Hallo,
unsere Moodle-Admins suchen eine Möglichkeit, ein Belwue-Moodle so einzustellen, dass jeder User 2FA nutzen muss.
Momentan geht 2FA nur so, dass jeder User es in seinem Profil aktivieren kann - oder auch nicht.
Kann jemand dazu was sagen?
Mit besten Wünschen!
Stefan
Hallo Stefan,
wie stellt ihr euch das vor?
Da müsste ja jeder SuS einem Token bekommen. Oder haben alle SuS bei euch ein schulisches 1:1 Endgerät?
Zu beachten ist auch, dass die Moodle-App 2FA nicht unterstützt. Bei uns nutzen fast alle SuS die App, und wenn man sie zwingen würde, Moodle im Browser zu nutzen - und dann auch noch mit dieser zusätzlichen „Hürde“ 2FA, dann wäre bei uns die Nutzung nicht wieder zurück auf so gut wie nicht, sondern bei gar nicht.
Viele Grüße
Steffen
Eine Lösung die sicher geht, ist wenn man keycloak verwendet und dann nur den login per sso zulässt.
Da kann man auch so Sachen machen wie, dass man die 2FA für Lehrer erzwingt (Token muss beim ersten login erstellt werden) und für Schülern die 2FA deaktiviert wird. aber das ist leider alles nicht so ganz leicht zu konfigurieren, muss ich zugeben.
und wie das ganze mit keycloak und der Moodle app zusammenspielt, da habe ich keine Erfahrung.
aber man kann da (vielleicht ?)auch auf die landesplattformslösung warten. da muss ja auch eine single sign on Lösung mit 2FA fuer die Lehrkräfte midabei sein und dann kann man ja so später auf Moodle gehen - als Lehrkraft zumindest. Was ja auch so ausreicht, weil nur Lehrer Zugriff auf viele Noten in Moodle hätten, ein einzelner Schüler aber nur auf seine Noten (vgl. aktuelle FAQ Datenschutz auf it.kultus-bw.de vom März 2023)
In dem betreffenden Moodle sind keine Schüler, daher sollen alle User 2FA machen müssen.
Hallo,
als langjähriger Moodle-Admin (erst Belwue, dann selbst gehostet) ein paar Anmerkungen:
Für die App ist das i.d.R. weniger relevant, da dort die Anmeldung nach dem ersten Login über einen Token läuft und damit an der regulären Authentifizierung vorbei. Lediglich beim ersten Login wird ein Browser geöffnet, und nach Anmeldung via 2FA der Token erstellt.
Das Problem mit dem Plugin das Beluwe verwendet (hat?) ist, dass dieses die Login-Seite ersetzt und nicht so gut regelbar ist. Ich weiß nicht, ob Belwue bereits auf ein anderes 2FA Plugin umgestiegen ist.
In jedem Fall müsste aber jeder Lehrer vor Pflicht-Aktivierung den zweiten Faktor konfiguriert haben.
Mit Moodle plugins directory: Multi-factor authentication geht das viel besser. Dieses Plugin nutzt einen hook bei der Anmeldung. Es kann genau gesteuert werden, wer wann welchen zweiten (oder dritten) Faktor benötigt.
So könnte z.B. auf den zweiten Faktor verzichtet werden, falls man von einer Schul-IP aus zugreift. Ein zweiter Faktor kann für bestimmte Rollen verpflichtend gemacht werden, oder erst dann wenn dieser konfiguriert ist. Usw…
Ob das Plugin allerdings beim Belwue-Moodle vorhanden ist (vorgeschlagen hatte ich es mehrfach)
oder selbst installierbar (bei dann fehlendem Support und evtl. Löschung bei Updates) weiß ich nicht.
LG,
Simon
Vielen dank für die Infos und Anregungen!
Das wird unseren Moodle-Admins bestimmt hilfreich sein.
Mit besten Wünschen!
Stefan