Tweefactor authenticatie backoffice (2FA)

Algemeen

Je backoffice bevat gevoelige data over gebruikers, bezoekers en hun aankopen. Zorg er om veiligheidsredenen voor dat je gebruikers van het systeem altijd persoonlijk inloggen op de backoffice door twee-factor authenticatie verplicht te stellen. Dit betekent dat een gebruiker dan niet alleen met een wachtwoord inlogt, maar ook een aanvullende veiligheidscode. Een gebruiker ontvangt de code per e-mail of haalt deze uit een authenticatie app (bijvoorbeeld Google Authenticator app) die de gebruiker hiervoor zelf kan koppelen.

Deze functie is beschikbaar voor de actuele backoffice (membernaam.newbackoffice.activetickets.com, niet voor de oude backoffice omgeving, die te herkennen is aan het blauw-witte navigatie menu). Als twee-factor authenticatie nog niet aan staat voor je organisatie zie je onderstaande melding bij Beveiliging in het beheer van een gebruiker:

Je kunt in dat geval alleen nog een wachtwoord instellen en nog niet het inloggen met de tweede factor openstellen voor een gebruiker. 

Neem contact op met ActiveTickets om de datum af te spreken waarop je de twee-factor authenticatie als inlogmethode wilt laten ingaan. ActiveTickets schakelt dit dan in. Let op: het is hiervoor noodzakelijk dat elke gebruiker inlogt met een eigen gebruikersaccount, waaraan een uniek mailadres is gekoppeld. Controleer dit van tevoren via het Gebruikers overzicht in de backoffice, zodat je direct de juiste procedure kunt inschakelen voor alle medewerkers.

Tweefactor authenticatie openstellen voor een gebruiker

Na activatie door ActiveTickets van de functie voor je organisatie zijn de volgende stappen nodig door een gebruiker die in de backoffice zelf het recht heeft om Gebruikers te beheren:

Stap 1. Zorg dat elke gebruiker zijn/haar eigen gebruikersaccount heeft, met een eigen mailadres (dus geen geen algemeen mailadres van je organisatie welke door meerdere gebruikers gebruikt wordt of aan meer dan 1 account gekoppeld is).

Aan het oranje uitroepteken bij het mailadres kun je in het overzicht van gebruikers zien dat er nog verificatie nodig is van het ingevoerde mailadres. Je ziet dit ook als je erover heen hovert met je muis.

Gebruikers waarbij dit de status is, krijgen de volgende melding als zij gaan inloggen:

Stap 2. Open de e-mailvalidatie procedure voor elke gebruiker.

Onderdeel van de procedure voor het instellen van de tweede factor is de verificatie van het mailadres, zodat het systeem weet dat het mailadres gebruikt kan worden en dat de eigenaar van het mailadres de procedure gaat doorlopen. Er zijn twee manieren om dit open te stellen voor een gebruiker.

  • Je kunt dit openstellen voor meerdere gebruikers in 1 keer, door de gebruikers te selecteren, en dan via de Acties knop te kiezen voor Open e-mailvalidatie

Je krijgt dan nog een pop-up, om dit te bevestigen. Gebruikers waarvoor de verificatie al heeft plaatsgevonden worden niet gereset als je ze per ongeluk in je selectie hebt meegenomen.

In het overzicht herken dat je dat de mailverificatie open staat doordat het uitroepteken bij het mailadres blauw geworden is.

  • Je kunt ook voor 1 individuele gebruiker de mailverificatie openstellen in het gebruikersscherm zelf onder Beveiliging, met de knop Open e-mailvalidatie. Let op: maak je een nieuwe gebruiker aan, dan verschijnt de optie pas nadat eerst een wachtwoord is ingesteld. Het wachtwoord is namelijk altijd nodig in combinatie met de tweede factor.

De gebruiker heeft twee weken de gelegenheid de verificatie te doorlopen en de tweede factor in te stellen, daarna vervalt de openstelling. In de gebruiker zie je hoeveel dagen iemand nog heeft. De persoon die gebruikers mag beheren kan de e-mailvalidatie weer dicht zetten indien een situatie daarom vraagt of de periode resetten, waardoor de gebruiker iets langer de tijd heeft voor het instellen.

De gebruiker ontvangt geen mail na het openstellen, maar doorloopt zelf het proces hiervoor bij de eerstvolgende keer dat hij/zij gaat inloggen, waarbij er een code via de mail naar de gebruiker wordt gestuurd:

De gebruiker voert de per mail ontvangen code in. Zo'n code is beperkt houdbaar, dus er is een optie voor een gebruiker om zichzelf een nieuwe code te sturen. Elke ontvangen code heeft een eigen volgnummer, dit nummer ziet een gebruiker terug in de inlogpagina.

Als de e-mailvalidatie succesvol is doorlopen herken je dit in het overzicht in de backoffice aan het groene vinkje bij het mailadres.

In de gebruiker zelf zie je onder het kopje Beveiliging de status Geverifieerd.

Stap 3. De gebruiker zelf kan na de validatie van het mailadres en het inloggen met de code de "tweede factor" instellen

Opties voor het instellen van de tweede factor

De gebruiker kan ervoor kiezen om direct na de eerste inlog met de veiligheidscode, meteen een authenticator app te koppelen in de Account instellingen, bijvoorbeeld Google Authenticator (maar ook andere apps voor authenticatie kunnen hiervoor gebruikt worden). Ga hiervoor als gebruikers naar het accountbeheer rechtsboven in:

Onder de optie Beveiliging zie je naast de wachtwoord wijzigen optie een mogelijkheid om een Authenticator App te koppelen:

Je ziet daarnaast ook de "geregistreerde apparaten" waarop is ingelogd. Bij het inloggen kun je namelijk aangeven of je het apparaat wilt onthouden. Op organisatieniveau kan ActiveTickets instellen hoe lang de periode mag zijn waarin een gebruiker op hetzelfde apparaat mag inloggen zonder de tweede factor na eenmalige inlog met tweede factor (advies is nooit langer dan 10 uur). Je kunt een geregistreerd apparaat zelf verwijderen.

De stappen voor het koppelen van een authenticator app staan in het scherm als je klikt op Registreer authenticatie app. Had je al een app gekoppeld, dan vervalt de oude registratie als je opnieuw het proces doorloopt:

Na het scannen van de QR zie je een code in je app die je in dit scherm moet Valideren via de blauwe knop. Als de code juist is staat de app gekoppeld aan je account.

Een gebruiker heeft na het koppelen dan bij het inloggen op de backoffice dan de keuze om de code uit de gekoppelde app te halen of zichzelf een mail te sturen met een code (de gebruiker klikt op 1 van beide opties):

Als de gebruiker niet heeft gekozen voor het onthouden van zijn apparaat, wel zijn mailadres heeft gevalideerd, maar nog geen app heeft gekoppeld is het mogelijk de app alsnog te koppelen in de flow van het eerstvolgende inlog proces. In het inlogproces wordt hetzelfde scherm getoond voor het koppelen van de app, als wanneer de gebruiker de registratie doet in Account instellingen.

Herkennen of iemand de procedure juist heeft gevolgd

Als iemand zowel het mailadres verificatie proces heeft doorlopen en ook een authenticator app heeft gekoppeld, zie je dit in gebruikersbeheer aan de groene tekens bovenin het detailscherm van de gebruiker (het schildje geeft aan dat de tweede factor staat ingesteld):

Je ziet dit ook onder het kopje Beveiliging:


Heeft deze uitleg je vraag beantwoord? Bedankt voor je feedback! Er is een probleem opgetreden bij het verzenden van je feedback. Probeer het later opnieuw.

Gerelateerde onderwerpen