UML VPN Einwahl

Der Zugriff aus dem Internet auf die Citrix Umgebung der Universittäsmedizin Leipzig, erfolgt ab dem 03.07.2019 zusätzlich über eine neue Web Application Firewall (WAFL). Dabei stellt die WAFL beimZugriff von externe (Internet) automatisch ein Authentifizierungsfront-End vor die Anmeldemaske der Citrix-Umgebung.

Ist die Anmeldung am WAFL-Front-End erfolgreich, wird die Authentifizierung per SSOn an die internen Citrix-Server weitergereicht. Es ist somit keine erneute Authentifizierung erforderlich. Für erhöhte Sicherheit findet eine Zwei-Faktor-Authentifizierung statt. Zusätzlich zu Benutzernamen und Passwort, muss der Nutzer sich via PIN + Token authentifizieren. Hierfür wird, wie bei der bisherigen VPN-Einwahl der bekannte Hard- oder Software-Token (MobilePASS-App) verwendet.

Zugriff von extern über URL:

https://uml-apps.medizin.uni-leipzig.de/Citrix/Prodweb

Nach dem Aufruf erfolgt eine Weiterleitung zur Authentifizierungsseite, bei der Nutzername, Passwort, PIN und Token abgefragt werden (Domäne muss beim Nutzernamen nicht angegeben werden!)

 Anmeldeverhalten:

Wenn man sich erfolgreich authentifiziert, reicht die WAFL die Logindaten direkt am Anwendungsserver ein, sodass man sich nicht erneut authentifizieren muss – man wird direkt auf die angesprochene Webseite geleitet.

Hat man vergessen ein Feld auszufüllen (Nutzername oder Passwort), erscheint eine entsprechende Meldung:

Bei fehlerhafter Anmeldung (falsches Passwort oder Nutzername), erscheint eine entsprechende Meldung und man kann es erneut versuchen:

Wichtig: Da es sich um eine Authentifizierung am zentralen Active Directory handelt, wird auch hier nach 10x falscher Eingabe des Passwortes, das entsprechende Benutzerkonto vorübergehend gesperrt!

1. Sofern Sie ein privates Endgerät nutzen und noch keinen Citrix-Receiver installiert haben, laden Sie sich bitte den zu Ihrem System passenden Citrix-Receiver von folgender Webseite herunter und installieren diesen (https://www.citrix.de/downloads.html) oder lassen diesen beim erstmaligen Zugriff über nachfolgende URL automatisch installieren.

2. Starten Sie das Remote-Einwahl-Portal, indem Sie im Browser Ihres Computers die folgende Webseite aufrufen:
   https://uml-apps.medizin.uni-leipzig.de

3. Melden Sie sich mit Ihrem Benutzernamen der MRZ Domäne, samt Windows Passwort an. Im dritten Authentifizierungsfeld verwenden Sie bitte Ihre PIN direkt gefolgt von der zufallsgenerierten Ziffernfolge, welche Ihr eToken oder MobilePASS+ App (Einmalpasswortgenerator) anzeigt.
   

   z.B. Ihre PIN lautet 0815, so lautet Ihre einzugebende PIN-Token-Kombination: 0815513618
   

   Hinweise:

   Bei der ersten Anmeldung, bei der Verwendung eines alternativen Browsers und bei der Anmeldung über einen privaten Rechner, erscheint folgende Meldung:
   
   

   Hier Klicken Sie auf „Receiver ermitteln" und wählen im nachfolgenden Fenster den Punkt „Bereits installiert" aus, insofern Sie den Citrix Receiver (Siehe 1.) bereits installiert haben. Andernfalls können Sie Ihn auch jetzt direkt über „Download"  und Bestätigung der Lizenzvereinbarungen installieren.
   
   

4. Anschließend sind Sie in der bekannten Citrix-Umgebung der UML angemeldet. Hierüber können Sie entweder eine vollwertige „Desktop"-Umgebung starten oder in den Reiter Apps wechseln und einzelne Applikationen, wie bspw. SAP, aufrufen.
   
   
   

5. (optional) Nutzen Sie einen anderen Browser als den Internet Explorer (bspw. Google Chrome) zum Aufrufen des Desktops oder einzelner Anwendungen, müssen Sie die dabei heruntergeladene *.ICA Datei manuell starten.
   
   
   
   

6. Möchten Sie auf Ihren Arbeitsplatzrechner von Zuhause aus zugreifen, starten Sie hierfür die vollwertige Desktopumgebung. Nach einer kurzen Anmeldezeit, befinden Sie sich auf einem Citrix Serverdesktop.
   
   

7. Gehen Sie nun auf „Start“ und suchen Sie im unteren Suchfeld nach „Remote…“. Wählen Sie in den Suchergebnissen den Punkt „Remotedesktopverbindung“ aus.
   
   

8. Im Remotedesktopverbindungs-Fenster tragen Sie bitte den Namen Ihres Arbeitsplatzrechners ein und drücken dann auf „Verbinden".
   
   

9. Nun müssen Sie noch einmal Ihre Daten für die Anmeldung an Ihrem Arbeitsplatzrechner angeben (Windows Nutzername und Passwort) und mit OK bestätigen.
   
   

10. Nach dem Verbindungsaufbau befinden Sie sich auf Ihrem MRZ-Rechner und können genauso Ihrer Arbeit nachgehen, wie Sie es auch im internen Netz machen würden.

    
     

Ist die Anmeldung am FrontEnd erfolgreich, wird die Authentifizierung per SSOn an den Webserver der Anwendung weitergereicht. Es ist somit keine separateAuthentifizierung an der Anwendung selbst erforderlich

Zugriff von extern über folgende URLs (wie gewohnt):

https://mbl-selfservice.medizin.uni-leipzig.de (MBAM)

https://project.medizin.uni-leipzig.de (MS Project)

https://intra.medizin.uni-leipzig.de (Intranet)

https://roxtra.medizin.uni-leipzig.de (Roxtra Portal)

Nach dem Aufruf erfolgt eine Weiterleitung zur entsprechenden Authentifizierungsseite. Dort müssen Nutzername und Passwort eingegeben werden.

Nach erfolgreicher Authentifizierung, wird man dann an die Zielseite durchgereicht. Beim ursprünglichen Aufruf angehangene URL-Pfade (bspw. https://roxtra.medizin.uni-leipzig.de/Roxtra/index.aspx) werden dabei mitgenommen und somit nach Authentifizierung direkt geöffnet.

 Anmeldeverhalten:

Wenn man sich erfolgreich authentifiziert, reicht die WAFL die Logindaten direkt am Anwendungsserver ein, sodass man sich nicht erneut authentifizieren muss – man wird direkt auf die angesprochene Webseite geleitet.

Hat man vergessen ein Feld auszufüllen (Nutzername oder Passwort), erscheint eine entsprechende Meldung:

Bei fehlerhafter Anmeldung (falsches Passwort oder Nutzername), erscheint eine entsprechende Meldung und man kann es erneut versuchen:

Wichtig: Da es sich um eine Authentifizierung am zentralen Active Directory handelt, wird auch hier nach 10x falscher Eingabe des Passwortes, das entsprechende Benutzerkonto vorübergehend gesperrt!

​Sollten Sie über einen vom UKL Bereich 1 ausgehändigten eToken verfügen, müssen Sie diesen am SAS selbst registrieren.

Dazu erhalten Sie vom System (sas@medizin.uni-leipzig.de) eine E-Mail Benachrichtigung, über welche die Registrierung durchgeführt werden kann:

Hinweis: Sollten Sie keine E-Mail vom System erhalten haben, aber dennoch über einen eToken verfügen, melden Sie sich bitte beim UKL IT-ServiceDesk. (Tel.:+49 341 97 116, Mail: it-servicedesk@medizin.uni-leipzig.de)

Auf der geöffneten Webseite, geben Sie bitte die Seriennummer Ihres eToken ein und folgen Sie den Anweisungen:

Im Nachgang wird Ihnen IHRE NEUE PIN angezeigt und Sie müssen mit dieser und dem erzeugten eToken Passcode ein OTP (One-Time-Password) eingeben:

z.B. PIN: 7646; Passcode: 315491 -> OTP 7646315491

Damit haben Sie Ihren bestehenden eToken am neuen System registriert.

Bitte denken Sie daran, Ihre neue PIN niemandem mitzuteilen und eine Niederschrift stets unter Verschluss zu halten!

Bei Verlust Ihres eToken wenden Sie sich bitte umgehend an den UKL IT-ServiceDesk!

Die bei der Registrierung vergebene PIN Ihres eToken lässt sich über ein Self-Service Portal ändern.

Dazu gehen Sie bitte zu: https://selfservice-sas.medizin.uni-leipzig.de

Sie haben folgende Auswahlmöglichkeiten:

• Mein Profil: Ansicht Ihrer bisherigen Einwahlen mit einem eToken
• PIN zurücksetzen: Änderung Ihrer eToken PIN
• Neusynchronisation Token: NUR auf UKL IT-ServiceDesk Anweisung!

Wenn Sie die Auswahl getroffen haben, erscheint eine Anmeldemaske:

2.1 Anmeldung mit eToken oder temporärem Passwort

Geben Sie bitte Ihren Nutzernamen ein und das aus Ihrer PIN und dem eToken Passcode zusammengesetzte OTP und wählen Sie OK. Sollten Sie über mehrere Token verfügen, wählen Sie bitte den Token für welchen die PIN geändert werden soll.

Geben Sie dann IHRE NEUE PIN ein und nutzen Sie diese für die zukünftige Einwahl in Verbindung mit dem ausgewählten Token.

Bitte geben Sie Ihren Nutzernamen ein, damit an die hinterlegte E-Mail-Adresse eine E-Mail verschickt werden kann.

Sie erhalten folgende E-Mail:

Nach Erhalt gehen Sie bitte zu https://selfservice-sas.medizin.uni-leipzig.de/, wählen Sie Anmelden und Anmeldung mit eToken oder temp. Passwort. Dann geben Sie Ihren Nutzernamen und das per E-Mail zugestellte temporäre Passwort (NICHT Ihre PIN und den Token Passcode) ein.

Im Nachgang folgen Sie den unter 2.1. beschriebenen Anweisungen zur Änderung Ihrer PIN.

Sie können als Alternative zu einem Hardware eToken zukünftig auch eine App zur Authentifizierung nutzen. Für Android und Apple Geräte ist dies MobilePASS+ und für alle anderen mobilen Geräte MobilePASS.

​

​

4.1 Bereitstellung

Sie erhalten dann ebenfalls die rechts zu sehende E-Mail, welche Sie bitte auf Ihrem mobilen Gerät öffnen.

 In der Mail befindet sich ein Link, über welchen Sie auf die Self-Service Webseite gelangen, die dann die dem Gerätetyp entsprechende App zum Download anbietet.

Weiterhin wird ein Link und ein Aktivierungsschlüssel angezeigt. Die entsprechende App schon vorher aus dem jeweiligen Appstore zu laden und installieren, verkürzt den Bereitstellungprozess, da jetzt über den Link direkt der Verteilungsprozess in der App gestartet wird.

Alternativ kann der Aktivierungsschlüssel kopiert und nach dem Start der App über „Auto enrollment" eingefügt werden. Auch damit wird dann der Verteilungsprozess gestartet.

Bei beiden Varianten wird eine Server PIN abgefragt.

Diese ist IHRE NEUE PIN und zukünftig in Verbindung mit dem per MobilePASS+-App generierten Passcode zu nutzen: PIN + Passcode = OTP (One-Time-Password).

Nach erfolgreicher Eingabe einer PIN wird über die erfolgreiche Verteilung in der App informiert, Ihr Nutzername nebst Token-ID angezeigt.

Nun können Sie über die Pfeiltaste einen Passcode generieren.

Ein Wechsel zwischen den Tokenvarianten ist problemlos möglich. Eröffnen Sie bitte per Mail ein Ticket beim Servicedesk des Bereich 1 (ITServiceDesk@medizin.uni-leipzig.de)

Bitte geben sie beim Wechsel von Hardware- auf Smartphone-Token den Hardware-etoken wieder im Bereich 1 ab.