• Recent
    • Tags
    • Popular
    • Users
    • Groups
    • Search
    • Register
    • Login

    Solved 2FA durch Gruppe erzwingen

    Archiv
    8
    27
    2.4k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jonny
      last edited by jziegeler

      Hallo zusammen,

      zum Glück kann man 2-Faktor Authentifizierung ja direkt beim Nutzer erzwingen. Folgt man allerdings der Empfehlung die Rechte nicht anhand der Nutzer, sondern anhand von Stati, Gruppen, etc. administriert, fehlt leider die Option MFA dort (d.h. für Mitglieder dieser Gruppe) zu erzwingen.

      Grüße
      Jonathan

      CT hosted

      1 Reply Last reply Reply Quote 11
      • J
        Jakob
        last edited by

        Hallo @jonny,
        Du kannst zwar 2FA nicht direkt in einer Gruppe erzwingen, dafür kannst Du aber in der Personenansicht mit den erweiterten Filtern nach mehreren Gruppen filtern und für diese Personen via Batchjob (immer ganz unten auf der Seite) 2FA erzwingen. Das ist dann sogar noch schneller wie für jede Gruppe einzeln 🙂

        AndyA 1 Reply Last reply Reply Quote 0
        • AndyA
          Andy admin @Jakob
          last edited by

          @Jakob Stimmt. Allerdings kann es ja via Gruppe durchaus Sinn machen, da dann automatisch auch jedes neue Mitglied der Gruppe zu 2FA gezwungen wird.

          J 1 Reply Last reply Reply Quote 0
          • J
            Jakob @Andy
            last edited by

            @Andy Ok, berechtigter Einwand. Hatte die Frage bisschen anders Verstanden.

            AndyA 1 Reply Last reply Reply Quote 0
            • AndyA
              Andy admin @Jakob
              last edited by Andy

              @Jakob Also wir haben z. B. eine Gruppe CT-Hauptbenutzer, die sehr weitgehende Berechtigungen hat. Für diesen Personenkreis ist uns 2FA sehr wichtig. Ebenso auch für die Mitarbeiter im Gemeindebüro, da auch umfangreiche Berechtigungen.

              Die Mitarbeiter können sich ändern ... und da dann jedes Mal manuell 2FA zu erzwingen ... das kann vergessen werden. Also besser direkt via Rechteverwaltung an die Gruppe hängen. Daher hat der FR meine volle Unterstützung. 😉

              J 1 Reply Last reply Reply Quote 0
              • J
                Jakob @Andy
                last edited by

                @Andy Yes, erkenne jetzt den Sinn dahinter 🙂

                AndyA 1 Reply Last reply Reply Quote 2
                • AndyA
                  Andy admin @Jakob
                  last edited by Andy

                  @Jakob Dann vote doch ... hihi. 😃 Scherz!

                  J 1 Reply Last reply Reply Quote 0
                  • J
                    Jakob @Andy
                    last edited by

                    @Andy 😃 Wir voten zwar nicht, aber wir haben (fast) immer eine Meinung zu den FR 🙂

                    AndyA 1 Reply Last reply Reply Quote 0
                    • AndyA
                      Andy admin @Jakob
                      last edited by

                      @Jakob Na, das will ich doch hoffen. Und dieser hier ist durchaus gut. 😉

                      1 Reply Last reply Reply Quote 0
                      • J
                        jonny
                        last edited by

                        Ja, ich geb zu ihr das konnte man in zwei Richtungen interpretieren, aber ihr seid zum Glück auch ohne mich in die richtige Richtung gekommen. 🤗

                        Ja, mir ging es in der Tat um das Szenario, jemand wird neu Mitglied in einer Gruppe mit weitreichenden Berechtigungen. Dann sollte MFA IMHO automatisch anhand der Gruppe erzwingbar sein.

                        CT hosted

                        MichaelGM 1 Reply Last reply Reply Quote 0
                        • MichaelGM
                          MichaelG @jonny
                          last edited by

                          Oder alternativ anhand des Gruppenstatus.

                          Installation bei CT -> immer neueste Version

                          AndyA 1 Reply Last reply Reply Quote 0
                          • AndyA
                            Andy admin @MichaelG
                            last edited by

                            @MichaelG Was meinst du mit Gruppenstatus? Den Gruppentyp?
                            Ist für mich eigentlich selbstverständlich, dass es rollenabhängig als globales Recht an Status, Gruppentyp, Gruppe oder Benutzer gehängt werden kann.

                            MichaelGM 1 Reply Last reply Reply Quote 0
                            • MichaelGM
                              MichaelG @Andy
                              last edited by

                              @Andy ok. Ja. Es hat sich etwas so angehört als könnte ich eine Einstellung in der Gruppe setzen

                              Installation bei CT -> immer neueste Version

                              AndyA 1 Reply Last reply Reply Quote 0
                              • AndyA
                                Andy admin @MichaelG
                                last edited by

                                @MichaelG Ach so, ok. Nee, denke schon, dass das über die Rechteverwaltung laufen sollte.

                                1 Reply Last reply Reply Quote 1
                                • jmrauenJ
                                  jmrauen ChurchToolsMitarbeiter
                                  last edited by

                                  Eine andere Idee wäre nicht abhängig von der Gruppe, sondern abhängig von einem globalen Sicherheitslevel. Denn eigentlich sagt das Sicherheitslevel ja aus, wie wichtig die 2FA für die Person wäre. Man könnte also z.B. beim Sicherheitslevel 4 angeben, dass dann die 2FA erzwungen wird. Was haltet Ihr davon?

                                  AndyA J 2 Replies Last reply Reply Quote 0
                                  • AquilaA
                                    Aquila
                                    last edited by

                                    Dann kann man es aber auch direkt bei der jeweiligen Person vorschreiben. Oder kann man über eine Gruppe einer Person ein Sicherheitslevel zuteilen?

                                    1 Reply Last reply Reply Quote 0
                                    • jmrauenJ
                                      jmrauen ChurchToolsMitarbeiter
                                      last edited by

                                      Man kann bei einem Status, und bei der Rolle in einer Gruppe und auch Gruppentyp festlegen, welchen Sicherheitslevel man global bekommt. So kann man z.B. Älteste automatisch Sicherheitslevel 4 geben.

                                      0_1541837626780_3554d468-d51a-4a53-8bbf-3584f5f34a57-image.png

                                      1 Reply Last reply Reply Quote 0
                                      • AquilaA
                                        Aquila
                                        last edited by

                                        Dann wäre das für mich eine gute Lösung.

                                        1 Reply Last reply Reply Quote 0
                                        • TheDeckieT
                                          TheDeckie
                                          last edited by

                                          Das Sicherheitslevel bezieht sich aber nicht zwingendermaßen z.B. auf die Kommentare oder Berechtigungen innerhalb von CT.
                                          Ich kann (rein fiktiv) das Recht vergeben, die Rechteverwaltung zu nutzen aber das Sicherheitslevel auf Level eins belassen. Wie gesagt rein fiktiv um den Sachverhalt deutlich zu machen.
                                          Daher würde ich die Berechtigung auch eher auf Gruppen Ebene belassen.

                                          Mein generelles Problem mit dem "Erzwingen" der 2FA ist jedoch, dass es kein Fallback gibt. Sollte ein User sein Handy mit der 2FA App verlieren, hat er keinen Zugriff mehr auf das Konto. Normalerweise gibt es ja so eine Backup Liste mit Keys oder das Angebot den QR Code zu drucken. Denn auch dem Admin könnte sowas passieren.

                                          Gruß TheDeckie

                                          1 Reply Last reply Reply Quote 1
                                          • AndyA
                                            Andy admin @jmrauen
                                            last edited by

                                            @jmrauen sagte in 2FA durch Gruppe erzwingen:

                                            Eine andere Idee wäre nicht abhängig von der Gruppe, sondern abhängig von einem globalen Sicherheitslevel. Denn eigentlich sagt das Sicherheitslevel ja aus, wie wichtig die 2FA für die Person wäre. Man könnte also z.B. beim Sicherheitslevel 4 angeben, dass dann die 2FA erzwungen wird. Was haltet Ihr davon?

                                            Mir gefällt die andere Variante besser!

                                            @TheDeckie [...] dass es kein Fallback gibt.

                                            Japp, stimme ich dir voll zu. Aus dem Grund mache ich mir in solchen Fällen einen Screenshot des QR-Codes und lege den in einer verschlüsselten Datei ab.

                                            1 Reply Last reply Reply Quote 1
                                            • First post
                                              Last post