In unserer fünfteiligen Workshop-Reihe zeigen wir, wie Sie mit der Open Source Software privacyIDEA Zweifaktor-Authentifizierung umsetzen und damit auch VPN und Windows schützen, während Sie gleichzeitig herstellerunabhängig sind und Plugins nahtlos integrieren können.
privacyIDEA ist eine flexible Open-Source-Plattform für Multi-Faktor-Authentifizierung, die verschiedenste Token-Typen unterstützt, zentral verwaltet wird und sich nahtlos in bestehende IT-Systeme integrieren lässt.
In einer Welt, in der Cyberangriffe zunehmend gezielter und raffinierter werden, ist der Verzicht auf Multi-Faktor-Authentifizierung (MFA) grob fahrlässig. Doch viele proprietäre Lösungen sind teuer, unflexibel oder lassen sich schwer in vorhandene Infrastrukturen integrieren. Genau hier setzt privacyIDEA an: eine Open-Source-MFA-Lösung, die Wahlfreiheit bietet und das für Unternehmen jeder Größe. Mittlerweile ist die Lösung von Netknights jedoch mehr als nur eine einfache MFA.
privacyIDEA ist eine modulare und hochflexible Open-Source-Software zur Multi-Faktor-Authentifizierung, die auf offenen Standards basiert. Ursprünglich wurde privacyIDEA im Jahr 2014 von der deutschen Firma Netknights mit Sitz in Kassel entwickelt, um eine quelloffene, auditierbare Alternative zu klassischen Zwei-Faktor-Systemen zu schaffen. Heute unterstützt privacyIDEA verschiedenste Token-Typen wie OTP, FIDO2, Smartcards oder Push-Token und bietet Funktionen wie Single Sign-on mittels SAML, Self-Service-Portale, mandantenfähige Administration, delegierte Rollenvergabe und eine mächtige Policy-Engine, sowie mit Hilfe eines Credential Providers auch die Anmeldung mit zweitem Faktor an Windows-Desktops und Windows-Servern.
Unsere Artikelserie auf Security-Insider beleuchtet verschiedene Aspekte von privacyIDEA im Detail. In diesem Artikel geben wir einen groben Überblick über die wichtigsten Funktionen.
privacyIDEA ist in erster Linie eine MFA-Plattform. Der erste Teil unserer Reihe erklärt das Grundprinzip hinter privacyIDEA und zeigt, warum Open Source gerade im Bereich Authentifizierung ein strategischer Vorteil ist. Er richtet sich an Entscheider, CISOs und Admins, die nach einer skalierbaren Alternative zu proprietären Lösungen suchen.
Die größten Vorteile von privacyIDEA als MFA sind:
Die zentrale Verwaltung aller zweiten Faktoren (TOTP, FIDO2, SMS, Hardware-Token), sodass Unternehmen nicht mehr jedem Login-Szenario eigene Token zuordnen müssen – die Authentifizierung erfolgt konsolidiert über privacyIDEA
Die flexible Anbindung von verschiedenen Applikationen über REST API, RADIUS, PAM oder SAML/SimpleSAMLphp (VPN, SSH, Web-UIs), ohne dass jede Anwendung individuell MFA implementieren muss
Das Token‑enrollment und Rollout im Self-Service-Portal – Admins oder Nutzer können neue Token zuweisen, sperren oder löschen, ohne großen Verwaltungsaufwand
privacyIDEA ist nicht an einen Token-Hersteller gebunden, und die Open‑Source‑Lizenz sichert die Unabhängigkeit gegenüber Anbieterkäufen oder Produktänderungen
Im zweiten Workshop-Teil gehen wir darauf ein, wie sich privacyIDEA zusammen mit FreeRADIUS als zentrale MFA-Lösung für VPN-Zugänge einsetzen lässt. Das ist besonders relevant für Organisationen mit vielen Remote-Arbeitsplätzen. Die Integration in bestehende Systeme wie Netscaler, OpenVPN, pam_radius oder Netzwerkswitche wird konkret gezeigt, inklusive Token-Handling.
Anwendungsfall: Integration einer Citrix NetScaler-VPN-Instanz via RADIUS, um VPN-Zugänge durch Mehr-Faktor-Authentifizierung zusätzlich zur Passwortprüfung abzusichern
Technische Umsetzung: Installation des Meta-Pakets „privacyidea-radius“, das sowohl FreeRADIUS als auch das dazugehörige privacyIDEA‑Plugin umfasst. Basis-Konfiguration ist bereits einsatzbereit, Anpassungen sind über „/etc/privacyidea/rlm_perl.ini“ möglich.
Token-Testing: Über das Tool „radclient“ lässt sich die MFA-Praxis unmittelbar testen – bestehend aus Active-Directory-Passwort plus TOTP-Code (Time-based One-Time Password Token).
Flexibilität und Skalierbarkeit: RADIUS erlaubt nicht nur VPN-Integration, sondern auch die Anbindung weiterer Anwendungen an die zentral gesteuerte MFA-Plattform.
Im Detail lesen Sie im Artikel „VPN an privacyIDEA anbinden“, wie privacyIDEA mit minimalem Aufwand in bestehende VPN-Infrastrukturen integriert werden kann und so eine skalierbare und herstellerunabhängige MFA-Plattform bereitstellt.
Wie Sie mit privacyIDEA-Policies das Verhalten bei Authentifizierung und Token-Verwaltung zielgerichtet steuern können, beschreiben wir im dritten Teil unserer Reihe. Dabei gehen wir auf die wichtigsten Geltungsbereiche ein:
admin / user: Regeln für Administratoren und normale Nutzer – etwa Zuweisung verschiedener Administrationsrollen wie „Helpdesk“ oder „Operator“ im Selbstverwaltungstool
auth / authz: Steuerung des Login-Verhaltens – zum Beispiel Zulassung von Token-Ausgabe oder Zugriff je nach Nutzerrolle oder Umgebung
Weitere relevante Scopes: webui, enrollment, register – etwa zur Einschränkung der UI-Funktionen oder zur Verwaltung von Token-Anmeldungen und Registrierungsprozessen
Bedingte Steuerungen können zwar teils recht komplex sein, doch so können Policies abhängig von Benutzer-, Realm- oder Resolverzugehörigkeit, IP-Adresse (Client), time schedules, privacyIDEA-Node oder Priorität sein. Lesen Sie deshalb im Artikel „privacyIDEA mit Policies präzise steuern“, wie Sie über Policies maßgeschneiderten Zugriff, Kontrolle und Automatisierung ermöglichen – von Helpdesk-Rollen bis zur restriktiven Authentifizierung.
Open Source Identity Provider Keycloak und privacyIDEA
Die gleichnamige Lösung Keycloak, des Open Source Identity Providers, ist eine Ergänzung zu privacyIDEA, mit der sich bestehende SSO-Umgebung (Single Sign-On) um zuverlässige Multi-Faktor-Authentifizierung erweitern lassen. Und es gibt gute Gründe für diese Integration: Obwohl Keycloak bereits MFA unterstützt, bietet privacyIDEA zentral verwaltete Token, wie zum Beispiel TOTP oder FIDO2, und entkoppelt damit die Authentifizierung vom Identity Provider. Das bedeutet, dass die Nutzer sich wie gewohnt mit Benutzernamen und Passwort anmelden. Der zweite Faktor wird direkt über privacyIDEA validiert und das ohne zusätzliche Registrierung oder Setup-Schritte. Dies bietet Unternehmen mehr Skalierbarkeit und Flexibilität. Neben Keycloak stehen auch andere Plugins zur Verfügung, zum Beispiel Microsoft ADFS, Shibboleth, Gluu und SimpleSAMLphp. Damit lässt sich privacyIDEA als zentrale MFA-Plattform über unterschiedlichste Authentifizierungsumgebungen hinweg integrieren.
Im großen Finale der Workshop-Reihe zu privacyIDEA erfahren Sie, wie privacyIDEA Credential Provider die Windows-Anmeldung für Desktop und Server sicher mit Multi-Faktor-Authentifizierung schützt. Dabei gehen wir sowohl auf Bereitstellung und Installation ein, wie auch auf Konfiguration und Bedienbarkeit.
Großer Pluspunkt ist hierbei, dass der Anmeldeprozess intuitiv bleibt. Zunächst geben Sie Nutzername und Passwort ein, dann erfolgt die Token-Auswahl, etwa Security-Key, YubiKey oder TOTP-App. Bei erfolgreicher Authentifizierung erhält der User Zugang. Und das ist auch offline möglich. Über Registry-Einträge oder administrative Templates lässt sich die Konfiguration domainweit verteilen. Das ermöglicht konsistente Sicherheitseinstellungen, die zentral steuerbar und revisionsfähig sind. Die Anmeldung am Windows-Desktop mit privacyIDEA eignet sich für alle, die die Multifaktor-Authentifizierung konsistent durchsetzen und gleichzeitig den Betriebsaufwand gering halten wollen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die fünfteilige Workshop-Reihe zeigt, wie sich privacyIDEA als zentrale, modulare und herstellerunabhängige Multifaktor-Authentifizierungslösung in unterschiedlichste IT-Infrastrukturen integrieren lässt. Besonders ist der konsequent offene, interoperable Ansatz des Herstellers Netknights. Hervorzuheben ist zudem die große Auswahl an Token-Typen für die Authentifizierung mit privacyIDEA . Außerdem lässt sich die MFA-Lösung durch Plugins und REST-APIs flexibel in bestehende Systeme einfügen, begleitet von vielen Self-Service- und Sicherheitsfunktionen. Somit ist privacyIDEA eine geeignete Authentifzierungslösung, die skalierbar ist für mittelständische Unternehmen wie auch Konzerne, die gleichzeitig digitale Souveränität und Transparenz bietet.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/02/7c/027c2cba6f33a9210fa0d40e499a7f54/0106077933.jpeg "Eine moderne, passwortlose Multi-Faktor-Authentifizierung (MFA) nach dem FIDO-Standard bietet höhere Sicherheit und mehr Komfort. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/36/a036cf1a7c0601b11161685ee24f66be/0120991029v2.jpeg "NetKnights hat die jüngste Version der quelloffenen Authentifizierungslösung privacyIDEA veröffentlicht. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/16/b91611845997e165d73cad4f1681f1b9/0122151633v2.jpeg "Mit der Open-Source-MFA-Lösung privacyIDEA können Unternehmen die zweiten Faktoren ihrer Benutzer zentral und on Premises verwalten. (Bild: THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/df/73df826f5c7ebd9a42f8aa5878226a68/0122607783v2.jpeg "Sichern Sie Ihr VPN-System mithilfe von privacyIDEA, RADIUS-Integration und TOTP-Token zuverlässig vor unbefugten Zugriffen ab. Wie das geht zeigen wir am Beispiel einer Citrix NetScaler Anbindung. (Bild: Have a nice day - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/7c/747cfe61ab2064adc187bffabb385c39/0123711458v5.jpeg "Policies sind eine zentrale Komponente von privacyIDEA. Mit den Richtlinien lässt sich granular jeder Aspekt des Verhaltens des Systems regeln. (Bild: Have a nice day - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/36/78/36786378d8657362343565fcf41e122c/0124352982v2.jpeg "Mit der Open-Source-MFA-Lösung privacyIDEA lassen sich FIDO2-Token zentral verwalten und an unterschiedlichen Applikationen zur Anmeldung nutzen. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/15/0b15285501c89a5d31b718012991dc6d/0125882101v2.jpeg "Schluss mit unsicheren Windows-Logins: Mit dem privacyIDEA Credential Provider lässt sich die Anmeldung an Windows-Clients und -Servern einfach mit Zwei-Faktor-Authentifizierung (z. B. FIDO2, TOTP) absichern – auch offline. (Bild: © THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/4a/694a356edcf1db25e71e1adc7057dfac/0113378979.jpeg "Vor der Einführung einer Multi-Faktor-Authentifizierung sollten Unternehmen die verfügbaren MFA-Methoden evaluieren, um diejenige auszuwählen, die am besten zu den Sicherheitsanforderungen und dem Budget des Unternehmens passt. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/36/78/36786378d8657362343565fcf41e122c/0124352982v2.jpeg "Mit der Open-Source-MFA-Lösung privacyIDEA lassen sich FIDO2-Token zentral verwalten und an unterschiedlichen Applikationen zur Anmeldung nutzen. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/15/0b15285501c89a5d31b718012991dc6d/0125882101v2.jpeg "Schluss mit unsicheren Windows-Logins: Mit dem privacyIDEA Credential Provider lässt sich die Anmeldung an Windows-Clients und -Servern einfach mit Zwei-Faktor-Authentifizierung (z. B. FIDO2, TOTP) absichern – auch offline. (Bild: © THAWEERAT - stock.adobe.com)")