasstellen invalidiert die alte Karte). Diese Aktion kann entweder über die Admin-App oder über die Schülerverwaltungs-API getätigt werden. 

Die Codes werden gehasht und nur der HASH wird gespeichert: Rfc2898DeriveBytes.Pbkdf2 unter Verwendung des SHA512-Algorithmus.

Bei der Registrierung der App wird lediglich der delegierte Zugriff auf die Profildaten des Nutzers beantragt. Das bedeutet, dass die App nur die Erlaubnis hat, auf die Profilinformationen des Nutzers zuzugreifen. Dazu gehören z.B. der Name, die E-Mail-Adresse sowie andere grundlegende Details, die vom Nutzer genehmigt wurden. Über diesen Umfang hinaus werden keine weiteren Berechtigungen oder Datenzugriffe angefordert.  

Die Anzahl der Login-Versuche ist auf drei begrenzt. Danach ist eine kurze Wartezeit erforderlich. So können Brute-Force-Angriffe verhindert werden.  

Bei der Registrierung der App wird lediglich der delegierte Zugriff auf die Profildaten des Nutzers beantragt. Das bedeutet, dass die App nur die Erlaubnis hat, auf die Profilinformationen des Nutzers zuzugreifen. Dazu gehören z.B. der Name, die E-Mail-Adresse sowie andere grundlegende Details, die vom Nutzer genehmigt wurden. Über diesen Umfang hinaus werden keine weiteren Berechtigungen oder Datenzugriffe angefordert.

Die Verschlüsselungs- und Signierzertifikate werden direkt aus einem sicheren Azure Key Vault erstellt und verwendet. Der Azure Key Vault ist nicht über das Internet erreichbar.

Nein. Jede OID kann nur in einem einzigen Mandanten existieren.

Es wird nicht empfohlen, zusätzlich andere MFA-Authentifizierungsmethoden zu unterstützen, wenn keylio verwendet wird, um den Anmeldeprozess für die Benutzenden nicht unnötig kompliziert zu machen. Technisch ist es jedoch ohne Probleme möglich. 

Ja, die MFA-Benutzeroberfläche bietet vollständige Unterstützung für Bildschirmlesegeräte und entspricht den statischen WCAG-Standards.

Ja, Sie können einen lokalen Exchange-Server verwenden. Dafür muss auf dem Server Exchange Hybrid aktiviert sein und dann kann Hybrid Modern Authentication verwendet werden. 

Ja, das ist bei der Konfiguration der keylio-Anmeldeoption ganz einfach möglich. Folgende Inhalte können angepasst werden: 

• Logo
• Farbe
• Sprache
• der Titel der Login-Seite
• der Text des Hilfe-Links 

Wenn der Code dreimal falsch eingegeben wurde, wird der easyauth.ch Service für eine Minute ausgesetzt. Nach 12 Versuchen wird der User informiert und die IT bekommt eine E-Mail, dass der User 12 fehlerhafte Anmeld-Versuche hatte. Der Entra ID-Account wird nicht gesperrt. Dieses Handling schützt vor DDOS, ohne den User gleich für alle Entra-Funktionen zu sperren.