Ich erhalte die Fehlermeldung "Nicht bei Duo registriert". Was bedeutet das?
Die Fehlermeldung "Nicht bei Duo registriert" bedeutet, dass Sie für Ihren Account die Multi-Faktor-Authentifizierung noch nicht konfiguiert haben, aber auf einen Dienst zugreifen möchten, für den dies erforderlich ist.
Richten Sie für Ihren Account die Multi-Faktor-Authentifizierung ein und versuchen Sie anschließend erneut, sich bei dem Dienst anzumelden, bei dem Sie eine Fehlermeldung bekommen haben. Nutzen Sie die folgende Anleitung: Erstregistrierung in Cisco Duo
Ich erhalte die Fehlermeldung "Sie haben keine Authentifizierungsoption, die es Ihnen gestattet, auf diese Anwendung zuzugreifen". Was soll ich tun?
Sie erhalten die Fehlermeldung “Sie haben keine Authentifizierungsoption, die es Ihnen gestattet, auf diese Anwendung zuzugreifen”, wenn Sie Cisco Duo bereits zu einem früheren Zeitpunkt konfiguriert haben, Ihre als zweiten Faktoren registrierten Geräte jedoch alle nicht mehr aktiv sind. Ursachen dafür können z.B. sein, dass Sie die Duo Mobile Applikation gelöscht haben oder Ihr Smartphone auf Werkseinstellungen zurückgesetzt haben, ohne vorher ein neues Gerät hinzuzufügen.
Bitte wenden Sie sich in diesem Fall an unseren Helpdesk.
Was ist eine Multi-Faktor-Authentifizierung (MFA)?
Um dem Risiko von Cyberangriffen entschieden entgegenzuwirken und den Schutz von Daten und Geräten zu intensivieren, führt die Universität zu Köln die Multi-Faktor-Authentifizierung (MFA) für den Login von IT-Diensten ein. Dabei handelt es sich um einen oder mehrere unabhängige Faktoren, welche bei einem Login mit Personal-, Studierenden- oder Gast-Account zusätzlich zu Benutzernamen und Passwort verwendet werden müssen. Hierdurch wird der Schutz vor unbefugtem Zugriff auf Dienste, Software und Daten erhöht.
Was ist Cisco Duo?
Die Mehrfaktorauthentifizierung (MFA) wird an der Universität zu Köln mit Cisco Duo umgesetzt.
Cisco Duo ist ein System, welches mehrere Authentifizierungsmöglichkeiten als sogenannten Zweiten Faktor umfasst.
Welche Möglichkeiten der Authentifizierung bietet Cisco Duo?
Cisco Duo bietet verschiedene Möglichkeiten an, einen zweiten Faktor zu nutzen:
Duo Mobile-App
FIDO2-Key: In webbasierten Anmeldungen kann auch ein FIDO2-Key (z.B. YubiKey, Titan Security Key oder vergleichbare) als zweiter Faktor genutzt werden. Da dieses Verfahren nur in webbasierten Anmeldungen zur Verfügung steht, kann ein FIDO2-Key erst nachträglich über die Geräteverwaltung hinzugefügt werden. Wenn Sie einen FIDO2-Key als ausschließlichen zweiten Faktor zu Ihrem Account hinzufügen möchten, wenden Sie sich bitte an unseren Helpdesk. Bitte beachten Sie, dass wir Ihnen keinen technischen Support zur Funktionsweise Ihres FIDO2-Keys geben können, lediglich zum allgemeinen Einrichtungsprozess. Beachten Sie auch unsere weiteren Informationen und die Anleitung zu diesem Thema.
Sollten Sie keine App oder FIDO2-Key verwenden wollen oder können, melden Sie sich bitte am ITCC-Helpdesk.
Kann ich auch eine andere Authentifizierungs-App nutzen (z.B. Google Authenticator)?
Nein, Cisco Duo unterstützt nicht die Verwendung anderer Authentifizierungs-Apps. Cisco Duo unterstützt nur die Duo Mobile-App. Duo Mobile kann zwar andere Passcode-generierende Apps für Drittanbieterkonten ersetzen, aber andere Apps können Duo Mobile nicht ersetzen.
Welche Dienste werden mit Cisco Duo abgesichert?
Folgende Dienste sind aktuell mit Cisco Duo abgesichert:
Für alle Dienste, bei denen die Anmeldung mit Cisco Duo erfolgt, gilt die Verpflichtung zur Verwendung eines zweiten Faktors unabhängig von der Statusgruppe (Studierende, Beschäftigte, …). Es kommt also nur darauf an, bei welchem Dienst Sie sich anmelden möchten (siehe die Frage Welche Dienste werden mit Cisco Duo abgesichert?)
Darf jemand anderes meine Zugangsdaten nutzen und Cisco Duo für mich einrichten?
Studierenden- und Personalaccounts sind an unserer Universität personengebunden und dürfen nicht weitergegeben werden. Das Weitergeben oder zur Verfügung stellen der Zugangsdaten oder des Zugangs an eine weitere Person stellen einen Verstoß gegen unsere Benutzungsordnung dar und führen zur Sperrung des betroffenen Accounts.
Zweiter Faktor / Geräte
Was ist mein Zweiter Faktor?
Als "Zweiter Faktor" werden alle Authentifizierungsmöglichkeiten (Geräte) bezeichnet, die Sie in Cisco Duo hinterlegt haben. Sie können diese im Self-Service-Portal einsehen, neue hinzufügen oder entfernen.
Ich habe nicht die Möglichkeit Cisco Duo auf dem Campus einzurichten. Wie gehe ich vor?
Die erstmalige Registrierung für Duo ist nur möglich über Geräte, die sich auf dem Campus der UzK befinden (nicht von zu Hause oder unterwegs per VPN).
Wenn Sie nicht im Kölner Umland wohnen, sich z.B. im Auslandssemester befinden o.ä. und die Registrierung nicht auf dem Campus vornehmen können, wenden Sie sich bitte an den ITCC-Helpdesk. Bitte nehmen Sie zur Kenntnis, dass die Weitergabe der Zugangsdaten zu Ihrem Studierenden- oder Personalaccount an jegliche Personen ausnahmslos über unsere Nutzungsordnung verboten ist und zur Accountsperrung führen.
Ich habe die Duo Mobile App heruntgerladen. Woher bekomme ich jetzt einen QR-Code zur Einrichtung?
Beachten Sie bitte unsere Anleitung zur Ersteinrichtung. Dort erfahren Sie, wie Sie sich einen QR-Code generieren können.
Wenn Sie zu Ihrem bestehenden Gerät ein weiteres Gerät als zweiten Faktor hinzufügen möchten bspw. weil Sie Ihr Smartphone wechseln möchten, dann beachten Sie die Anleitungen zur Geräteverwaltung.
Ich habe Cisco Duo bereits für VPN eingerichtet. Muss ich mich für KLIPS erneut registrieren?
Für alle über Cisco Duo abgesicherten Dienste gilt der gleiche zweite Faktor. Wenn Sie also Cisco Duo bereits für VPN nutzen, können Sie ohne Weiteres auch KLIPS nutzen.
Wie füge ich einen weiteren Zweiten Faktor/ein weiteres Gerät hinzu?
Wie Sie eine weitere Authentifizierungsmöglichkeit als zweiten Faktor hinzufügen, haben wir in dieser Anleitung beschrieben:
Ich kann die Geräteverwaltung nicht öffnen, sondern sehe die Login-Seite.
Nachdem Sie sich im Self-Service-Portal mit Benutzername und Passwort angemeldet haben, authentifizieren Sie sich bitte zunächst nicht über einen zweiten Faktor, sondern wählen "Geräte verwalten" aus und authententifizieren sich erst im nächsten Schritt. Eine Schritt-für-Schritt-Anleitung finden Sie hier:
Ihre Telefonnummer wird nicht benötigt und muss daher auch nicht hinterlegt werden. Wählen Sie stattdessen "Ich habe ein Tablet" aus. Eine bebilderte Anleitung finden Sie hier:
Welches sind die Systemvoraussetzungen für Duo Mobile?
Für die Verwendung der App Duo Mobile auf einem Mobilgerät (typischerweise ein Smartphone oder Tablet) als zweiten Faktor muss das Mobilgerät eine der folgenden Anforderungen erfüllen:
Android 11 oder höher
iOS 15.0 oder höher
iPadOS 15.0 oder höher
watchOS 4.0 oder höher
Die Duo Mobile App ist aktuell zu halten, das passiert normalerweise durch Updates über den PlayStore oder AppStore. Nach dem 2. Februar kann Duo Mobile nur in Version 4.85 oder neuer eingesetzt werden. Ihre verwendete Version wird Ihnen in der Duo Mobile App im Hamburger Menü (oben links) ganz unten angezeigt. Alternativ finden Sie die Version auch in den Systemeinstellungen.
Auf dem verwendeten Mobilgerät muss zwingend eine Displaysperre (z.B. per PIN, Passwort, Fingerabdruck o.ä.) eingerichtet sein.
Android Geräte, die die Prüfung durch die Play Integrity API nicht bestehen, können nicht zum Genehmigen Ihrer Anmeldeversuche eingesetzt werden. Das betrifft z.B. Geräte mit entsperrtem Bootloader, mit Root-Zugriff oder Geräte die anderweitig manipuliert wurden.
Ich habe KEIN kompatibles mobiles Endgerät für die App Duo Mobile? Was soll ich tun?
Die Duo Mobile App erhebt einige Daten, die für den sicheren Betrieb erforderlich sind. Die folgenden Daten sind für berechtigte Mitarbeitende des ITCC einsehbar und werden von diesen ausschließlich für die Bearbeitung von Supportanfragen oder für Einschätzungen der individuellen Accountsicherheit eingesehen. Eine Weitergabe an andere Stellen der Universität findet ausdrücklich nicht statt.
Zu den erhobenen Daten, die die App übermittelt zählen:
Smartphone Modell
Eingesetzte Android oder iOS Version
Zeitpunkt der letzten Verbindung der App zum Server
Daten zur Sicherheit des Smartphones
Integrität des Systems/“root-Zugriff” (Geräte, die z.B. die Play Integrity Prüfung nicht bestehen, werden abgelehnt)
Verschlüsselungsstatus (Sind die Daten des Smartphones verschlüsselt? Dies ist aktuell kein Faktor für die Autorisierung Ihrer Zugriffe)
Status der PIN-Sperre (Ist das Gerät grundsätzlich per PIN/Password/Muster o.ä. geschützt oder für jeden zugänglich? Geräte ohne konfigurierte Sperre werden aus Sicherheitsgründen abgelehnt)
Status über Schutz per Biometrie (Sind auf dem Gerät Schutzfunktionen per Fingerabdruck/Gesichtserkennung aktiviert? Dies ist aktuell kein Faktor für die Autorisierung Ihrer Zugriffe)
Wenn Sie eine Ihrer Anmeldungen über die Duo Mobile App genehmigen, wird die IP-Adresse des Smartphones zum Zeitpunkt der Genehmigung erfasst
Durch die IP-Adresse können Rückschlüsse auf Ihren verwendeten Internet Service Provider (also Mobilfunkanbieter oder Anbieter des Internetanschlusses) möglich sein
Wenn Sie Rückfragen hierzu haben, zögern Sie nicht uns anzusprechen.
Darf ich mein privates Smartphone nutzen, wenn ich kein dienstliches Smartphone besitze?
Für den Einsatz der Duo Mobile App können Sie Ihr privates Smartphone nutzen.
Die Duo Mobile App fragt, ob ich versuche mich anzumelden, obwohl ich mich nirgendwo versucht habe anzumelden. Was soll ich tun?
Wenn Sie eine Push-Benachrichtigung von der Duo Mobile App erhalten haben, obwohl Sie sich gerade bei keinem Dienst anmelden, besteht der Verdacht, dass Dritte Ihre Zugangsdaten nutzen. Bitte ändern Sie in diesem Fall umgehend das Passwort Ihres Studierenden- oder Personalaccount. Auch möglich ist ein automatisierter Loginversuch eines Ihrer eigenen Geräte. Bitte beachten Sie, dass solche Automatisierungen an per Multi-Faktor-Authentifizierung geschützen Diensten üblicherweise nicht sinnvoll ist, da jeder Loginversuch händisch bestätigt werden muss.
Sie können in der Duo Mobile App einsehen, von wo und von welcher IP-Adresse aus und an welchem unserer Dienste versucht wurde sich mit Ihrem Account anzumelden. Beachten Sie hierbei, dass die Standortinformationen ungenau sein können und nicht zwingend den tatsächlichen Standort wiedergeben. Kontaktieren Sie bei Unklarheiten jederzeit unseren Helpdesk.
Diverses
Was bedeutet "Geräteinformationen speichern" im Cisco Duo-Dialogfenster
Aktivieren Sie diese Option, müssen Sie bei einer erneuten Anmeldung an einem per Cisco Duo abgesicherten Dienst für 9 Stunden keinen Zweiten Faktor verwenden. Es genügt die Anmeldung bei Shibboleth per Benutzername und Passwort.
Achtung: Dies gilt nur für den jeweiligen Computer (Browser), auf dem Sie sich per Zweitem Faktor authentifiziert haben.
Welche Authentifizierungsarten gibt es in Duo Mobile?
Je nach Einsatzzweck gibt zwei unterschiedliche Authentifizierungsarten:
"Duo Push": Die Duo Mobile-App zeigt auf dem eingerichteten mobilen Endgerät eine Push-Benachrichtigung an, über welche Sie mit einem Klick auf "Genehmigen" Ihre Identität bestätigen.
"Duo Mobile-Passcode": Cisco Duo zeigt Ihnen einen temporären Passcode an, welchen Sie in der App eingeben
Die angezeigte Nummer auf dem Hardware-Token funktioniert nicht.
Falls die am Token angezeigte Nummer auch nach mehrmaligen Eingabeversuchen nicht von Cisco Duo akzeptiert wird, melden Sie sich beim ITCC-Helpdesk. Es kann vorkommen, dass der Hardwaretoken bspw. durch versehentliches Betätigen des Knopfes nicht mehr synchron zu Cisco Duo ist.
Screenshot: Geräteinformationen speichern
Hardwaretoken
Ich möchte die Ausleihe meines Hardwaretokens verlängern. Wie gehe ich vor?
Eine Verlängerung können Sie bis zu fünf Mal bei den Kolleg:inenn der Universitäts- und Stadtbibliothek vornehmen. Die Möglichkeiten finden Sie auf der Webseite:
