Håndbog - MobilePass Udarbejdet af: Maria Mathiesen Gældende fra: 25. februar 2015 Version Forfatter Dato Dokumentstatus 1.0 Maria Mathiesen 1. december 2014 Oprettet 1.1 Maria Mathiesen 16. december 2014 Opdateret 1.2 Maria Mathiesen 25. februar 2015 Opdateret
Hovedoverskrift Side 2 af 52 Indholdsfortegnelse 1 Resume...3 2 Produktpræsentation...4 3 Grundregistreringer...4 4 Forudsætninger...4 4.1 Hardware... 4 4.2 Software... 4 4.3 Brugere... 5 5 Generelt om systemet...6 5.1 Kvikguide... 6 5.2 Sådan kommer du i gang med MobilePass... 6 5.3 IOS... 6 5.3.1 Installation af App en... 6 5.3.2 Aktivering af App (Enroll MobilPass)... 7 5.3.3 Sådan bruges App en... 14 5.4 Android... 18 5.4.1 Installation af App en... 18 5.4.2 Aktivering af App (Enroll MobilPass)... 19 5.4.3 Sådan bruges App en... 26 5.5 Windows Phone 8... 31 5.5.1 Installation af App... 31 5.5.2 Aktivering af App (Enroll MobilPass)... 32 5.5.3 Sådan bruges App en... 41 5.6 Andre enheder... 47 6 Glemt pinkode...48 7 Spærring af MobilePass/Mobil bortkommer/installation på anden enhed...49 8 Installation på anden enhed...49 9 Sletning af MobilePass...51 10 Kom godt i gang...52 11 Rapporter...52
Hovedoverskrift Side 3 af 52 1 Resume Dato Hvad er ændret? 16.12.2014 Tilføjet afsnit om sletning af MobilePass samt tilføjet Android nu også understøtter AES256 kryptering. 25.2.2015 Tilføjet nyt billede fra selfservice.bec.dk, hvor teksten til eksemplet er rettet til, samt tilføjet at ændringer i AD først slår igennem næste gang en bruger logger på Windows. Endvidere er der tilføjet et afsnit for sig selv, vedr. installation på anden enhed.
Hovedoverskrift Side 4 af 52 2 Produktpræsentation MobilePass er en App der virker som en etoken, og giver de samme muligheder, f.eks: - Oprette en sikker forbindelse til BEC for at få adgang til applikationer. - Oprette en forbindelse til din BWS arbejdsplads. - Adgang til OWA, som er en webbaseret udgave af Outlook uden brug af en fysisk etoken. MobilePass installeres som en App på en mobiltelefon. Stort set alle platforme er understøttet (BlackBerry, Android, iphone og Windows Phone). Det gør MobilePass utrolig fleksibel, og brugeren kan frit selv vælge hvilket medie MobilePass skal installeres på. App en kan generere One-Time-Passwords ( OTP ) til brug for login til BEC s systemer fra en ekstern lokation (eksempelvis til at arbejde hjemmefra). Det anvender samme platform som eksisterende etoken løsning så der er ingen migrering eller eksisterende områder hvor MobilePass løsningen ikke vil kunne anvendes som alternativ. 3 Grundregistreringer MobilePass er en løsning udbudt af SafeNet. Den består af en App, som installeres hos brugeren, som genererer en kode til brug for login til BEC s systemer. Der er oprettet to AD-grupper, som brugerne skal tilmeldes, den ene Enrollment giver brugeren mulighed for at foretage self enrollment af MobilePass via selfservice.bec.dk. Brugeren må kun være tilmeldt denne AD-gruppe, under oprettelsen. Herefter skal brugeren slettes fra AD-gruppen igen, for at øge sikkerheden for at der ikke er nogen udefrakommende som kan foretage Enrollment med skadelig hensigt. For at brugeren kan enrolle og synkronisere App en, skal brugeren være med AD-gruppen G_B00XXX_MobilePass_SelfEnroll_Allowed. Når brugeren har foretaget Enrollment skal brugeren herefter meldes ud af denne AD gruppe igen, af sikkerhedsmæssige hensyn. For at bruge MobilePass, skal brugeren være tilmeldt AD-gruppen G_B00XXX_OTP_Login_Allowd. Den enhed som App en skal installeres på, skal have internet adgang, når App en skal downloades og aktiveres. Efterfølgende kan App en anvendes direkte, uden der skal være internet adgang. Bemærk at ændringer af rettigheder i forhold til AD-grupperne først slår igennem næste gang brugeren logger på Windows. 4 Forudsætninger 4.1 Hardware MobilePass kan installeres som en App på en mobiltelefon eller som et program på en pc eller mac. MobilePass må under ingen omstændigheder installeres på samme device, som BEC s arbejdsplads tilgås fra. 4.2 Software Stort set alle platforme er understøttet (BlackBerry, Android, iphone, Windows Phone 7, Mac OS og Windows). Vi anbefaler, at MobilePass App en kun benyttes på firmaudleveret mobiltelefoner underlagt BEC s højeste sikkerhedspolitik, med stærk kryptering. Dette omfatter dags dato bl.a. AES256, men ikke bl.a. AES128
Hovedoverskrift Side 5 af 52 samt 3DES. (Pr. 16/12-2014 er det iphone, Mac OSX samt Android, der understøtter AES256.) Vi fraråder på det kraftigste, at APP en installeres på en privat mobiltelefon, tablet eller anden privat enhed, med mindre den er underlagt BEC s højeste sikkerhedspolitik. 4.3 Brugere Brugere skal være tilmeldt AD-gruppen G_B00XXX_MobilePass_SelfEnroll_Allowed, i det øjeblik de vil synkronisere App en første gang. Herefter skal brugeren fjernes fra denne AD-gruppe igen. Derudover skal brugere skal være tilmeldt AD-gruppen G_B00XXX_OTP_Login_Allowed, før App en kan anvendes. Bemærk at ændringer af rettigheder i forhold til AD-grupperne først slår igennem næste gang brugeren logger på Windows.
Hovedoverskrift Side 6 af 52 5 Generelt om systemet MobilePass virker som en etoken, og giver mulighed for at fjernovertage en arbejdsplads uden brug af en fysisk etoken. Det er kun muligt at have MobilePass installeret på én enhed. Men den er let at flytte fra én enhed til en anden, hvis brugeren f.eks. får ny telefon. Det kræver blot at brugeren tilmeldes AD-gruppen for Enrollment. Når MobilePass er aktiveret på den nye enhed, skal brugeren fjernes fra AD-gruppen igen, af sikkerhedsmæssige årsager. 5.1 Kvikguide Denne kvikguide er opdelt i et afsnit for IOS, Android og Windows Phone 8. Til hvert afsnit står beskrevet hvordan App en installeres, hvordan den aktiveres og hvordan den anvendes. 5.2 Sådan kommer du i gang med MobilePass 5.3 IOS 5.3.1 Installation af App en MobilePass App en installeres på IOS-enheden via AppStore. Her er direkte link: https://itunes.apple.com/dk/app/safenet-mobilepass/id364682261?l=da&mt=8 Tryk GRATIS og INSTALLER APP. Angiv Apple-id.
Hovedoverskrift Side 7 af 52 5.3.2 Aktivering af App (Enroll MobilPass) 5.3.2.1 Intern bruger (fra f.eks. en BWS maskine) Start Internet Explorer fra en BWS arbejdsplads gå til http://selfservice.bec.dk/ Under Hvad ønsker jeg? - vælg At aktivere min OTP SmartPhone App (MobilePass) Under Hvad gør jeg? klik på SAM Self Service Center linket Vælg Enroll a new MobilePass token Fortsæt til afsnittet Enroll a new MobilePass nedenfor
Hovedoverskrift Side 8 af 52 5.3.2.2 Ekstern bruger, (bemærk det kræver en etoken) På en vilkårlig pc tilkoblet Internet start Internet Explorer og gå til http://selfservice.bec.dk/ Under Hvad ønsker jeg? - vælg At aktivere min OTP SmartPhone app (MobilePass) Under Hvad gør jeg? klik på SAM Self Service Center linket Indtast brugernavn, password og One-Time-Password (OTP) fra etoken:
Hovedoverskrift Side 9 af 52 Vælg Enroll a new MobilePass token Fortsæt til afsnittet Enroll a new MobilePass nedenfor
Hovedoverskrift Side 10 af 52 5.3.2.3 Enroll a new MobilePass Vælg et sigende navn til din token og tryk Submit: Bemærk MobilePass Policy string. Den skal indtastes i App en på telefonen:
Hovedoverskrift Side 11 af 52 Åbn MobilePass App en på telefonen: Tryk Manual Enrollment. Indtast Policy String, jf. ovenfor. Tryk OK: App en på telefonen kvitterer med en Activation Code, som skal indtastes i SAM Self Service Center:
Hovedoverskrift Side 12 af 52 Indtast Activation Code i SAM Self Service Center og tryk Submit: Tryk herefter Continue på telefonen:
Hovedoverskrift Side 13 af 52 Sæt en selvvalgt pinkode og gentag den: App en er nu synkroniseret og kan bruges som et alternativ til den fysiske etoken.
Hovedoverskrift Side 14 af 52 5.3.3 Sådan bruges App en 5.3.3.1 Generering af One-Time-Password (OTP) kode Åbn MobilePass App en på telefonen Indtast den selvvalgte pinkode: App en genererer OTP:
Hovedoverskrift Side 15 af 52 5.3.3.2 Omdøb token Åbn MobilePass App en på telefonen. Tryk på tandhjulet nederst til højre: Tryk Change Token Name :
Hovedoverskrift Side 16 af 52 Indtast et signende navn og tryk OK: 5.3.3.3 Slet token Åbn MobilePass App en på telefonen. Tryk på tandhjulet nederst til højre:
Hovedoverskrift Side 17 af 52 Tryk Delete Token og tryk Delete:
Hovedoverskrift Side 18 af 52 5.4 Android 5.4.1 Installation af App en MobilePass App en installeres på Android-enheden via Google Play. Her er direkte link: https://play.google.com/store/apps/details?id=securecomputing.devices.android.contro ller Fuldfør handling med Play Butik: Tryk INSTALLER:
Hovedoverskrift Side 19 af 52 Tryk ACCEPTER til Apptilladelser: 5.4.2 Aktivering af App (Enroll MobilPass) 5.4.2.1 Intern bruger Start Internet Explorer fra en BWS arbejdsplads gå til http://selfservice.bec.dk/ Under Hvad ønsker jeg? - vælg At aktivere min OTP SmartPhone App (MobilePass) Under Hvad gør jeg? klik på SAM Self Service Center linket
Hovedoverskrift Side 20 af 52 Vælg Enroll a new MobilePass token Fortsæt til afsnittet Enroll a new MobilePass nedenfor.
Hovedoverskrift Side 21 af 52 5.4.2.2 Ekstern bruger, som også har en etoken På en vilkårlig pc tilkoblet Internet start Internet Explorer og gå til http://selfservice.bec.dk/ Under Hvad ønsker jeg? - vælg At aktivere min OTP SmartPhone App (MobilePass) Under Hvad gør jeg? klik på SAM Self Service Center linket Indtast brugernavn, password og One-Time-Password (OTP) fra etoken:
Hovedoverskrift Side 22 af 52 Vælg Enroll a new MobilePass token Fortsæt til afsnittet Enroll a new MobilePass nedenfor
Hovedoverskrift Side 23 af 52 5.4.2.3 Enroll a new MobilePass Vælg et sigende navn til din token og tryk Submit: Bemærk MobilePass Policy string. Den skal indtastes i App en på telefonen:
Hovedoverskrift Side 24 af 52 Åbn MobilePass App en på telefonen og vælg My Token 1 : Tryk Manual Enrollment:
Hovedoverskrift Side 25 af 52 Indtast Policy String fra punkt øverst på forrige side. Tryk Continue: App en på telefonen kvitterer med en Activation Code, som skal indtastes i SAM Self Service Center:
Hovedoverskrift Side 26 af 52 Indtast Activation Code fra forrige punkt i SAM Self Service Center og tryk Submit: 5.4.3 Sådan bruges App en 5.4.3.1 Generering af One-Time-Password (OTP) kode Åbn MobilePass App en på telefonen Klik på den ønskede token. Hvis du ikke har ændret standardnavnet er det My Token 1 :
Hovedoverskrift Side 27 af 52 App en genererer OTP: 5.4.3.2 Omdøb token Åbn MobilePass App en på telefonen Klik på den ønskede token. Hvis du ikke har ændret standardnavnet er det My Token 1
Hovedoverskrift Side 28 af 52 Tryk på Menu-knappen (til venstre for Home-knappen) Tryk Rename Token, angiv det ønskede navn og tryk Continue:
Hovedoverskrift Side 29 af 52 Det angivne navn vil nu fremgå i App en i stedet for standardnavnet My Token 1 :
Hovedoverskrift Side 30 af 52 5.4.3.3 Slet token Åbn MobilePass App en på telefonen Klik på den ønskede token. Hvis du ikke har ændret standardnavnet er det My Token 1 Tryk på Menu-knappen (til venstre for Home-knappen) Tryk Delete Token og tryk Delete:
Hovedoverskrift Side 31 af 52 5.5 Windows Phone 8 5.5.1 Installation af App MobilePass App en installeres på Windows-enheden via Windows Store. Her er direkte link: http://www.windowsphone.com/s?appid=5f30aa29-e238-e011-854c-00237de2db9e I Windows Store: Tryk Installér:
Hovedoverskrift Side 32 af 52 5.5.2 Aktivering af App (Enroll MobilPass) 5.5.2.1 Intern bruger Start Internet Explorer fra en BWS arbejdsplads gå til http://selfservice.bec.dk/ Under Hvad ønsker jeg? - vælg At aktivere min OTP SmartPhone app (MobilePass) Under Hvad gør jeg? klik på SAM Self Service Center linket Vælg Enroll a new MobilePass token Fortsæt til afsnittet "Enroll a new MobilePass" nedenfor
Hovedoverskrift Side 33 af 52 5.5.2.2 Ekstern bruger, som også har en etoken På en vilkårlig pc tilkoblet Internet start Internet Explorer og gå til http://selfservice.bec.dk/ Under Hvad ønsker jeg? - vælg At aktivere min OTP SmartPhone App (MobilePass) Under Hvad gør jeg? klik på SAM Self Service Center linket Indtast brugernavn, password og One-Time-Password (OTP) fra etoken:
Hovedoverskrift Side 34 af 52 Vælg Enroll a new MobilePass token Fortsæt til afsnittet "Enroll a new MobilePass" nedenfor
Hovedoverskrift Side 35 af 52 5.5.2.3 Enroll a new MobilePass Vælg et sigende navn til din token og tryk Submit:
Hovedoverskrift Side 36 af 52 Her bedes om Aktiveringskode.: Åbn MobilePass App en på telefonen, og tryk "Activate Now":
Hovedoverskrift Side 37 af 52 Her fås Aktiveringskode, der skal indtastes i "SAMservice" (i IE): Tast Aktiveringskode fra forrige punkt ind i SAM Self Service Center og tryk Submit:
Hovedoverskrift Side 38 af 52 Efter aktivering, klik på "Confirm activation" (nedenfor): Tryk "ok"...
Hovedoverskrift Side 39 af 52 Herefter skal du indtaste en ny 4 cifret pin til sikring af adgangen til din MobilePass App: Indtast samme pin igen:
Hovedoverskrift Side 40 af 52 Herefter er du "inde" - MobilePass App'en er kørende:
Hovedoverskrift Side 41 af 52 5.5.3 Sådan bruges App en 5.5.3.1 Generering af One-Time-Password (OTP) kode Åbn MobilePass App en på telefonen Indtast PIN: Efter indtastning af PIN genereres en OTP: 5.5.3.2 Slet token Åbn MobilePass App en på telefonen
Hovedoverskrift Side 42 af 52 Indtast PIN: Efter indtastning af PIN er du "inde". Klik på det gule (i) nederst på skærmen:
Hovedoverskrift Side 43 af 52 Klik på "Reset token" - blå knap nederst på skærmen: Klik på "Reset Token"
Hovedoverskrift Side 44 af 52 Hvis man er sikker på at man vil slette MobilePass, klikkes på "ok" nedenfor: Herefter haven en "tom" App uden Token: Man kan efterfølgende enroll'e en ny Token igen, hvis det ønskes (se afsnittet "Enroll a new MobilePass").
Hovedoverskrift Side 45 af 52 5.5.3.3 Skift PIN (adgang til MobilePass App) Åbn MobilePass App en på telefonen Indtast din oprindelige PIN: Efter indtastning af PIN er du "inde". Klik på det gule (i) nederst på skærmen:
Hovedoverskrift Side 46 af 52 Klik på "Change pin" - gule knap nederst på skærmen: Indtast din oprindelige PIN:
Hovedoverskrift Side 47 af 52 Herefter skal du indtaste en ny 4 cifret pin til sikring af adgangen til din MobilePass App: Indtast samme pin igen: 5.6 Andre enheder Ønskes App en anvendt fra en anden enhed end nævnt i denne håndbog, findes yderligere vejledninger her: http://www.safenet-inc.com/support-downloads/mobilepass-download-page/
Hovedoverskrift Side 48 af 52 6 Glemt pinkode Hvis brugeren har glemt sin pinkode, skal brugeren lægges ind i AD-gruppen _B00xxx_MobilePass_SelfEnroll_Allowed for at få adgang til at synkronisere App en igen, via http://selfservice.bec.dk/ Efter 6 fejl-forsøg bliver MobilePass deaktiveret. Herefter kan brugeren genstarte App en og vælge Manuel Enrollment forfra, som beskrevet i installationsvejledningen.
Hovedoverskrift Side 49 af 52 7 Spærring af MobilePass/Mobil bortkommer/installation på anden enhed Hvis den mobile enhed, som MobilePass er installeret på bortkommer, skal I hurtigst muligt kontakte MobilePass@bec.dk så vi kan spærre adgangen. Indtil vi har spærret adgangen bør brugeren meldes ud af de tilhørende AD-grupper til MobilePass, nærmere beskrevet i håndbogen. I har også selv mulighed for at deaktivere en MobilePass adgang ved at installere MobilePass på en ny enhed og vælge at erstatte den tidligere Token, under aktiveringen. Se afsnit 8. 8 Installation på anden enhed Det er kun muligt at have én aktiv MobilePass pr. bruger. Desværre kan man komme ud for at en mobil enten må udskiftes eller sættes tilbage til fabriksindstillinger, og MobilePass skal geninstalleres eller installeres på en anden enhed. For at installere MobilePass på en anden telefon, skal brugeren først tilmeldes AD-gruppen G_B00XXX_MobilePass_SelfEnroll_Allowed. Se evt. afsnit 4.3. Bemærk at ændringen af rettigheden først slår igennem næste gang brugeren logger på Windows. Installer App en og følg vejledningen for Aktivering af App (Enroll MobilPass) for hhv. iphone, Android eller Windows phone, dog med nedenstående flueben i feltet This new token replaces my other MobilePASS tokens, under enrollment på http://selfservice.bec.dk. Såfremt der ikke sættes et flueben, vil brugeren få denne fejlbesked:
Hovedoverskrift Side 50 af 52
Hovedoverskrift Side 51 af 52 9 Sletning af MobilePass Hvis en bruger ikke længere skal anvende MobilePass, kan vedkomne slette sin token. Dette gøres ved at åbne MobilePass App en fra telefonen og klikke på det lille tandhjul. Væg herefter Delete Token, og bekræft dernæst at token skal slettes. Alternativt send en mail til mobilepass@bec.dk med oplysning om ekspedient nummer og navn. Så kan supporten deaktivere token.
Hovedoverskrift Side 52 af 52 10 Kom godt i gang 7.1.1 Bestilling MobilePass kan bestilles via mail til MobilePass@bec.dk 7.1.2 Før ibrugtagning af MobilePass Følg afsnit 3 i denne håndbog nøje, før brugerpakken installeres. 11 Rapporter Det er muligt at rekvirere en rapport for at få et overblik over hvem der har installeret MobilePass. Send en mail til mobilepass@bec.dk hvis du ønsker et udtræk tilsendt. Bemærk, vi sender kun rapporter til kontaktpersonen, med mindre andet er aftalt.