Het rechtstreeks instellen van een toegangs- of verificatiecode via e-mail als alternatief voor 2FA is niet standaard mogelijk in Google Workspace, omdat Google deze methode als minder veilig beschouwt. 

Het is mogelijk toch een toegangs- of verificatiecode via e-mail in te stellen, 

zie verder onder 'Google Workspace toegang via mailcode'


Beheerders kunnen echter alternatieven configureren of third-party oplossingen gebruiken om toegangscodes via e-mail te implementeren.

Hieronder worden enkele mogelijke benaderingen toegelicht:

1. Aangepaste beleidsregels in Google Workspace

Google Workspace ondersteunt standaard geen verificatiecodes via e-mail, maar beheerders kunnen minder strikte beleidsregels toepassen, zoals:

  • 2FA Uitzonderingen inschakelen:

    • Ga naar de Google Admin Console > Beveiliging > Authenticatie.
    • Maak een uitzondering voor specifieke gebruikersgroepen of accounts die geen toegang hebben tot standaard 2FA-methoden.
    • Schakel bijvoorbeeld back-upcodes of herstelopties in (telefoon of e-mailherstel).

  • Herstelopties configureren:

    • Voeg een secundair e-mailadres toe voor noodgevallen. Hier kunnen waarschuwingen of herstel-e-mails worden verzonden.

2. Third-party IAM-oplossingen

Er zijn externe Identity and Access Management (IAM)-oplossingen die Google Workspace integreren en codes via e-mail kunnen sturen. Enkele populaire opties zijn:

  • Okta, OneLogin of JumpCloud:

    • Deze platforms ondersteunen e-mailverificatie als een alternatieve MFA-methode.
    • Configureren kan via Single Sign-On (SSO) voor Google Workspace.

  • Custom OAuth-scripts of add-ons:

    • Met een aangepaste OAuth-configuratie kunt u een script opzetten dat verificatiecodes per e-mail verstuurt wanneer een gebruiker probeert in te loggen.
    • Dit vereist ontwikkelwerk en API-toegang tot Google Workspace.

3. Toegangsbeheer aanpassen voor een specifieke groep

Beheerders kunnen een beleid maken voor een subset van gebruikers die e-mailcodes mogen ontvangen:

  1. Groep aanmaken in Google Admin Console:
    • Maak een gebruikersgroep (bijvoorbeeld "Geen toegang tot authenticator").
  2. Regels toepassen via API of derde partij:
    • Gebruik de Directory API of een externe dienst om bij een aanmeldpoging een code naar het e-mailadres van een gebruiker te sturen.

4. Veilige alternatieven overwegen

Hoewel e-mailcodes handig lijken, brengen ze aanzienlijke beveiligingsrisico's met zich mee (zoals phishing en onderschepping). Overweeg de volgende veiliger opties:

  • Google Authenticator of fysieke sleutels:
    • Voor situaties waar geen smartphone beschikbaar is, kunnen fysieke sleutels zoals YubiKey een alternatief zijn.
  • Back-upcodes vooraf delen:
    • Laat gebruikers een reeks back-upcodes genereren en veilig opslaan.

Conclusie

Om verificatiecodes via e-mail te implementeren, moet u waarschijnlijk een derde partij of een aangepaste oplossing gebruiken, omdat Google Workspace dit niet standaard ondersteunt. Wilt u begeleiding bij het instellen van een specifieke oplossing of de configuratie van een IAM-platform? Laat het weten!

Google Workspace toegang via mailcode

Het opzetten van een aangepast OAuth-script om verificatiecodes via e-mail te versturen als alternatief voor tweefactorauthenticatie (2FA) vereist technische configuratie en programmeerkennis. Hier is een stapsgewijze uitleg:

Hoe werkt een aangepast OAuth-script voor e-mailcodes?

Een aangepast OAuth-script integreert met Google Workspace via de Google OAuth 2.0 API. Het script genereert verificatiecodes en verzendt deze naar het geregistreerde e-mailadres van de gebruiker tijdens een inlogpoging.

Stappen om dit op te zetten

1. Vereisten

  • Google Workspace Admin Console-toegang: Om API's te configureren.
  • Programmeerkennis: Kennis van een programmeertaal zoals Python, Node.js of JavaScript.
  • SMTP-service: Voor het verzenden van e-mails (bijv. Gmail SMTP, SendGrid).
  • Google Cloud Platform (GCP): Voor API-referenties en het beheren van de OAuth-configuratie.

2. Configuratie in Google Cloud Platform

  1. Maak een project:

    • Ga naar Google Cloud Console.
    • Maak een nieuw project voor uw script.

  2. Schakel de benodigde API's in:

    • Ga naar API & Services > Library.
    • Schakel de Google Workspace Admin SDK en Gmail API in.

  3. Maak OAuth-referenties:

    • Ga naar API & Services > Credentials.
    • Klik op Create Credentials > OAuth 2.0 Client IDs.
    • Stel het type applicatie in (bijvoorbeeld "Web application").
    • Voeg omleidings-URI's toe als u een webinterface gebruikt.

  4. Download de OAuth-client-ID en het geheime bestand.

3. Schrijf het script

Hier is een voorbeeldscript in Python dat gebruikmaakt van de Gmail SMTP-server om verificatiecodes te verzenden.

4. Beveilig het script

  • Gebruik een app-wachtwoord in plaats van het gewone Gmail-wachtwoord.
  • Overweeg om de SMTP-service te vervangen door een professionele e-mailservice zoals SendGrid of Amazon SES voor betere schaalbaarheid en veiligheid.

5. Integratie met Google Workspace

  • Integreer het script met de inlogworkflow door Single Sign-On (SSO) of een aangepaste webinterface te implementeren.
  • Gebruik de Admin SDK API om Google Workspace-gebruikersgegevens dynamisch op te halen.

6. Hosting en uitvoering

  • Host het script op een server of cloudplatform (bijv. Google Cloud Functions of AWS Lambda).
  • Zorg ervoor dat de hostingomgeving veilig is en voldoet aan de nalevingsregels van uw organisatie.

7. Gebruikerservaring

  • Bij een inlogpoging ontvangt de gebruiker een verificatiecode via e-mail.
  • Het script verifieert de ingevoerde code met de gegenereerde code voordat toegang wordt verleend.

Beperkingen

  • Beveiliging: Het gebruik van e-mail voor 2FA is kwetsbaarder voor phishing en onderschepping.
  • Complexiteit: Vereist technische configuratie en onderhoud.
  • Naleving: Controleer of deze methode voldoet aan beveiligings- en privacyrichtlijnen binnen uw organisatie.