B. Einrichtung im Serviceportal

Zur Authentifizierung des Telefons bei der Erstinbetriebnahme ist für die Zwei-Faktor-Authentifizierung ein spezieller "Phone Authentication PIN" (PAP) erforderlich. Dieser PAP wird im Admin-Portal unter den Geräteeinstellungen angezeigt.

Einrichtung der Telefone

Neue Geräte werden wie bisher im Admin-Portal angelegt. Bei der Erstellung wird ein eindeutiger 6-stelliger PAP generiert. Dieser PAP ist solange gültig, bis das Gerät vollständig provisioniert wurde. Nach erfolgreicher Authentifizierung wird der PAP nicht mehr benötigt.

Während des gesamten Prozesses kann sich das Gerät in einem der folgenden drei Authentifizierungszustände befinden:

S‌tatusBeschreibung
Authentifizierung erforderlichDas Telefon wurde eingerichtet, aber noch nicht erfolgreich authentifiziert
Authentifizierung fehlgeschlagenDas Telefon ist vorübergehend für die Authentifizierung gesperrt und akzeptiert keine PAPs
Authentifizierung blockiertDas Telefon ist dauerhaft für die Authentifizierung gesperrt und akzeptiert keine PAPs
Authentifizierung erfolgreichDas Telefon wurde erfolgreich authentifiziert und vollständig bereitgestellt

Wenn ein neues Gerät in das Admin-Portal hinzugefügt wurde, ist sein Status zunächst "Authentifizierung erforderlich". In diesem Zustand ist eine Authentifizierung über PAP erforderlich, wenn die öffentliche IP-Adresse des Telefons nicht in die Whitelist steht. Bei erfolgreicher Authentifizierung geht der Status auf "Authentifizierung erfolgreich" (1) über. Nach erfolgreicher Authentifizierung wird der PAP nicht mehr benötigt. Falls die Authentifizierung dreimal hintereinander fehlschlug, wechselt der Status automatisch von "Authentifizierung erforderlich" auf "Authentifizierung fehlgeschlagen" (2). Dieser Zustand wechselt nach 30 Minuten automatisch wieder zurück auf "Authentifizierung erforderlich" (3). Bei mehreren erfolglosen Authentifizierungsversuchen geht der Zustand in "Authentifizierung blockiert" (4) über, wodurch dieses Telefon dauerhaft für weitere Authentifizierungsversuche gesperrt wird. In jedem dieser Zustände kann der Zustand manuell auf "Authentifizierung erforderlich" (5) zurückgesetzt werden, indem der PAP zurückgesetzt wird. Dafür bietet das Admin-Portal zwei Aktionen, die in jedem Zustand verfügbar sind:

AktionBeschreibung
Authentifizierung aussetzen Deaktiviert explizit alle Authentifizierungsanforderungen für das jeweilige Gerät für 30 Minuten
Authentifizierung zurücksetzenMacht die aktuelle Authentifizierung ungültig und erzeugt sofort einen neuen PAP

Wenn das Gerät seine Konfiguration verliert oder auf die Werkseinstellungen zurückgesetzt wurde, muss die ”Authentifizierung zurücksetzen" Aktion ausgeführt werden, um einen neuen PAP zu generieren und das Gerät erneut zu authentifizieren.

IP Whitelisting

Dauerhaftes Whitelisting

Für Geräte, die von einem Standort aus betrieben werden, der eine feste öffentliche IP-Adresse verwendet, ist es möglich, die öffentliche IP als vertrauenswürdig im Admin-Portal auf eine Whitelist zu setzen. Die NFON-Plattform erfordert dann keine Authentifizierung via PAP mehr für alle Provisionierungs-Anfragen, die von dieser IP-Adresse kommen. Die Whitelist akzeptiert entweder einzelne IPv4-Adressen (xxx.xxx.xxx.xxx) oder IP-Bereiche in CIDR-Notation (xxx.xxx.xxx.xxx./yyy). Sie kann im Admin-Portal "Verwaltung" > "Profil" > "Technische Einstellungen" konfiguriert werden.

Temporäres Whitelisting

Nach erfolgreicher Authentifizierung eines Geräts mittels PAP fügt die NFON-Plattform automatisch die öffentliche IP-Adresse des Netzwerks, von dem sie die Bereitstellungsanforderung erhalten hat, temporär zu der Whitelist hinzu. Die IP-Adresse bleibt ab diesem Zeitpunkt für 8 Stunden gewhitlistet. Werden in diesem Zeitraum neue Geräte oder Bestandsgeräte erfolgreich provisioniert, verlängert sich der Zeitraum kontinuierlich um weitere 8 Stunden. Dieser Mechanismus soll den Bereitstellungsprozess für neue Kunden oder Standorte vereinfachen, oder falls eine statische IP-Adresse nicht verfügbar oder noch nicht bekannt ist.

CSV Export

Es ist möglich, eine Liste aller Geräte aus dem Admin-Portal als CSV-Datei zu exportieren. Diese Datei enthält den Hersteller, den Typ, die MAC-Adresse, das Erstellungsdatum, den Standort sowie den Authentifizierungsstatus. Falls das Gerät noch nicht erfolgreich authentifiziert wurde, enthält die Datei auch den PAP für dieses Gerät. Dies geschieht im Admin-Portal "Verwaltung" > "Batch-Import/Export".