Zwei-Faktor-Authentifizierung und Single Sign-On mit Nextcloud

Zwei-Faktor-Authentifizierung (2FA) in Nextcloud

Die Zwei-Faktor-Authentifizierung (2FA) erhöht die Sicherheit deines Nextcloud-Kontos erheblich. Neben dem normalen Passwort wird ein zweiter Nachweis benötigt – meist ein zeitbasierter Einmalcode (TOTP), der über eine Authenticator-App auf dem Smartphone generiert wird. Dadurch ist ein Zugriff auf das Konto nur möglich, wenn beide Faktoren vorliegen.

Vorteile und Funktionsweise

• Erhöhter Schutz: Selbst wenn das Passwort kompromittiert wird, bleibt das Konto durch den zweiten Faktor geschützt.
• Flexible Auswahl: Nextcloud unterstützt verschiedene 2FA-Methoden, z. B. TOTP (Google Authenticator, Authy), Hardware-Token oder Backup-Codes.
• Einfache Einrichtung: Nach Aktivierung der 2FA-App durch den Administrator kann jeder Nutzer in den persönlichen Einstellungen die Zwei-Faktor-Authentifizierung aktivieren. Ein QR-Code wird angezeigt, der mit einer Authenticator-App gescannt wird. Danach generiert die App alle 30 Sekunden einen neuen Code.

Einrichtung Schritt für Schritt

1. Aktivierung durch den Admin: Die entsprechende 2FA-App (z. B. „Two-Factor TOTP Provider“) muss installiert und aktiviert werden.
2. Aktivierung durch den Nutzer: In den persönlichen Einstellungen unter „Sicherheit“ die Zwei-Faktor-Authentifizierung aktivieren.
3. QR-Code scannen: Mit einer Authenticator-App (z. B. Google Authenticator, FreeOTP, Microsoft Authenticator) den QR-Code scannen.
4. Backup-Codes generieren: Für den Notfall Backup-Codes erstellen und sicher aufbewahren.
5. App-Passwörter: Für externe Anwendungen (z. B. Kalender, Kontakte, WebDAV) müssen gesonderte App-Passwörter generiert werden, da diese meist keine 2FA unterstützen.

Besonderheiten

• Erzwingen durch Admin: Die 2FA kann für alle oder bestimmte Benutzergruppen verpflichtend gemacht werden.
• Backup-Codes: Unverzichtbar, falls das Authenticator-Gerät verloren geht.

Single Sign-On (SSO) mit Nextcloud

Single Sign-On ermöglicht es, sich einmalig zentral anzumelden und dann auf verschiedene Dienste – inklusive Nextcloud – zuzugreifen, ohne sich erneut authentifizieren zu müssen. Nextcloud unterstützt SSO über verschiedene Standards und Apps.

Unterstützte SSO-Methoden

• SAML 2.0: Weit verbreitet; Integration mit Identitätsanbietern wie OneLogin, Shibboleth, Azure AD, ADFS oder Keycloak.
• LDAP/Active Directory: Zentrale Nutzerverwaltung und Authentifizierung.
• CAS, Kerberos: Weitere Authentifizierungsprotokolle werden unterstützt.

Einrichtung von SSO

1. App installieren: Die „SSO & SAML authentication“-App aus dem Nextcloud App Store installieren und aktivieren.
2. Konfiguration: Im Admin-Bereich SSO/SAML konfigurieren und mit dem gewünschten Identitätsanbieter verbinden.
3. Nutzerzuordnung: Attribute wie E-Mail oder Benutzername zur Identifizierung festlegen.
4. Test und Aktivierung: Verbindung testen und SSO für Nutzer aktivieren.

Vorteile von SSO

• Komfort: Einmalige Anmeldung für viele Dienste.
• Sicherheit: Zentrale Verwaltung von Passwörtern und Authentifizierungsrichtlinien.
• Kombination mit 2FA: Viele Identitätsanbieter unterstützen zusätzlich 2FA, sodass Nutzer sich mit SSO und einem zweiten Faktor anmelden können.

Hinweise zur Kombination von 2FA und SSO

• Die 2FA kann sowohl in Nextcloud als auch beim Identitätsanbieter eingerichtet werden. Es empfiehlt sich, die 2FA zentral beim SSO-Anbieter zu erzwingen, um eine konsistente Sicherheit über alle Dienste hinweg zu gewährleisten.
• In einigen Konfigurationen kann Nextcloud auch 2FA zusätzlich zum SSO verlangen, dies sollte jedoch sorgfältig getestet werden.

Nextcloud bietet umfassende Möglichkeiten, den Zugang zu schützen: Mit Zwei-Faktor-Authentifizierung wird die Sicherheit einzelner Konten erhöht, während Single Sign-On den Komfort und die zentrale Verwaltung für größere Organisationen ermöglicht. Beide Funktionen lassen sich flexibel kombinieren und individuell an die Sicherheitsanforderungen anpassen.