Jump to content

User automatisch abmelden bei abstecken des Fido2 Keys


MoC88
Direkt zur Lösung Gelöst von testperson,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

Wir haben Surface Go2 Tablets für unsere Pflegeeinrichtungen vorgesehen um schnelle Dokumentationen im Flur vorzunehmen. Die Tablets hängen dabei an der Wand. Nun sind wir einige Szenarien am testen. Dadruch, dass wir das M365 E3 Paket lizensiert haben haben, ist mein Favorit ein Login mit einem Fido2 Key (Yubikey). Das passwortlose Login funktioniert super. Ich hätte aber gerne, dass beim abstekcen des Yubikey der Benutzer sich automatisch abmeldet. Hat da jemand eine Idee, wie man das anstellen kann?

 

Gruß

 

Marco

bearbeitet von MoC88
Link zu diesem Kommentar

Moin,

 

ich glaube kaum, dass das jenseits von Bastellösungen geht. Der Key ist, wenn ich die Technik richtig verstehe, nur für den Vorgang der Authentifizierung da, nicht um die Session dauerhaft zu legitimieren. So eine Funktion müsste vom Hersteller im Treiber implementiert sein - wenn es da nicht vorgesehen ist, hast du wenig Chancen, das von außen sinnvoll hinzubekommen.

 

Denkbar wäre ein Skript, Programm, Dienst ..., der während der Laufzeit der Session prüft, ob das Gerät noch da ist. Das wäre nach meinem Verständnis aber eben eine Bastellösung (oder würde sehr viel Aufwand verursachen), weil der Code sichergehen müsste, dass er das richtige Device erkennt und nicht von irgendwas in die Irre geführt wird (hier käme der Hersteller ins Spiel - um das sicher zu machen, käme man kaum um ein Zertifikat oder sowas herum). Und da wiederum dürften die Eigenheiten von USB eine Rolle spielen (das nicht in jeder Situation zuverlässig im Sinne der Security ist) - und damit den Aufwand noch mal erhöhen.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar
  • Beste Lösung

Hi,

 

die neueren Yubikey können als SmartCard genutzt werden und dann wäre folgendes denkbar: https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/interactive-logon-smart-card-removal-behavior

 

Bzw. schreibt Yubico dazu: https://support.yubico.com/hc/en-us/articles/360015654500-Setting-up-Windows-Server-for-YubiKey-PIV-Authentication

 

Allerdings bringt Zertifikat/SmartCard wieder ein weiteres Level an Komplexität mit.

 

Gruß

Jan

 

 

 

Link zu diesem Kommentar

Moin,

 

danke, Jan, für die Ergänzung. Das entspricht teils dem, was ich meinte - mit dem wichtigen Unterschied, dass du schon einen Schritt weiter recherchiert hast. ;-)

Also, zusammengefasst bis hier: Mit einem "reinen" Key würde das nicht bzw. vermutlich nicht gehen. Treibt man mehr Aufwand und hat einen passenden "erweiterten" Key, dann ist es anscheinend möglich.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...