Multi-factor authenticatie instellen
MFA activeren voor uw team en service-accounts beveiligen met kortlevende tokens.
MFA beschermt uw account zelfs als uw wachtwoord gecompromitteerd is. Geschatte leestijd: 8 minuten.
Waarom MFA?
| Risico | Zonder MFA | Met MFA |
|---|---|---|
| Gelekt wachtwoord | Volledige toegang | Geblokkeerd |
| Phishing aanval | Account compromis | Geblokkeerd |
| Brute force | Mogelijk succes | Geblokkeerd |
| Gedeelde credentials | Onbeperkte toegang | Per-device geblokkeerd |
Stap 1: MFA inschakelen voor uw account
Ga naar accountinstellingen
Log in op platform.proxy.nl en navigeer naar Instellingen → Beveiliging.
Klik op “MFA inschakelen”
U ziet een QR-code die u kunt scannen met een TOTP-authenticator app.
Scan de QR-code
Open uw authenticator app en scan de QR-code:
| App | Platform |
|---|---|
| Google Authenticator | iOS, Android |
| Authy | iOS, Android, Desktop |
| 1Password | Alle platformen |
| Microsoft Authenticator | iOS, Android |
Voer de verificatiecode in
Voer de 6-cijferige code uit uw authenticator app in om MFA te activeren.
Bewaar uw herstelcodes
Sla uw herstelcodes op een veilige plek op. Deze codes zijn de enige manier om toegang te herstellen als u uw authenticator verliest.
U ontvangt 10 eenmalige herstelcodes. Bewaar deze op een veilige locatie (bijv. een password manager).
Stap 2: MFA verplichten voor uw team
Als teameigenaar kunt u MFA verplicht stellen voor alle teamleden:
Ga naar teaminstellingen
Navigeer naar Instellingen → Team → Beveiligingsbeleid.
Schakel verplichte MFA in
Zet de optie “MFA verplicht voor alle teamleden” aan.
Teamleden worden genotificeerd
Alle teamleden zonder MFA ontvangen een e-mail met instructies. Ze hebben 7 dagen om MFA te activeren voordat hun toegang wordt beperkt.
Stap 3: Service-accounts beveiligen
Voor API-toegang en CI/CD pipelines gebruikt u service-accounts met kortlevende tokens in plaats van persoonlijke credentials.
Service-account aanmaken
curl -X POST https://api.platform.proxy.nl/api/v1/service-accounts \
-H "Authorization: Bearer <uw-token>" \
-H "Content-Type: application/json" \
-d '{
"name": "ci-cd-pipeline",
"description": "GitLab CI/CD deployment",
"permissions": ["clusters:read", "clusters:deploy"]
}'Response:
{
"id": "sa-a1b2c3d4",
"name": "ci-cd-pipeline",
"client_id": "sa-a1b2c3d4",
"client_secret": "pxs_xxxxxxxxxxxxxxxxxxxx"
}Token ophalen met service-account
curl -X POST https://api.platform.proxy.nl/api/v1/auth/token \
-H "Content-Type: application/json" \
-d '{
"grant_type": "client_credentials",
"client_id": "sa-a1b2c3d4",
"client_secret": "pxs_xxxxxxxxxxxxxxxxxxxx"
}'Service-account tokens verlopen na 1 uur. Uw CI/CD pipeline moet bij elke run een nieuw token ophalen.
Best practices
| Practice | Beschrijving |
|---|---|
| MFA voor iedereen | Verplicht MFA voor alle teamleden |
| Herstelcodes bewaren | Sla op in password manager, niet op plaknotities |
| Service-accounts | Gebruik voor automatisering, nooit persoonlijke tokens |
| Korte token lifetime | Standaard 1 uur, niet verlengen |
| Regelmatige audit | Controleer maandelijks actieve service-accounts |
| Rollen beperken | Geef alleen de minimaal benodigde rechten |
Volgende stappen
- Firewall instellen — Netwerktoegang beheren
- Eerste cluster bestellen — Bestel uw eerste cluster