Multi-Faktor-Authentifizierung (MFA)

Hinweis

MFA steht ab Version 6.14.0 des be Portals zur Verfügung und wird durch den Administrator aktiviert.

Das be Portal bietet zwei Anmeldewege:

• Portal-Login (Benutzername und Passwort)

• Anmeldung über Microsoft SSO

Portal-Login

Die klassische Anmeldung erfolgt direkt über das be Portal mit Ihren persönlichen Zugangsdaten.

1. Öffnen Sie die Adresse Ihres Systems im Browser:
   https://<system>.businessexpress.cloud

2. Geben Sie Ihren Benutzernamen und Ihr Passwort ein.

3. Klicken Sie auf Anmelden.

4. Falls MFA für Ihr Konto aktiviert ist, werden Sie anschließend zur MFA-Eingabe weitergeleitet (siehe Abschnitt Anmeldung mit MFA).

Hinweis

Ihre Zugangsdaten erhalten Sie von Ihrem Administrator. Falls Sie Ihr Passwort vergessen haben, wenden Sie sich bitte an den Support.

Microsoft SSO

Mit Single Sign-On (SSO) melden Sie sich mit Ihrem bestehenden Microsoft 365-Firmenkonto an, ohne ein separates Passwort für das be Portal eingeben zu müssen.

1. Öffnen Sie das be Portal im Browser.

2. Klicken Sie auf der Anmeldeseite auf den Button Microsoft.

3. Sie werden zur Microsoft-Anmeldeseite weitergeleitet. Melden Sie sich dort mit Ihrem Firmenkonto an (oder wählen Sie ein bereits angemeldetes Konto aus).

4. Nach erfolgreicher Authentifizierung durch Microsoft werden Sie automatisch im be Portal angemeldet.

Hinweis

Der Button Microsoft erscheint nur dann auf der Anmeldeseite, wenn SSO durch Ihren Administrator eingerichtet wurde. Falls der Button fehlt, nutzen Sie den Portal-Login oder wenden Sie sich an Ihren Administrator.

Multi-Faktor-Authentifizierung (MFA)

MFA ergänzt den Login um einen zweiten Sicherheitsfaktor. Neben Benutzername und Passwort wird ein zeitbasiertes Einmalpasswort (TOTP) abgefragt, das über eine Authentikator-App auf dem Smartphone erzeugt wird. Ein kompromittiertes Passwort allein reicht damit nicht mehr aus, um Zugriff auf das Portal zu erhalten.

Voraussetzung: Authentikator-App installieren

Installieren Sie vor der Einrichtung eine der folgenden Apps auf Ihrem Smartphone:

• Microsoft Authenticator – verfügbar für iOS und Android

• Google Authenticator – verfügbar für iOS und Android

• FreeOTP – Open-Source-Alternative

Andere TOTP-kompatible Apps funktionieren in der Regel ebenfalls.

Ersteinrichtung der MFA

Die Einrichtung erfolgt einmalig und wird automatisch beim nächsten Login ausgelöst, sobald ein Administrator MFA für Ihr Konto aktiviert hat. Eine separate Aktivierung ist nicht erforderlich.

1. Öffnen Sie das be Portal und melden Sie sich mit Benutzername und Passwort an.

2. Nach der Passworteingabe erscheint automatisch ein Einrichtungsbildschirm mit einem QR-Code.

3. Öffnen Sie Ihre Authentikator-App auf dem Smartphone.

4. Wählen Sie in der App die Funktion „Konto hinzufügen" (meist ein +-Symbol) und scannen Sie den QR-Code.

5. Die App zeigt ab sofort ein sechsstelliges Einmalpasswort, das sich alle 30 Sekunden erneuert.

6. Geben Sie das aktuell angezeigte Einmalpasswort im be Portal ein und bestätigen Sie.

Die Einrichtung ist damit abgeschlossen. Ab sofort wird bei jeder Anmeldung das Einmalpasswort als zweiter Faktor abgefragt.

Anmeldung mit MFA (nach der Einrichtung)

1. be Portal öffnen und Benutzername sowie Passwort eingeben.

2. Das Portal fordert zur Eingabe des Einmalpassworts auf.

3. Authentikator-App öffnen und das aktuelle sechsstellige Einmalpasswort ablesen.

4. Einmalpasswort im be Portal eingeben und Anmeldung bestätigen.

Geräteverwaltung: Zweites Gerät oder weitere App registrieren

Sie können mehrere Authentikator-Apps oder Geräte für Ihr Konto registrieren, zum Beispiel als Backup oder bei einem geplanten Gerätewechsel. So bleibt Ihr Zugang auch dann gesichert, wenn das primäre Gerät nicht verfügbar ist.

Wichtig

Registrieren Sie ein zweites Gerät, solange Sie noch Zugriff auf Ihr bisheriges Gerät haben. Ist das alte Gerät bereits defekt oder verloren, ist nur noch ein Administrator-Reset möglich (siehe unten).

So registrieren Sie ein weiteres Gerät:

1. Öffnen Sie die Keycloak-Kontoverwaltung in Ihrem Browser:
   https://<system>.businessexpress.cloud/iam/auth/realms/businessexpress/account/

2. Melden Sie sich mit Ihren be Portal-Zugangsdaten (Benutzername und Passwort) an.

3. Navigieren Sie zu Kontosicherheit > Anmeldung.

4. Klicken Sie neben Zwei-Faktor-Authentifizierung auf Authenticator-Anwendung einrichten.

5. Folgen Sie dem Einrichtungsassistenten: Scannen Sie den neuen QR-Code mit der App auf dem zweiten Gerät.

6. Geben Sie das erzeugte Einmalpasswort zur Bestätigung ein.

Das zweite Gerät ist damit registriert und kann ab sofort für die MFA-Anmeldung verwendet werden.

Problembehandlung und häufige Fragen

Der Code wird nicht akzeptiert

TOTP-Codes basieren auf der aktuellen Uhrzeit. Stimmt die Uhrzeit des Smartphones nicht mit der Serverzeit überein, werden Codes abgelehnt. Aktivieren Sie in den Smartphone-Einstellungen die automatische Zeitsynchronisation:

• Android: Einstellungen > Allgemeine Verwaltung > Datum und Uhrzeit > Automatisches Datum und Uhrzeit

• iOS: Einstellungen > Allgemein > Datum & Uhrzeit > Automatisch einstellen

Gerätewechsel geplant

Registrieren Sie die Authentikator-App auf dem neuen Gerät über die Kontoverwaltung (siehe oben), bevor Sie das alte Gerät außer Betrieb nehmen. Einige Apps (z.B. Google Authenticator, Microsoft Authenticator) bieten außerdem eine integrierte Übertragungsfunktion an.

Kein Zugriff mehr auf die Authentikator-App

Wenn kein Zugriff auf die Authentikator-App besteht und kein zweites Gerät registriert ist, ist eine eigenständige Anmeldung nicht mehr möglich. In diesem Fall muss ein Administrator die MFA für Ihr Konto zurücksetzen. Wenden Sie sich dazu an Ihren IT-Support oder Administrator. Nach dem Zurücksetzen wird beim nächsten Login die Ersteinrichtung erneut durchlaufen.

SSO-Button fehlt auf der Anmeldeseite

Der Microsoft-Button erscheint nur, wenn SSO durch einen Administrator aktiviert wurde. Wenden Sie sich an Ihren Administrator, falls Sie SSO nutzen möchten und der Button nicht angezeigt wird.