Kaksivaiheinen tunnistus - Käyttöönotto
Huomioitavaa kaksivaiheisen tunnistuksen asennuksessa ja käytössä
Kaksivaiheisen tunnistuksen käyttöönotto älypuhelimella
TUNI kaksivaiheisen tunnistuksen käyttöönotto, jos käytössäsi ei ole älypuhelinta
Luo väliaikainen käyttölupa
Numerovarmistus (Number matching) ja salasanaton kirjautuminen
Korkeakouluyhteisön sähköiset palvelut edellyttävät kaksivaiheista tunnistautumista.
Kaksivaiheinen tai vahva tunnistus tarkoittaa puhelimella tai USB-turva-avaimella tehtävää lisätunnistusta verkkopalveluiden sisäänkirjautumisen yhteydessä. Se tuo lisäsuojaa TUNI sähköisten palveluiden käytössä varsinkin niissä tilanteissa, joissa salasana on päätynyt vääriin käsiin.
Puhelimella tehtävään kaksivaiheiseen tunnistukseen tarvitset älypuhelimen, jossa on verkkoyhteys ja mahdollisuus asentaa Microsoft Authenticator -tunnistussovellus, joka on ladattavissa Android- ja Apple-puhelimiin. Tunnistussovelluksen käyttö on maksutonta.
Tunnistussovelluksen voit asentaa useampaan eri puhelimeen ja samalla sovelluksella onnistuu tunnistautuminen myös muihin henkilökohtaisiin palveluihin kuten esimerkiksi Googlen palveluihin.
Lue myös ohje Puhelimen käyttöönotosta (henkilökunta)
Jos sinulla ei ole käytössäsi älypuhelinta, voit käyttää USB-turva-avainta (esim. Yubikey Security Key U2F FIDO2 NFC, joita on saatavissa useimmista elektroniikkaliikkeistä). TUNI henkilökunta voi tilata USB-turva-avaimen helpdesk.tuni.fi -palvelukanavan IT-Pientarvikkeet-tilauslomakkeella suoraan kotiosoitteeseen.
Huomioitavaa kaksivaiheisen tunnistuksen asennuksessa ja käytössä:
- Kaksivaiheisen tunnistuksen rekisteröintiin ei vaadita enää VPN-yhteyttä. Riittää, että sen tekee Suomesta.
- Mutta mikäli et ole Suomessa, TUNI henkilökunnan työkoneen tulee olla TUNI VPN kytkettynä päällä. Käyttäessäsi omaa henkilökohtaista laitetta käytä eduVPN:ää. Ohjeet VPN-yhteyden käytöstä henkilökohtaisella tietokoneella (Windows, Linux tai macOS).
- Opiskelijat ja vierailijat (ml. ne, joilla on samat käyttövaltuudet kuin henkilökunnalla) eivät tarvitse kaksivaiheisen tunnistuksen käyttöönotossa VPN-yhteyttä.
- Jos puhelimesi vaihtuu, kaksivaiheinen tunnistus täytyy ottaa käyttöön uudessa puhelimessa. Poista vasta sen jälkeen vanha puhelin tunnistuspalvelusta aka.ms/mfasetup -sivustolla Delete-painikkeella.
- Kaikki sähköpostisovellukset (esim. Samsung-puhelimien omat sähköpostisovellukset) eivät vielä tässä vaiheessa tue kaksivaiheista tunnistusmenetelmää, ja turvallisuussyistä johtuen TUNI-sähköpostin ja -kalenterin käyttö tällaisella sovelluksella ei ole mahdollista. Muistathan siis ottaa käyttöön Outlook-sovelluksen puhelimeesi, jota käytät TUNI-sähköpostin ja -kalenterin hallintaan. Lista tuetuista sähköpostisovelluksista ja asennusohjeista
- Kun käytät jotain muuta kuin henkilökohtaista laitettasi, niin muista vastata kirjautumisnäkymän Stay signed in -ikkunassa kysymykseen "No", jotta kukaan muu ei pääse kirjautumaan tunnuksellasi tietoihisi ja käyttämiisi TUNIn sähköisiin palveluihin.
- Kaksivaiheinen tunnistus ei kosketa vielä tässä vaiheessa palveluiden omia paikallisia tunnuksia.
- Kaksivaiheinen tunnistus ei ole käytössä:
- Linux SSH- ja etätyöpöytäpalvelimilla (henkilökunnan SSH-palvelimilla käytetään erillistä kaksivaiheista tunnistusta)
- TUNI eduVPN -kirjautumisessa
- Sähköisessä tentissä käytettävissä järjestelmissä (Exam, Plussa, Älyoppi-moodle).
TUNI kaksivaiheisen tunnistuksen käyttöönotto älypuhelimella
Kaksivaiheinen tunnistus otetaan käyttöön älypuhelimella kolmessa eri vaiheessa, joissa tarvitset älypuhelinta sekä tietokonetta, jossa on asennettuna selain esimerkiksi Edge tai Google Chrome.
- 1
Asenna Microsoft Authenticator -sovellus puhelimeesi sovelluskaupasta
Avaa Authenticator -sovellus asennuksen jälkeen ja toimi ohjeiden mukaisesti
- 2
Yhdistä TUNI-tili ja puhelimen tunnistussovellus
Avaa tietokoneen selaimessa osoite: https://aka.ms/mfasetup ja toimi ohjeen mukaisesti
Microsoft Authenticator -sovelluksen asennus puhelimeesi
- Hae ja asenna Microsoft Authenticator -sovellus puhelimeesi puhelimen sovelluskaupasta.
- Avaa Microsoft Authenticator -sovellus puhelimessasi asennuksen jälkeen.
- Hyväksy ensimmäisellä käyttökerralla kehote anonyymin käyttödatan keräämisestä.
- Jos sovellus kysyy lupaa lähettää ilmoituksia (Notification), valitse Salli (Allow).
- Valitse Lisää uusi tili ja valitse Työ- tai koulutili.
- Valitse Skannaa QR-koodi (Scan QR code).
- Anna sovellukselle käyttöoikeus käyttää puhelimen kameraa, jotta sovellus voi lukea QR-koodeja.
- Sovellus jää nyt odottamaan QR-koodia, jolla yhdistetään sinun TUNI-tilisi ja puhelimen sovellus.
- Laita puhelin hetkeksi sivuun ja siirry vaiheeseen 2.
HUOM! Jos tunnistussovellus ilmoittaa, että se on lukittu ja pyytää syöttämään lukituskoodia, niin kyseessä on puhelimen näytön lukituskoodi.
TUNI-tilin ja puhelimen tunnistussovelluksen yhdistäminen
- Avaa tietokoneen selaimessa osoite: https://aka.ms/mfasetup
- Kirjaudu sisään käyttäen TUNI -sähköpostiosoitetta ja salasanaa.
- Tietokoneen selain kysyy kirjautumisen tallentamista, voit valita Ei (No).
- Selain antaa ilmoituksen lisätietojen määrityksestä, valitse Seuraava (Next).
- Selain esittelee seuraavaksi Microsoft Authenticator -sovelluksen käyttöä.
- Siirry selaimessa eteenpäin klikkaamalla Seuraava-painiketta (Next) kohtaan, jossa tulee näkyviin QR-koodi.
- Ota nyt puhelin ja lue puhelimen Microsoft Authenticator -sovelluksessa avoimena olevalla QR-koodilukijalla tietokoneen selaimessa oleva QR-koodi. Jos puhelimesi tunnistussovellus on mennyt lukkoon, aukaise sovellus puhelimesi näytön lukituskoodilla.
- Kun Microsoft Authenticator -puhelinsovellus on lukenut QR-koodin, voit tietokoneen selaimessa klikata Seuraava-painiketta (Next).
- Saat puhelimeesi testitunnistuksen hyväksymispyynnön, joka sinun tulee Hyväksyä (Approve).
- Voit siirtyä tietokoneen selaimessa eteenpäin klikkaamalla Seuraava-painiketta (Next).
- Klikkaa selaimessa Valmis-painiketta (Done).
- TUNI-tilin ja puhelimen sovelluksen yhdistäminen on nyt valmis.
Hienoa! Kaksivaiheinen tunnistus on nyt onnistuneesti otettu käyttöön.
Aktivoinnin jälkeen saat aluksi hyväksymispyyntöjä, mutta niiden määrä vähenee, kun olet kirjautunut eri TUNI sähköisiin palveluihin käyttäen kaksivaiheista tunnistusta.
Seuraavan kerran hyväksymispyynnöt tehdään noin kahden kuukauden kuluttua, jos käytät aina samaa laitetta tai selainta. Jos käytät toista laitetta tai selainta, hyväksymispyyntö lähetetään uudestaan. Sovelluksen käyttö ulkomailla saattaa myös aiheuttaa hyväksymispyynnön.
TUNI kaksivaiheisen tunnistuksen käyttöönotto, jos käytössäsi ei ole älypuhelinta
Jos sinulla ei ole käytössäsi älypuhelinta, voit ottaa käyttöösi tietokoneesi USB-portissa käytettävän tietoturva-avaimen. USB-turva-avain on ensisijaisesti tarkoitettu tietokonekäyttöön, mutta toimii myös rajoitetusti mobiililaitteissa. TUNI-kirjautuminen toimii selainkäytössä iOS-mobiililaitteissa, mutta Android-mobiililaitteet eivät toistaiseksi ole tuettuja. Lisätietoa yhteensopivuudesta: Browser support of FIDO2 passwordless authentication | Microsoft Learn
USB-turva-avain liitetään tietokoneen USB-porttiin. Niitä on saatavilla kahdella eri USB-liitännällä: USB-A tai USB-C. Tarkista tietokoneesi USB-liitäntävaihtoehdot. TUNI henkilökunta voi tilata USB-turva-avaimen helpdesk.tuni.fi -palvelukanavan IT-Pientarvikkeet-tilauslomakkeella suoraan kotiosoitteeseen.
USB-turva-avaimella tehtävä kaksivaiheinen tunnistus otetaan käyttöön kahdessa eri vaiheessa. Tarvitset siihen puhelimen, USB-turva-avaimen sekä tietokoneen, johon on asennettuna selain esim. Edge tai Google Chrome.
- 1
Luo väliaikainen käyttölupa
Ensin sinun on luotava väliaikainen käyttölupa päästäksesi tietoturvasivulle
- 2
USB-turva-avaimen käyttöönotto
USB-turva-avaimen käyttöönotto-ohjeet alapuolella
Luo väliaikainen käyttölupa päästäksesi turvatieto-sivulle
- Avaa tietokoneen selaimessa osoite https://salasana.tuni.fi ja valitse Aloita tunnistautumalla
- Tunnistaudu käytössäsi olevalla tunnistusvälineellä. Lue lisää tunnistautumisesta. Jos sinulla ei ole mitään näistä, ole yhteydessä it-helpdeskiin.
- Valitse Aseta kaksivaiheinen tunnistautuminen uudelleen
- Tämän jälkeen valitse Jatka
- Kopioi sinulle luotu kertakäyttökoodi talteen (vihreätaustaisessa laatikossa), sillä tarvitset sitä kohta kirjautumisessa. Tämän jälkeen valitse Jatka.
- Kirjaudu sisään käyttäen TUNI-sähköpostiosoitetta ja salasanaa.
- Nyt sinulta pyydetään tilapäistä käyttölupaa. Syötä/kopioi talteen ottamasi kertakäyttökoodi ja siirry eteenpäin valitsemalla Kirjaudu sisään (Sign in).
- Tämän jälkeen sinulta kysytään haluatko pysyä kirjautuneena.
- Olet päässyt turvatieto-sivulle.
- Tilapäinen käyttölupa on voimassa vain rajoitetun ajan. Jatka siis heti seuraavaan vaiheeseen - USB-turva-avaimen käyttöönotto.
USB-turva-avaimen käyttöönotto
Seuraavat käyttöönotto-ohjeet pohjautuvat Yubicon valmistamaan Yubikey Security Key U2F FIDO2 NFC-avaimen käyttöön. Voit käyttää myös muiden valmistajien turva-avaimia, mutta me emme tarjoa tukea niiden käyttöön.
- Avaa tietokoneen selaimessa osoite: https://aka.ms/mfasetup
- Kirjaudu sisään käyttäen TUNI-sähköpostiosoitetta ja salasanaa.
- Tietokoneen selain kysyy kirjautumisen tallentamista, voit valita Ei (No).
- Selain antaa ilmoituksen lisätietojen määrityksestä, valitse Seuraava (Next).
- Selain esittelee seuraavaksi Microsoft Authenticator -sovelluksen käyttöä.
- Klikkaa turvatieto-sivulla (Security info) + Lisää menetelmä -painiketta (+ Add method).
- Valitse alasvetovalikosta Suojausavain (Security key) ja klikkaa Lisää-paniketta (Add)
- Valitse omistamasi USB-turva-avaimen (käyttöoikeusavain) tyypiksi USB-laite.
- Saat ilmoituksen, jossa sinua kehotetaan liittämään suojausavaimesi USB-porttiisi, kun valitset seuraava. Joten laita USB-tietoturva-avain tietokoneesi USB-porttiin.
- Klikkaa tietokoneesi Suojausavain-ilmoituksen ikkunasta Seuraava-painiketta (Next).
- Voit sulkea näytöllesi ilmaantuneen QR-koodin valitsemalla Use a different device
- Valitse avautuvasta Create a passkey -ikkunasta Windows Hello or external security key
- Valitse Security key setup -ikkunasta Ok
- Syötä itse valitsemasi security key PIN-koodi
- Suojausavain: To set up a security key, you need to sign in with two-factor authentication -> Seuraava
- Tee kaksivaiheinen tunnistus
- Valitse USB-laite
- Selain avaa uuden pienen ikkunan, josta pääset asettamaan USB-tieturva-avaimelle PIN-koodin. PIN-koodi on oltava vähintään neljä numeroa pitkä. Jos olet asettanut tietoturva-avaimelle jo aiemmin koodin, syötä aiemmin asettamasi koodi normaalisti.
- USB-tietoturva-avaimen valo syttyy vilkkumaan. Paina vilkkuvaa valoa.
- Nimeä USB-tietoturva-avain. Nimeämisen jälkeen USB-tietoturva-avaimen käyttöönotto on valmis.
- Klikkaa OK-painiketta (Next).
- Klikkaa selaimessa Valmis-painiketta (Done).
- Kaksivaiheinen tunnistus on nyt asennettu.
USB-turva-avaimen käyttö
Käyttöönoton jälkeen saadessasi kaksivaiheisen tunnistautumisen hyväksymispyyntöjä, älä syötä TUNI-sähköpostiosoitetta sisäänkirjautuessasi, vaan valitse sisäänkirjautumisikkunan alalaidasta Muut sisäänkirjautumisvaihtoehdot (Sign-in options) ja sieltä Kirjaudu sisään käyttäen suojausavainta (Sign in with a Security Key).
Tämän jälkeen syötä PIN ja kosketa USB-turva-avainta. Avain ei lue sormenjälkiä, ainoastaan kosketuksen.
Numerovarmistus (Number matching) ja salasanaton kirjautuminen
Numerovarmistus tuo lisäturvaa tunnusten kalasteluyrityksiä vastaan. Numerovarmistus on otettu automaattisesti käyttöön 14.2.2023.
Kun olet kirjoittanut kirjautumisikkunaan TUNI-tunnuksesi ja salasanasi, kirjautumisikkunaan tulee sen jälkeen lisävarmistuksen numero, jonka syötät puhelimen Authenticator-sovellukseen. Henkilökunnan työpuhelimissa tämä koskee työprofiilin Authenticator-sovellusta.
Numerovarmistuksen käyttöönoton jälkeen voit halutessasi ottaa käyttöön myös salasanattoman kirjautumisen. Sen jälkeen voit kirjautua palveluihin ilman TUNI-salasanaa vahvasti tunnistautuneena.
IT Helpdesk
0294 520 500
it-helpdesk [at] tuni.fi (it-helpdesk[at]tuni[dot]fi)
helpdesk.tuni.fi