Benutzernamen, Kennwörter und Verzeichnisse
BlackBerry 2FA
authentifiziert Benutzer, die in einem Verzeichnis verfügbar sind. Sowohl der BlackBerry 2FA
-Server als auch BlackBerry UEM
sind mit diesen Verzeichnissen verbunden. Basierend darauf, wie diese Verbindungen konfiguriert sind, unterstützt BlackBerry 2FA
vier Benutzertypen:- Benutzer in einerMicrosoft Active Directory-Domäne, die sowohl mit einemBlackBerry 2FA-Server als auch mitBlackBerry UEMverbunden ist
- Benutzer in einerMicrosoft Active Directory-Domäne, die nicht mit einemBlackBerry 2FA-Server aber mitBlackBerry UEMverbunden ist
- Benutzer in einem LDAP-Verzeichnis, das mitBlackBerry UEMverbunden ist
- Benutzer in einem lokalenBlackBerry UEM-Verzeichnis
Wenn sich ein Benutzer anmeldet, muss er einen Benutzernamen und optional ein Kennwort angeben.
Benutzername
Der Benutzername muss einer eindeutigen Benutzereingabe in einem Verzeichnis entsprechen. Kann der Benutzer nicht eindeutig aufgelöst werden, schlägt die Authentifizierungsanforderung fehl. Zur Angabe des Verzeichnisses, in dem sich der Benutzer befindet, muss der Benutzer nach folgenden Benutzernamen für jeden Benutzertyp identifiziert werden:
- Die folgenden Benutzernamen werden für Benutzer in einerMicrosoft Active Directory-Domäne unterstützt, die sowohl mit einemBlackBerry 2FA-Server als auch mitBlackBerry UEMverbunden ist. Diese Benutzer können sich mit PAP, MSCHAPv1, MSCHAPv2 und EAP-MSCHAPv2 authentifizieren und so konfiguriert werden, dass sie für jeden REST-API-Client Autorisierungsgruppen verwenden und Authentifizierungs-Überschreibungsgruppen für alle VPN-Gateways.<Benutzername> (z. B. jschmitt)<Benutzername>@<NetBIOS-Domänenname> (z. B. jschmitt@unternehmen)<NetBIOS-Domänenname>\<Benutzername> (z. B. Unternehmen\jschmitt)<E-Mail-Adresse> (z. B. jschmitt@unternehmen.com)
- Die folgenden Benutzernamen werden für Benutzer in einerMicrosoft Active Directory-Domäne unterstützt, die nicht mit einemBlackBerry 2FA-Server, aber mitBlackBerry UEMverbunden ist. Diese Benutzer können sich nur mit dem PAP authentifizieren.<Benutzername> (z. B. jschmitt)<Benutzername>@<NetBIOS-Domänenname> (z. B. jschmitt@unternehmen)<NetBIOS-Domänenname>\<Benutzername> (z. B. Unternehmen\jschmitt)<E-Mail-Adresse> (z. B. jschmitt@unternehmen.com)
- Die folgenden Benutzernamen werden für Benutzer in einem LDAP-Verzeichnis unterstützt, das mit einemBlackBerry UEM-Server verbunden ist. Diese Benutzer müssen sich mit dem PAP authentifizieren.DerBlackBerry 2FA-Server kann keine Verbindung zu diesem Verzeichnis herstellen.<Benutzername> (z. B. jschmitt)<Benutzername>@<Verzeichnis FQDN> (z. B. jschmitt@unternehmen.ldap.net)<Verzeichnis FQDN>\<Benutzername> (z. B. Unternehmen.ldap.net\jschmitt)<E-Mail-Adresse> (z. B. jschmitt@unternehmen.com)
- Die folgenden Benutzernamen werden für Benutzer in einem lokalenBlackBerry UEM-Verzeichnis unterstützt. Diese Benutzer müssen sich mit dem PAP authentifizieren.DerBlackBerry 2FA-Server kann keine Verbindung zu diesem Verzeichnis herstellen.<Benutzername> (z. B. jschmitt)<Benutzername>@lokal (z. B. jschmitt@lokal)lokal\<Benutzername> (z. B. lokal\jschmitt)<E-Mail-Adresse> (z. B. jschmitt@unternehmen.com)
Kennwort
Abhängig von der Authentifizierungsoption, die für Benutzer konfiguriert wurde, müssen diese bei der Anmeldung ein Verzeichniskennwort eingeben.
Wenn sich ein Benutzer mit einem Einmalkennwort (One-Time Password, OTP)-Token authentifiziert, muss er das OTP und das Verzeichniskennwort eingeben, unabhängig von der Option für die Zwei-Faktor-Authentifizierung, die für ihn konfiguriert wurde.
- Zur Anmeldung an einem VPN muss der Benutzer sowohl das OTP- als auch das Verzeichniskennwort im Kennwortfeld eingeben. Zuerst wird das OTP eingegeben, anschließend das Verzeichniskennwort, und es dürfen keine Leerzeichen oder Trennzeichen hinzugefügt werden.
- Bei Anmeldung über einen Client, der mit einer REST-API verbunden ist, muss der Benutzer das Verzeichniskennwort in das Kennwortfeld eingeben und anschließend das OTP in das dafür vorgesehene Feld.