Monivaiheinen kirjautuminen (MFA)
Monivaiheinen kirjautuminen eli MFA (Multi-Factor Authentication) suojaa UTU-tunnustasi ja sen saatavilla olevia tietoja pyytämällä kirjautumisessa lisävahvistuksen. Ottamalla MFA:n käyttöön pääset palveluihin, jotka vaativat vahvempaa kirjautumista.
Todennusmenetelmiä on kahdenlaisia:
- Pääsyavaimet (Passkey) ja suojausavaimet (Security key) käyttävät laitteiden tunnistamisominaisuuksia: sormenjälkilukija, kasvojen tunnistus, fyysisen USB/NFC-avaimen hallinta. Suosittelemme pääsy- ja suojausavainten rekisteröintiä omille laitteilla ensimmäisenä, koska ne ovat helpoimpia käyttää päivittäin.
- Todennussovellukset (Authenticator application), jotka antavat kuusinumeroisia kertakäyttökoodeja. Todennussovellus kannattaa ottaa käyttöön sen yhteensopivuuden takia.
Suosittelemme, että otat käyttöön ainakin kaksi todennusmenetelmää. Näin pääset kirjautumaan varakeinolla, jos yleensä käyttämäsi todennusmenetelmä ei ole mukana tai ei toimi. Voit kirjautuessa valita miten haluat antaa lisävahvistuksen – esimerkiksi kännykkäsi kasvojentunnistuksella, tietokoneellasi sormenjäljellä, tai Horizon-etätyöpöytää käyttäessä todennussovelluksella.
Pääsyavaimen ja suojausavaimen rekisteröinti
Pääsyavaimina ja suojausavaimina voi käyttää lähes kaikkia uudempia Windows-, macOS-, Android -ja iOS-laitteita, sekä FIDO2-yhteensopivia USB/NFC-avaimia. Puhelimen pääsyavaimella voit kirjautua mihin tahansa sitä tukevaan tietokoneeseen, mutta tietokoneen pääsyavain (tunnettu myös suojausavaimena) toimii vain rekisteröidyltä laitteelta kirjautuessa.
Tunnistautuminen laitteen avulla käyttää samaa keinoa, jota käytät laitteen lukituksen avaamiseen. Ennen pääsyavaimen tai suojausavaimen MFA-rekisteröintiä, laitteen lukituksen avaamiseen täytyy olla käytössä jokin keino, esim. sormenjäljen tai kasvojen tunnistus. Jos pystyt avaamaan näytön lukituksen valitsemallasi keinolla, se on lisätty oikein ja voit siirtyä rekisteröimään laitteen.
Windows: Settings > Accounts > Sign-in options (intranet: Kirjautuminen PIN-koodilla tai sormenjäljellä)
macOS: System Settings > Touch ID & Password (Apple: Use Touch ID on Mac)
iOS: Settings > Face ID / Touch ID & Passcode (Apple: Use Face ID on your iPhone or iPad Pro, Apple: Use Touch ID on iPhone and iPad)
Android: Eri laitteilla lisääminen tapahtuu hieman eri tavoilla, mutta haulla asetus löytynee. Samsung Galaxy: Security and Privacy > Biometrics > Fingerprints (Samsung: Use the fingerprint sensor on your Galaxy phone or tablet)
Pääsyavaimen rekisteröintiin pääset osoitteesta https://idm.utu.fi klikkaamalla "Monivaiheisen kirjautumisen (MFA) asetukset". Kirjaudu sisään, ja mikäli olet jo rekisteröinyt jonkin todennusmenetelmän, sitä täytyy käyttää kirjautumisessa.
Kun olet kirjautunut, klikkaa "Signing in" -linkkiä ("Kirjautuminen").
Seuraavalla sivulla saat lisättyä pääsyavaimen klikkaamalla "Set up Security key" ("Rekisteröi suojausavain").
Seuraavan sivun "Register"-nappia (1.) klikkaamalla selain aloittaa pääsyavaimen rekisteröinnin, jossa valitse puhelin/tabletti (2.), kuvaa QR-koodi laitteen kameralla (3.) ja anna menetelmälle tunnistettava kuvaus (4., nimeksi (label) kannattaa kirjoittaa käytetty laite ja menetelmä, esimerkiksi "iPhone 15 Passkey").
Tämän jälkeen puhelimesi näkyy "Security key" -listassa antamallasi nimellä.
Suojausavaimen rekisteröintiin pääset osoitteesta https://idm.utu.fi klikkaamalla "Monivaiheisen kirjautumisen (MFA) asetukset". Kirjaudu sisään, ja mikäli olet jo rekisteröinyt jonkin todennusmenetelmän, sitä täytyy käyttää kirjautumisessa.
Kun olet kirjautunut, klikkaa "Signing in" -linkkiä ("Kirjautuminen").
Seuraavalla sivulla saat lisättyä suojausavaimen klikkaamalla "Set up Security key" ("Rekisteröi suojausavain").
Seuraavan sivun "Register"-nappia (1.) klikkaamalla selain aloittaa suojausavaimen rekisteröinnin, jossa valitset haluamasi todennusmenetelmän (2.), käytät sitä (3.) ja annat menetelmälle tunnistettavan kuvauksen (4., nimeksi (label) kannattaa kirjoittaa käytetty laite ja menetelmä, esimerkiksi "Läppärin sormenjälki").
Windowsilla sormenjäljen lisäksi koneen PIN-koodi ja/tai kasvojentunnistus voivat olla vaihtoehtoina, mutta kaikki tavat toimivat, vaikka yhtä käytetään rekisteröintiin.
Tämän jälkeen suojausavain näkyy "Security key" -listassa antamallasi nimellä.
Todennussovelluksen rekisteröinti
Yliopiston MFA:n kertakäyttökoodit toimivat kaikkien todennussovellusten kanssa. Jos käytät jo jotain todennussovellusta, käytä sitä myös UTU-tunnuksesi kanssa.
Suositellut sovellukset Android-puhelimille ja iPhonelle (iOS):
- FreeOTP: Google Play Store / Apple App Store
- Microsoft Authenticator: Google Play Store / Apple App Store
- Google Authenticator: Google Play Store / Apple App Store
- Apple iCloud Keychain (valmiina Apple-laitteissa)
Lataa sovellukset suoraan puhelimen sovelluskaupasta, tai avaa yllä olevasta linkistä, jotta saat sovelluksen aidon ja oikean version.
Jos et voi käyttää älypuhelinta, voit omalla tietokoneellasi käyttää KeePass-ohjelmaa, joka löytyy yliopiston Windows-koneille Software Centeristä.
Todennussovelluksen rekisteröintiin pääset osoitteesta https://idm.utu.fi klikkaamalla "Monivaiheisen kirjautumisen (MFA) asetukset". Kirjaudu sisään, ja mikäli olet jo rekisteröinyt jonkin todennusmenetelmän, sitä täytyy käyttää kirjautumisessa.
Kun olet kirjautunut, klikkaa "Signing in" -linkkiä ("Kirjautuminen").
Valitse kohta Set up authenticator application.
Seuraavaksi aukeaa sivu, jossa todennussovellus rekisteröidään tunnuksellesi. Avaa asentamasi todennussovellus, lisää uusi tili ja skannaa sen avulla sivulla näkyvä QR-koodi, tai kopioi "Unable to scan" -linkistä esiin tulevat asetukset sovellukseen. Yksityiskohtaiset ohjeet suositelluille sovelluksille löydät intranetin sivulta Todennussovellukset.
Laita "Device Name" -kenttään esimerkiksi puhelimesi merkki ja sovelluksen nimi.
Syötä "One-time code" -kenttään sovelluksen näyttämä koodi ja klikkaa Submit ennen kuin koodi vanhenee (jos koodi ehtii vaihtumaan sovelluksessa, se pitää kirjoittaa uudelleen myös rekisteröintilomakkeelle). Lisätty sovellus näkyy "Authenticator application" -listassa.
Kirjautuminen MFA:lla
Kun olet ottanut yhden tai useamman MFA-menetelmän käyttöösi, voit sen avulla kirjautua sitä vaativiin palveluihin. MFA-vahvistusta pyydetään UTU-tunnuksella ja salasanalla kirjautumisen jälkeen.
Oletuksena vahvistukseen pyydetään ensimmäisenä rekisteröimääsi MFA-menetelmätyyppiä. Voit vaihtaa toiseen menetelmään klikkaamalla "Use another MFA method" -linkkiä, jos et voi käyttää ensisijaista todennusmenetelmää.
Voit kokeilla ja harjoitella monivaiheisen kirjautumisen eri menetelmien käyttöä osoitteessa https://mfa-test.utu.fi.
Kirjautuminen pääsyavaimella ja suojausavaimella
"Security key" -listassa näet tunnuksellesi rekisteröidyt pääsy- ja suojausavaimet. Listasta ei voi valita tiettyä todennuskeinoa, vaan selain tarjoaa käytettävissä olevia menetelmiä. Paina "Sign in with Security Key" -nappia (1.), valitse haluatko kirjautua pääsy- vai suojausavaimella (2.) ja noudata selaimen ohjeita käyttämällesi MFA-menetelmälle.
Kirjautuminen todennussovelluksella
Avaa käyttämäsi todennussovellus ja syötä siinä "UTU SSO" -tilille näkyvä koodi "One-time code" -kenttään ja paina "Log in" ennen kuin koodi vanhenee. Jos koodi ehtii vaihtua sovelluksessa, täytyy sivulle syöttää uusi voimassa oleva koodi.
Jos sinulla on käytössä useampi todennussovellus, valittuna pitää olla se, jonka antaman kertakäyttökoodin syötät "One-time code" -kenttään.