Zertifikatsbasierter Login mit einem Gerätezertifikat
Der zertifikatsbasierte Login ersetzt Benutzername und Passwort durch ein persönliches digitales Zertifikat. Statt Anmeldedaten einzugeben, prüft der Server das Zertifikat und gewährt Zugang.
Es gibt zwei Möglichkeiten, das Zertifikat zu hinterlegen:
| Methode | Wo das Zertifikat liegt | Physische Karte nötig? |
|---|---|---|
| Gerätezertifikat (dieser Artikel) | Auf dem Android-Gerät selbst | Nein |
| Smartcard | Auf einer DESFire-NFC-Karte | Ja |
Dieser Artikel behandelt die Gerätezertifikat-Variante.
So funktioniert es
- Ein persönliches Zertifikat wird auf dem Android-Gerät installiert (im System-Keystore)
- Der Anwender öffnet TheFlex und navigiert zur geschützten Webseite oder zum SAP-System
- Der Server fordert ein Client-Zertifikat an
- Android zeigt einen Dialog mit den verfügbaren Zertifikaten auf dem Gerät
- Der Anwender wählt sein Zertifikat aus – oder es wird automatisch ausgewählt, wenn nur eines vorhanden ist
- Der Anwender ist eingeloggt
![Zertifikatsauswahl-Dialog]
Wenn jedes Gerät von einer festen, einzelnen Person genutzt wird, kann das Zertifikat vorab installiert werden und der Dialog wird automatisch übersprungen. Der Login passiert dann vollständig ohne Benutzerinteraktion.
Voraussetzungen
- Der zertifikatsbasierte Login muss beim Identity Provider aktiviert sein (SAP, Azure AD o.ä.)
- Für jeden Anwender muss ein persönliches Zertifikat ausgestellt werden
- Das Zertifikat muss auf dem Android-Gerät installiert sein – typischerweise per MDM verteilt
Weitere Details zu Zertifikaten und zur Einrichtung in SAP oder Azure sind im Know-How-Bereich zu Zertifikaten zu finden.
TheFlex-Einstellung
Die Zertifikatsauswahl ist standardmäßig aktiviert unter Einstellungen → Sicherheit → Zertifikatsauswahl beim Login aktivieren.
Diese Einstellung greift nur, wenn die Smartcard-Option deaktiviert ist. Wenn Smartcards aktiv sind, liest TheFlex das Zertifikat stattdessen von der NFC-Karte.
Vergleich: Gerätezertifikat vs. Smartcard
| Gerätezertifikat | Smartcard | |
|---|---|---|
| Einrichtungsaufwand | Gering – MDM verteilt das Zertifikat | Hoch – NFC-Karten müssen beschrieben und verteilt werden |
| Portabilität | Zertifikat bleibt auf dem Gerät | Mitarbeiter hat seine Karte immer dabei |
| Geteilte Geräte | Weniger geeignet – ein Zertifikat pro Gerät | Ideal – Mitarbeiter bringt seine eigene Karte mit |
| Personengebundene Geräte | Geeignet | Geeignet |
| Sicherheit | Zertifikat durch Android-Keystore geschützt | Zertifikat verschlüsselt auf der NFC-Karte |