• Recent
    • Tags
    • Popular
    • Users
    • Groups
    • Search
    • Register
    • Login

    Solved 2FA durch Gruppe erzwingen

    Archiv
    8
    27
    2.4k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • MichaelGM
      MichaelG @Andy
      last edited by

      @Andy ok. Ja. Es hat sich etwas so angehört als könnte ich eine Einstellung in der Gruppe setzen

      Installation bei CT -> immer neueste Version

      AndyA 1 Reply Last reply Reply Quote 0
      • AndyA
        Andy admin @MichaelG
        last edited by

        @MichaelG Ach so, ok. Nee, denke schon, dass das über die Rechteverwaltung laufen sollte.

        1 Reply Last reply Reply Quote 1
        • jmrauenJ
          jmrauen ChurchToolsMitarbeiter
          last edited by

          Eine andere Idee wäre nicht abhängig von der Gruppe, sondern abhängig von einem globalen Sicherheitslevel. Denn eigentlich sagt das Sicherheitslevel ja aus, wie wichtig die 2FA für die Person wäre. Man könnte also z.B. beim Sicherheitslevel 4 angeben, dass dann die 2FA erzwungen wird. Was haltet Ihr davon?

          AndyA J 2 Replies Last reply Reply Quote 0
          • AquilaA
            Aquila
            last edited by

            Dann kann man es aber auch direkt bei der jeweiligen Person vorschreiben. Oder kann man über eine Gruppe einer Person ein Sicherheitslevel zuteilen?

            1 Reply Last reply Reply Quote 0
            • jmrauenJ
              jmrauen ChurchToolsMitarbeiter
              last edited by

              Man kann bei einem Status, und bei der Rolle in einer Gruppe und auch Gruppentyp festlegen, welchen Sicherheitslevel man global bekommt. So kann man z.B. Älteste automatisch Sicherheitslevel 4 geben.

              0_1541837626780_3554d468-d51a-4a53-8bbf-3584f5f34a57-image.png

              1 Reply Last reply Reply Quote 0
              • AquilaA
                Aquila
                last edited by

                Dann wäre das für mich eine gute Lösung.

                1 Reply Last reply Reply Quote 0
                • TheDeckieT
                  TheDeckie
                  last edited by

                  Das Sicherheitslevel bezieht sich aber nicht zwingendermaßen z.B. auf die Kommentare oder Berechtigungen innerhalb von CT.
                  Ich kann (rein fiktiv) das Recht vergeben, die Rechteverwaltung zu nutzen aber das Sicherheitslevel auf Level eins belassen. Wie gesagt rein fiktiv um den Sachverhalt deutlich zu machen.
                  Daher würde ich die Berechtigung auch eher auf Gruppen Ebene belassen.

                  Mein generelles Problem mit dem "Erzwingen" der 2FA ist jedoch, dass es kein Fallback gibt. Sollte ein User sein Handy mit der 2FA App verlieren, hat er keinen Zugriff mehr auf das Konto. Normalerweise gibt es ja so eine Backup Liste mit Keys oder das Angebot den QR Code zu drucken. Denn auch dem Admin könnte sowas passieren.

                  Gruß TheDeckie

                  1 Reply Last reply Reply Quote 1
                  • AndyA
                    Andy admin @jmrauen
                    last edited by

                    @jmrauen sagte in 2FA durch Gruppe erzwingen:

                    Eine andere Idee wäre nicht abhängig von der Gruppe, sondern abhängig von einem globalen Sicherheitslevel. Denn eigentlich sagt das Sicherheitslevel ja aus, wie wichtig die 2FA für die Person wäre. Man könnte also z.B. beim Sicherheitslevel 4 angeben, dass dann die 2FA erzwungen wird. Was haltet Ihr davon?

                    Mir gefällt die andere Variante besser!

                    @TheDeckie [...] dass es kein Fallback gibt.

                    Japp, stimme ich dir voll zu. Aus dem Grund mache ich mir in solchen Fällen einen Screenshot des QR-Codes und lege den in einer verschlüsselten Datei ab.

                    1 Reply Last reply Reply Quote 1
                    • TheDeckieT
                      TheDeckie
                      last edited by

                      @Andy genau so habe ich das auch gemacht. Für den normalen Nutzer ist das aber nicht intuitiv genug denke ich.

                      Gruß TheDeckie

                      AndyA 1 Reply Last reply Reply Quote 1
                      • AndyA
                        Andy admin @TheDeckie
                        last edited by

                        @TheDeckie Es gäbe ja zwei Varianten für das Fallback:

                        • Backup-Codes
                        • Selbst zu bestimmende Frage mit individueller Antwort
                        1 Reply Last reply Reply Quote 0
                        • TheDeckieT
                          TheDeckie
                          last edited by

                          Ich mache hierzu mal einen neuen Feature Wunsch draus.

                          --> 2-FA Fallback Wunsch

                          Gruß TheDeckie

                          1 Reply Last reply Reply Quote 1
                          • J
                            jonny @jmrauen
                            last edited by

                            @jmrauen sagte in 2FA durch Gruppe erzwingen:

                            Eine andere Idee wäre nicht abhängig von der Gruppe, sondern abhängig von einem globalen Sicherheitslevel. Denn eigentlich sagt das Sicherheitslevel ja aus, wie wichtig die 2FA für die Person wäre. Man könnte also z.B. beim Sicherheitslevel 4 angeben, dass dann die 2FA erzwungen wird. Was haltet Ihr davon?

                            Also ich würde ein "Recht" an dieser Stelle bevorzugen. Dann kann ich dieses Recht in jeder beliebigen Kombination verwenden, wo es sinnvoll ist. Bei gewissen Sicherheitsleveln, ab einer gewissen Anzahl Personen die man sieht, wenn man gewisse Funktionen hat, etc.

                            CT hosted

                            1 Reply Last reply Reply Quote 0
                            • hbuergerH
                              hbuerger ChurchToolsMitarbeiter
                              last edited by

                              Ich finde es gerade sehr verwirrend diesen Thread zu lesen, weil hier immer von "Recht" die Sprache ist. Aber bei der 2FA handelt es sich nicht um ein Recht. Es ist mehr eine "Personen Eigenschaft". Aus diesem Grund kann man auch (aktuell) nicht über eine Gruppe das ganze erzwingen. Ich kann ja auch nicht sagen, wer in Gruppe A ist, der ist absofort männlich. Daher geht es (gerade) technisch nicht.

                              Allerdings finde ich die Idee, dass man diese Möglichkeit, 2FA zu erzwingen, über eine Gruppe steuern kann gar nicht so doof. Ich sehe das wie @TheDeckie dass man Rechte und Sicherheitslevel anders vergeben kann und daher eine Kopplung an das Sicherheitslevel nur bedingt Sinn macht.

                              ChurchTools Mitarbeiter – Trainer – Supporter – Academy

                              1 Reply Last reply Reply Quote 0
                              • MichaelGM
                                MichaelG
                                last edited by

                                Bei uns ist die gesamte Hierarchie durch Gruppen wiedergegeben.
                                Sprich wir haben für jede Leitungsebene eine eigene Gruppenrolle.

                                Zumindest für uns würde es Sinn ergeben, das ganze an die Rolle zu hängen. So könnten wir der Gemeindeleitung und den Departmentleitern zb 2FA „aufzwingen“, unabhängig der Gruppen.

                                Installation bei CT -> immer neueste Version

                                1 Reply Last reply Reply Quote 0
                                • hbuergerH
                                  hbuerger ChurchToolsMitarbeiter
                                  last edited by

                                  Wer es noch nicht mitbekommen hat, mit der neuen Version 3.46.0 kann man 2FA für bestimmte Gruppenrollen erzwingen. Für mehr Infos einfach mal in unseren Blog rein schauen: https://blog.church.tools/blog/churchtools-version-3-46/

                                  ChurchTools Mitarbeiter – Trainer – Supporter – Academy

                                  1 Reply Last reply Reply Quote 2
                                  • First post
                                    Last post