Moodle 2FA verpflichtend für alle User

Hallo,

unsere Moodle-Admins suchen eine Möglichkeit, ein Belwue-Moodle so einzustellen, dass jeder User 2FA nutzen muss.

Momentan geht 2FA nur so, dass jeder User es in seinem Profil aktivieren kann - oder auch nicht.

Kann jemand dazu was sagen?

Mit besten Wünschen!
Stefan

Hallo Stefan,

wie stellt ihr euch das vor?
Da müsste ja jeder SuS einem Token bekommen. Oder haben alle SuS bei euch ein schulisches 1:1 Endgerät?

Zu beachten ist auch, dass die Moodle-App 2FA nicht unterstützt. Bei uns nutzen fast alle SuS die App, und wenn man sie zwingen würde, Moodle im Browser zu nutzen - und dann auch noch mit dieser zusätzlichen „Hürde“ 2FA, dann wäre bei uns die Nutzung nicht wieder zurück auf so gut wie nicht, sondern bei gar nicht.

Viele Grüße
Steffen

Eine Lösung die sicher geht, ist wenn man keycloak verwendet und dann nur den login per sso zulässt.
Da kann man auch so Sachen machen wie, dass man die 2FA für Lehrer erzwingt (Token muss beim ersten login erstellt werden) und für Schülern die 2FA deaktiviert wird. aber das ist leider alles nicht so ganz leicht zu konfigurieren, muss ich zugeben.
und wie das ganze mit keycloak und der Moodle app zusammenspielt, da habe ich keine Erfahrung.

aber man kann da (vielleicht ?)auch auf die landesplattformslösung warten. da muss ja auch eine single sign on Lösung mit 2FA fuer die Lehrkräfte midabei sein und dann kann man ja so später auf Moodle gehen - als Lehrkraft zumindest. Was ja auch so ausreicht, weil nur Lehrer Zugriff auf viele Noten in Moodle hätten, ein einzelner Schüler aber nur auf seine Noten (vgl. aktuelle FAQ Datenschutz auf it.kultus-bw.de vom März 2023)

In dem betreffenden Moodle sind keine Schüler, daher sollen alle User 2FA machen müssen.

Hallo,

als langjähriger Moodle-Admin (erst Belwue, dann selbst gehostet) ein paar Anmerkungen:

Für die App ist das i.d.R. weniger relevant, da dort die Anmeldung nach dem ersten Login über einen Token läuft und damit an der regulären Authentifizierung vorbei. Lediglich beim ersten Login wird ein Browser geöffnet, und nach Anmeldung via 2FA der Token erstellt.

Das Problem mit dem Plugin das Beluwe verwendet (hat?) ist, dass dieses die Login-Seite ersetzt und nicht so gut regelbar ist. Ich weiß nicht, ob Belwue bereits auf ein anderes 2FA Plugin umgestiegen ist.
In jedem Fall müsste aber jeder Lehrer vor Pflicht-Aktivierung den zweiten Faktor konfiguriert haben.

Mit Moodle plugins directory: Multi-factor authentication geht das viel besser. Dieses Plugin nutzt einen hook bei der Anmeldung. Es kann genau gesteuert werden, wer wann welchen zweiten (oder dritten) Faktor benötigt.
So könnte z.B. auf den zweiten Faktor verzichtet werden, falls man von einer Schul-IP aus zugreift. Ein zweiter Faktor kann für bestimmte Rollen verpflichtend gemacht werden, oder erst dann wenn dieser konfiguriert ist. Usw…
Ob das Plugin allerdings beim Belwue-Moodle vorhanden ist (vorgeschlagen hatte ich es mehrfach)
oder selbst installierbar (bei dann fehlendem Support und evtl. Löschung bei Updates) weiß ich nicht.

LG,
Simon

Vielen dank für die Infos und Anregungen!

Das wird unseren Moodle-Admins bestimmt hilfreich sein.

Mit besten Wünschen!
Stefan

Hallo,

unser Moodle-Admin hat probiert 2FA im Belwue-Moodle verpflichtend für die User zu machen - bislang ohne Erfolg.

  • Plugin A2FA ist installiert und aktiviert
  • Benutzer können im Profil 2FA aktivieren wenn sie es möchten, QR-Code dazu wird angezeigt
  • Das ist bei uns auch so - also nutzlos.
  • Das deaktivieren der Anmeldemethode „LDAP-Server“ hat daran nichts geändert, zumindest nicht nach bis ca. 30 Minuten nach dem Deaktivieren - vielleicht muss man da länger warten???

Das Plugin haben wir im Belwue-Moodle nicht gefunden.

Ob die Benutzer 2FA aktiviert haben, muss nun leider vom Admin händisch immer wieder mal nachgeschaut werden und dann sozial gelöst werden.

Soweit der Stand bei uns. Für Neues zu dem Thema immer dankbar…

Gruß
Stefan

Ja, leider gibt es das dort nicht.
Spätestens wenn dort auf Moodle 4.3 gewechselt wird, aber schon. Ab dieser Version ist das Plugin im Moodle Core enthalten. A2FA dürfte dann obsolet sein.
Ich würde keine Zeit damit verschwenden A2FA zum laufen zu bringen!