Bedrijfsapplicaties met tweefactor-authenticatie

Bedrijfsapplicaties moeten uiteraard zo veilig mogelijk zijn. Je wilt immers niet dat onbevoegden in je bedrijfsprocessen kunnen neuzen of wijzigingen doorvoeren. Met Thinkwise kun je daarom naast de standaard inlogmethode met gebruikersnaam en wachtwoord ook tweefactor-authenticatie gebruiken. Lees hier hoe je dit instelt voor je gebruikers.
Een groot voordeel van Thinkwise is dat je zakelijke applicaties flexibel op elk platform beschikbaar kunt maken. Dit geeft gebruikers veel vrijheid om overal en vanaf elk apparaat hun werk te doen. Het nadeel is dat dit ook een zeker beveiligingsrisico met zich meebrengt. Stel bijvoorbeeld dat een smartphone of laptop wordt gestolen of per ongeluk ergens blijft liggen. In theorie zou de dief of vinder dan toegang kunnen krijgen tot je zakelijke applicaties, inclusief allerlei privacy- en concurrentiegevoelige informatie. Om die reden is het verstandig om naast de standaard loginmethode tweefactor-authenticatie in te stellen. Gebruikers moeten dan naast hun loginnaam en wachtwoord een authenticatiecode opgeven, die zij via sms of e-mail ontvangen. Door deze extra beveiligingslaag verminder je het risico dat bedrijfsinformatie gelekt of gestolen wordt.

Information & Access Management
Tweefactor-authenticatie werkt alleen voor applicaties die beheerd worden met het onderdeel IAM (Information & Access Management) in de Thinkwise Software Factory. Hier zijn alle gebruikersinstellingen te vinden, waaronder die voor tweefactor-authenticatie. Deze inlogmethode wordt verder ondersteund in de Web GUI en Mobile GUI, maar niet in de Windows GUI. De reden hiervoor is dat het op dit platform niet mogelijk is om een veilige manier client-side gebruikersvalidatie te doen. 


Zoals gezegd, kan tweefactor-authenticatie op twee manieren geïmplementeerd worden: via sms of e-mail. Voor sms wordt dit met behulp van Twilio gerealiseerd. Hiervoor is een Twilio-account nodig en een telefoonnummer van Twilio met sms-ondersteuning. Meer informatie over Twilio is hier te vinden.
Wil je tweefactor-authenticatie gebruiken op basis van e-mail, dan is er volledige ondersteuning voor het SMTP-protocol. Extra mogelijkheden kunnen in principe vrij eenvoudig geïmplementeerd worden, en zijn niet beperkt tot sms en e-mail. Denk bijvoorbeeld aan authenticatietokens of One-Time Passwords (OTP).

validation code invullen met de Web GUI Thinkwise.pngValidation code aanvragen met mobile GUI Thinkwise.png

Hoe werkt het precies?

Als tweefactor-authenticatie is ingesteld, moeten gebruikers na het invullen van hun gebruikersnaam en wachtwoord nog een validatiecode invullen om toegang te krijgen tot een applicatie. De Web GUI zal 

deze code automatisch naar de telefoon of het e-mailadres van de gebruiker sturen, en een formulier tonen om de code in te vullen. In het geval van de Mobile GUI moet de code handmatig aangevraagd worden via de loginpagina, waarna een invulformulier verschijnt. Als de code klopt krijgt de gebruiker toegang tot de applicatie.

Gebruikersconfiguratie
Tweefactor-authenticatie stel je in met IAM in een verplicht veld genaamd Two-factor authentication type, dat de volgende waarden accepteert:

  • None
  • SMS
  • Email

De standaard instelling voor nieuwe gebruikers is ‘None’. Kies je voor ‘SMS’, dan moet hier het telefoonnummer van de gebruiker toegevoegd worden, en bij ‘Email’ het zakelijke mailadres. 

Tweefactor configuratie met sms
Om sms-authenticatie werkend te krijgen in de Web GUI moeten de onderstaande instellingen geconfigureerd worden in het bestand settings.ini of in IAM. Voor de Mobile GUI moeten deze in de appsettings van het Web.config-bestand gezet worden van de applicatieservice die door de Mobile GUI wordt gebruikt.

Parameter Description
TwoFactorSmsMessageService This parameter indicates which service implementation is used for SMS two-factor authentication. Additional service implementations may be added in the future, but for now, the only valid value is TSFTwilioSmsMessageService.
TwilioAccountSid The SID of your Twilio account. This information can be found in Twilio’s Console Dashboard.
TwilioAccountAuthToken The Auth Token of your Twilio account. This information can be found in Twilio’s Console Dashboard.
TwilioFromNumber The Twilio phone number used to send the SMS message to the user.

Tweefactor configuratie met e-mail
Voor tweefactor-authenticatie via e-mail moet de volgende instellingen gedaan worden in het settings.ini-bestand of in IAM. Voor de Mobile moeten ze in de appsettings van het Web.config-bestand gezet worden van de applicatieservice die door de Mobile GUI wordt gebruikt.

Parameter Description
 TwoFactorEmailMessageService This parameter indicates which email implementation is used for Email two-factor authentication. Additional implementations may be added in the future, but for now, the only valid value is TSFSmtpMessageService
 SmtpServer The address of the SMTP server used to send the email. 
 SmtpPort The port which the SMTP server listens on. 
 SmtpEnableSSL Whether SSL will be used to provide transport-level encryption (yes/no).
 SmtpUser The username used to authenticate with the SMTP server. 
 SmtpPassword The password used to authenticate with the SMTP server. 
 SmtpFrom The email address used to send the email to the user. 
 SmtpFromDisplayName The display name shown to user as the sender of the email. 

Lokaliseren van berichten
Je kunt de validatieberichten die gebruikers ontvangen uiteraard ook vertalen en personaliseren. Voor het sms-bericht gebruik je hiervoor de key two_factor_message_sms_body. De vertaalde tekst moet de parameter ‘{0}’ bevatten, die in een verzonden bericht wordt vervangen door de validatiecode.

Het onderwerp en de tekst van het e-mailbericht configureer je door middel van twee vertalingen met de keys two_factor_message_mail_subject en two_factor_message_mail_body. In de berichttekst (body) moet hier ook de parameter ‘{0}’ gebruikt worden voor het invoegen van de validatiecode.

Een eenvoudig voorbeeld van een vertaald bericht:
Uw validatiecode is: {0}. Gebruik deze code in de applicatie om verder te gaan.

Veiligheid voor alles
We hopen dat met dit blog duidelijk is geworden hoe eenvoudig het implementeren van tweefactor-authenticatie voor gebruikers is. Met deze toevoeging kan de veiligheid van bedrijfsapplicaties en gevoelige data aanzienlijk verbeterd worden. 

Wil je meer weten over het beveiligen van je bedrijfsapplicaties of heb je specifieke wensen? Neem dan contact met ons op via [email protected] of 055 31 28 280 of onderstaande knop. We helpen je graag verder!

Vraag vrijblijven een 1-op-1 gesprek aan met een Thinkwise specialist!

Dit bericht delen via: