Services rund um den IT-User

FAQ

Fragen zum Account

Was ist der m-Bildung Account? Ist das ein anderer Account als für den ehemaligen “Zentralen Einstieg” (Zugang zu ServiceNow oder m-Bildung.de)?

Nein, es ist der selbe Account (Zugang zu ServiceNow oder m-Bildung.de). Im Zuge der Vorbereitungen wurden allerdings einige Aspekte verbessert u.a. dass der Anmeldename nun der E-Mail Adresse entspricht. Er wird auch M-Bildung Account genannt.

Wie setzt sich die E-Mail Adresse des Account zusammen für den Login?

Die E-Mail Adresse wird grundsätzlich gebildet aus ‘vorname.nachname@m-bildung.de’. Geringfügige Abweichungen davon kann es bei Namensdopplungen, Doppelnamen etc. geben.

Woher bekomme ich die Zugangsdaten?

Die Zugangsdaten werden Ihrer Leitung und deren Vertretung automatisiert zugesandt.

Wo kann das Passwort für den M-Bildung Account geändert werden?

Es existieren verschiedene Möglichkeiten, u. a.

Passwort Vergessen in Eigenverwaltung (präferiert)
Portal BildungsIT MUC in Eigenverwaltung

Via Ticket in ServiceNow bzw. über den ServiceDesk

Fragen zum Sicherheitsschlüssel (YubiKey)

Ist der YubiKey zwingend notwendig um das Portal BildungsIT MUC zu nutzen?

Ja, gemäß den IT-Sicherheitsvorgaben der LHM haben wir einen “YubiKey-only” Ansatz umgesetzt. Eine Registrierung oder Anmeldung am Portal ohne YubiKey ist nicht möglich.

Werden auch andere Geräte anstatt des YubiKey unterstützt für die Registrierung und Anmeldung?

Nein, das ist technisch nicht vorgesehen. Der Versuch, ein anderes Gerät zu nutzen, wird dazu führen, dass die Registrierung nicht abgeschlossen werden kann.

Wenn ich versuche meinen YubiKey zu registrieren lande ich in einer Art Loop (die Anfrage zur Registrierung des YubiKey beginnt von vorne). Woran liegt das?

Antwort 1: Bitte beachten Sie auch die vorangegangene Frage. Dieses Verhalten tritt unter anderem auf, wenn versucht wird ein anderes Gerät als einen Sicherheitsschlüssel (YubiKey) für die Registrierung zu verwenden. Daher bitte nur den Sicherheitsschlüssel (YubiKey) nutzen und anhand der Anleitungen auswählen bei der Registrierung. Sollten alle Schritte korrekt ausgeführt worden sein und es kommt dennoch zum Fehler, bitten wir um Feedback. Die gängigen Endgeräte und Browserkombinationen wurden getestet.

Antwort 2: Unter anderem wurden uns auch vereinzelt Fälle einer Schleife zugetragen obwohl der YubiKey korrekt verwendet wird. Die Untersuchungen deuten darauf hin, dass die Zeit zwischen initialer Anmeldung (Eingabe Username & Passwort) und Registrierung des YubiKey mit PIN Vergabe zu lange dauert (mehrere Minuten in denen ggf. etwas anderes gemacht wird), weswegen die YubiKey Registrierung in eine Art Timeout läuft welcher im Folgenden automatisiert nicht mehr erfolgreich neugestartet werden kann.

Diese Fälle werden weiterhin untersucht. Um das Problem direkt zu umgehen, wird empfohlen die Registrierung möglichst in einem Zug durchzuführen.
Als Workaround falls das Problem dennoch auftritt kann die URL https://portal.m-bildung.de kopiert, erneut in die Adressleiste einfügt und aufgerufen werden. Außerdem können die Browserdaten (Cookies) gelöscht, oder ein anderer Browser benutzt werden.

Warum muss bei der Registrierung eine PIN gesetzt werden, bzw. wird diese angefragt wenn sie schon existiert? Und wofür wird sie gebraucht?

Die PIN ist eine native Funktion des YubiKey um diesen zu personalisieren und zu schützen.

Im Portal wird diese PIN aktuell nach der Erstregistrierung nicht erneut abgefragt, das liegt daran, dass der YubiKey in diesem Fall als 2. Faktor eingesetzt wird. Username und Passwort werden im ersten Schritt abgefragt, im 2. Schritt wird der physische Besitz des YubiKey mit einem Tippen auf die Goldene Fläche (kein Fingerabdruck Sensor!) überprüft. Dieses Sicherheitsniveau entspricht den gängigen Standards und ist für die 2. Faktor Authentifizierung ausreichend.

Aktuell wird die PIN daher im Alltag nur bei der Registrierung und Benutzung des Tools Passwort Vergessen abgefragt um hier das möglichst höchste Sicherheitsniveau zu gewährleisten.

Warum werde ich unter Geräten mit einem Apple Betriebssystem nun auch bei DIMA bzw. anderen Diensten nach einer PIN für den YubiKey gefragt obwohl dies zuvor nicht der Fall war?

Dieses Verhalten ist bekannt und wird gemeinsam mit IT@M untersucht. Die genaue Ursache ist aktuell noch unklar. Nach bisherigen Rückmeldungen betrifft es nur Geräte mit Apple-Betriebssystem (MacBook, iPad, iPhone).

Kann ich mehrere YubiKey im Portal registrieren?

Ja, wenn mehrere YubiKey vorhanden sind unbedingt. Weitere Informationen dazu finden Sie auch in der Antwort auf die Frage ‘Welche Möglichkeiten habe ich ansonsten noch nach dem Login im Portal?’

Was passiert wenn ich den YubiKey Zuhause vergesse oder ihn verliere?

Wenn Sie den YubiKey vergessen haben, ist eine Anmeldung im Portal nicht möglich. Es wird daher empfohlen, den YubiKey am (Arbeits-)Schlüsselbund zu befestigen, das reduziert die Wahrscheinlichkeit deutlich ihn zu vergessen. Eine temporäre Lösung steht aktuell nicht zur Verfügung.

Sollten an dem Tag dringende Probleme entstehen, können Sie sich an unseren IT-ServiceDesk wenden (per E-Mail oder Telefon).

Im Falle eines Verlustes informieren Sie bitte eine berechtigte Person in Ihrer Einrichtung z.B. AWB oder (stellv.) Einrichtungsleitung. Diese kann über ServiceNow ein Ticket erstellen und den Verlust melden: IT-Services > Security Token Lehrende verloren/defekt.

Anschließend wird ein neuer YubiKey bestellt und per Post an Ihre Einrichtung zugstellt.

Darf ich den YubiKey mit anderen Personen teilen?

Nein. Das ist nicht vorgesehen, da dies die Sicherheit kompromittiert.

Kann ein YubiKey, der nicht mehr benötigt wird, an eine andere Person übertragen werden?

Ja, sofern der YubiKey von der bisherigen Person nicht mehr benötigt wird. Die Weitergabe erfolgt nicht direkt, sondern über ein Ticket in ServiceNow. Hierzu kann eine berichtigte Person ein Ticket in ServiceNow erstellen: IT-Services > ServiceNow Ticket > Security Token Lehrende weitergeben.

Der YubiKey wird anschließend der neuen Person zugeordnet.

Kann ich den YubiKey auch mit dem Smartphone verwenden?

Ja. Der YubiKey unterstützt neben der Nutzung über USB auch die NFC-Funktion. Auf NFC-fähigen Geräten, insbesondere Smartphones, kann der Sicherheitsschlüssel bei der Anmeldung einfach an die Rückseite des Geräts gehalten werden, anstatt ihn per USB anzustecken. Die Position der NFC-Stelle befindet sich je nach Gerät meistens oben oder mittig auf der Rückseite.

Fragen zum Security Token (YubiKey)-PIN

Welche Anforderungen gibt es an die PIN? Welchen Zweck erfüllt sie?

Der Begriff „PIN“ ist etwas missverständlich: Die Eingabe kann auch alphanumerisch sein (Mindestlänge 4 Zeichen), also ähnlich einem Passwort. Der Hersteller empfiehlt dennoch eine numerische PIN, mit mindestens 6 Stellen. Bitte verwenden Sie keine leicht zu erratenden Werte.

In der Praxis ist der Zweck der PIN den Security Key lokal zu entsperren, damit dieser seine Rolle erfüllen kann. Die PIN ist lokal auf dem Gerät (YubiKey) gespeichert. Da die PIN nicht wie ein Passwort über das Netzwerk übertragen wird, ist sie phishing-resistenter und stellt daher geringere Anforderungen an die Komplexität.

Was passiert wenn ich die PIN des YubiKey vergesse?

Eine Anmeldung am Portal & DIMA ist weiterhin möglich da die PIN hier aktuell nicht abgefragt wird (Ausnahme Fehlerbild einige Apple Geräte, s. Frage ‘Warum werden ich unter Geräten mit einem Apple Betriebssystem nun auch bei DIMA bzw. anderen Diensten nach einer PIN für den YubiKey gefragt obwohl dies zuvor nicht der Fall war?’ ). Die Nutzung von „Passwort vergessen“ ist dann jedoch nicht mehr möglich.

Der YubiKey erlaubt eine achtmalige falsche PIN-Eingabe. Danach wird das sichere Element gesperrt und die PIN-Funktion ist nicht mehr nutzbar. In diesem Fall muss der YubiKey zurückgesetzt werden. Das bedeutet u. a., dass er bei Portal, DIMA, „Passwort vergessen“ und allen weiteren Diensten entfernt und neu registriert werden muss. Der Prozess kann langwierig und kompliziert sein, da verschiedene Parteien (LHM-S & IT@M) involviert sind. Aktuell wird für diesen Fall ein Prozess in ServiceNow vorbereitet um ihn zu standardisieren.

Die PIN sollte daher unbedingt sicher aufbewahrt werden, sie ist ebenso zu verwahren wie ein Master Passwort.

Sonstige Fragen zum Portal

Wo sind die Anleitungen hinterlegt?

Die aktuellen Anleitungen (je nach Browser) finden Sie im Portal https://portal.m-bildung.de/ in der Fußzeile.

Für die Erstanmeldung/ Registrierung des YubiKeys empfehlen wir die Nutzung des Browsers Firefox.

Welche Endgeräte werden unterstützt?

Im Zuge der Tests wurden von der LHM-S ausgegebene Endgeräte getestet, darunter auch Mobiltelefone. Der YubiKey funktioniert standardmäßig bei allen Geräten sofern diese einen Anschluss des YubiKey ermöglichen.

Welche Möglichkeiten habe ich ansonsten noch nach dem Login im Portal?

Die wichtigsten weiteren Funktionen sind im Profil zu finden. Das Profil ist zu erreichen mit einem Klick auf den Username rechts oben, gefolgt von einem Klick auf “Profil”. Hier sind einige User Informationen zu finden (nicht bearbeitbar), mit Klick auf den Reiter “Sicherheit” kann das aktuelle Passwort des M-Bildung Account geändert werden, oder aber der YubiKey entfernt, bearbeitet bzw. ein weiterer hinzugefügt werden. Dazu wird einfach ein weiterer “Passschlüssel” hinzugefügt.

Warum wird beim Username in manchen Fällen ein @m-bildung angezeigt (z. B. im Profil oder ggf. auch bei der YubiKey Ersteinrichtung im Browser Popup)?

Das ist kein Fehler und technisch notwendig. Da die LHM-S mehrere Kundenstämme (LHM-S + Bildungseinrichtungen) unterstützt ist eine technische Trennung notwendig. Diese ist transparent für den Anwender und wird automatisiert vom System verwaltet.

Aus welchem Netzwerk ist ServiceNow zu erreichen, und warum bekomme ich eine Fehlermeldung wenn ich versuche die Applikation aus dem Internet aufzurufen?

Das Portal und andere Anwendungen sind von überall erreichbar. ServiceNow hingegen nur aus bestimmten Netzwerken:

Verwaltungsnetz (+DIMA)
Pädagogik / aktive VPN-Verbindung

Andere Netzwerke sind standardmäßig blockiert. Diese Blockierung wird durch ServiceNow selbst umgesetzt; sie wird nicht durch das Portal verursacht.