1. Home
  2. Deutsch
  3. Feature-Wünsche Web
  4. 2FA durch Gruppe erzwingen

2FA durch Gruppe erzwingen

  • J

    Hallo zusammen,

    zum Glück kann man 2-Faktor Authentifizierung ja direkt beim Nutzer erzwingen. Folgt man allerdings der Empfehlung die Rechte nicht anhand der Nutzer, sondern anhand von Stati, Gruppen, etc. administriert, fehlt leider die Option MFA dort (d.h. für Mitglieder dieser Gruppe) zu erzwingen.

    Grüße
    Jonathan

    11
  • Jakob
    ChurchToolsMitarbeiter

    Hallo @jonny,
    Du kannst zwar 2FA nicht direkt in einer Gruppe erzwingen, dafür kannst Du aber in der Personenansicht mit den erweiterten Filtern nach mehreren Gruppen filtern und für diese Personen via Batchjob (immer ganz unten auf der Seite) 2FA erzwingen. Das ist dann sogar noch schneller wie für jede Gruppe einzeln 🙂

    0 Andy 1 Reply
  • Andy
    admin

    @Jakob Stimmt. Allerdings kann es ja via Gruppe durchaus Sinn machen, da dann automatisch auch jedes neue Mitglied der Gruppe zu 2FA gezwungen wird.

    0 Jakob 1 Reply
  • Jakob
    ChurchToolsMitarbeiter

    @Andy Ok, berechtigter Einwand. Hatte die Frage bisschen anders Verstanden.

    0 Andy 1 Reply
  • Andy
    admin

    @Jakob Also wir haben z. B. eine Gruppe CT-Hauptbenutzer, die sehr weitgehende Berechtigungen hat. Für diesen Personenkreis ist uns 2FA sehr wichtig. Ebenso auch für die Mitarbeiter im Gemeindebüro, da auch umfangreiche Berechtigungen.

    Die Mitarbeiter können sich ändern ... und da dann jedes Mal manuell 2FA zu erzwingen ... das kann vergessen werden. Also besser direkt via Rechteverwaltung an die Gruppe hängen. Daher hat der FR meine volle Unterstützung. 😉

    0 Jakob 1 Reply
  • Jakob
    ChurchToolsMitarbeiter

    @Andy Yes, erkenne jetzt den Sinn dahinter 🙂

    2 Andy 1 Reply
  • Andy
    admin

    @Jakob Dann vote doch ... hihi. 😃 Scherz!

    0 Jakob 1 Reply
  • Jakob
    ChurchToolsMitarbeiter

    @Andy 😃 Wir voten zwar nicht, aber wir haben (fast) immer eine Meinung zu den FR 🙂

    0 Andy 1 Reply
  • Andy
    admin

    @Jakob Na, das will ich doch hoffen. Und dieser hier ist durchaus gut. 😉

    0
  • J

    Ja, ich geb zu ihr das konnte man in zwei Richtungen interpretieren, aber ihr seid zum Glück auch ohne mich in die richtige Richtung gekommen. 🤗

    Ja, mir ging es in der Tat um das Szenario, jemand wird neu Mitglied in einer Gruppe mit weitreichenden Berechtigungen. Dann sollte MFA IMHO automatisch anhand der Gruppe erzwingbar sein.

    0 MichaelG 1 Reply
  • MichaelG

    Oder alternativ anhand des Gruppenstatus.

    0 Andy 1 Reply
  • Andy
    admin

    @MichaelG Was meinst du mit Gruppenstatus? Den Gruppentyp?
    Ist für mich eigentlich selbstverständlich, dass es rollenabhängig als globales Recht an Status, Gruppentyp, Gruppe oder Benutzer gehängt werden kann.

    0 MichaelG 1 Reply
  • MichaelG

    @Andy ok. Ja. Es hat sich etwas so angehört als könnte ich eine Einstellung in der Gruppe setzen

    0 Andy 1 Reply
  • Andy
    admin

    @MichaelG Ach so, ok. Nee, denke schon, dass das über die Rechteverwaltung laufen sollte.

    1
  • jmrauen
    ChurchToolsMitarbeiter

    Eine andere Idee wäre nicht abhängig von der Gruppe, sondern abhängig von einem globalen Sicherheitslevel. Denn eigentlich sagt das Sicherheitslevel ja aus, wie wichtig die 2FA für die Person wäre. Man könnte also z.B. beim Sicherheitslevel 4 angeben, dass dann die 2FA erzwungen wird. Was haltet Ihr davon?

    0 Andy J 2 Replies
  • Aquila

    Dann kann man es aber auch direkt bei der jeweiligen Person vorschreiben. Oder kann man über eine Gruppe einer Person ein Sicherheitslevel zuteilen?

    0
  • jmrauen
    ChurchToolsMitarbeiter

    Man kann bei einem Status, und bei der Rolle in einer Gruppe und auch Gruppentyp festlegen, welchen Sicherheitslevel man global bekommt. So kann man z.B. Älteste automatisch Sicherheitslevel 4 geben.

    0_1541837626780_3554d468-d51a-4a53-8bbf-3584f5f34a57-image.png

    0
  • Aquila

    Dann wäre das für mich eine gute Lösung.

    0
  • T

    Das Sicherheitslevel bezieht sich aber nicht zwingendermaßen z.B. auf die Kommentare oder Berechtigungen innerhalb von CT.
    Ich kann (rein fiktiv) das Recht vergeben, die Rechteverwaltung zu nutzen aber das Sicherheitslevel auf Level eins belassen. Wie gesagt rein fiktiv um den Sachverhalt deutlich zu machen.
    Daher würde ich die Berechtigung auch eher auf Gruppen Ebene belassen.

    Mein generelles Problem mit dem "Erzwingen" der 2FA ist jedoch, dass es kein Fallback gibt. Sollte ein User sein Handy mit der 2FA App verlieren, hat er keinen Zugriff mehr auf das Konto. Normalerweise gibt es ja so eine Backup Liste mit Keys oder das Angebot den QR Code zu drucken. Denn auch dem Admin könnte sowas passieren.

    1
  • Andy
    admin

    @jmrauen sagte in 2FA durch Gruppe erzwingen:

    Eine andere Idee wäre nicht abhängig von der Gruppe, sondern abhängig von einem globalen Sicherheitslevel. Denn eigentlich sagt das Sicherheitslevel ja aus, wie wichtig die 2FA für die Person wäre. Man könnte also z.B. beim Sicherheitslevel 4 angeben, dass dann die 2FA erzwungen wird. Was haltet Ihr davon?

    Mir gefällt die andere Variante besser!

    @TheDeckie [...] dass es kein Fallback gibt.

    Japp, stimme ich dir voll zu. Aus dem Grund mache ich mir in solchen Fällen einen Screenshot des QR-Codes und lege den in einer verschlüsselten Datei ab.

    1
  • T

    @Andy genau so habe ich das auch gemacht. Für den normalen Nutzer ist das aber nicht intuitiv genug denke ich.

    1 Andy 1 Reply
  • Andy
    admin

    @TheDeckie Es gäbe ja zwei Varianten für das Fallback:

    • Backup-Codes
    • Selbst zu bestimmende Frage mit individueller Antwort
    0
  • T

    Ich mache hierzu mal einen neuen Feature Wunsch draus.

    --> 2-FA Fallback Wunsch

    1
  • J

    @jmrauen sagte in 2FA durch Gruppe erzwingen:

    Eine andere Idee wäre nicht abhängig von der Gruppe, sondern abhängig von einem globalen Sicherheitslevel. Denn eigentlich sagt das Sicherheitslevel ja aus, wie wichtig die 2FA für die Person wäre. Man könnte also z.B. beim Sicherheitslevel 4 angeben, dass dann die 2FA erzwungen wird. Was haltet Ihr davon?

    Also ich würde ein "Recht" an dieser Stelle bevorzugen. Dann kann ich dieses Recht in jeder beliebigen Kombination verwenden, wo es sinnvoll ist. Bei gewissen Sicherheitsleveln, ab einer gewissen Anzahl Personen die man sieht, wenn man gewisse Funktionen hat, etc.

    0
  • hbuerger
    ChurchToolsMitarbeiter

    Ich finde es gerade sehr verwirrend diesen Thread zu lesen, weil hier immer von "Recht" die Sprache ist. Aber bei der 2FA handelt es sich nicht um ein Recht. Es ist mehr eine "Personen Eigenschaft". Aus diesem Grund kann man auch (aktuell) nicht über eine Gruppe das ganze erzwingen. Ich kann ja auch nicht sagen, wer in Gruppe A ist, der ist absofort männlich. Daher geht es (gerade) technisch nicht.

    Allerdings finde ich die Idee, dass man diese Möglichkeit, 2FA zu erzwingen, über eine Gruppe steuern kann gar nicht so doof. Ich sehe das wie @TheDeckie dass man Rechte und Sicherheitslevel anders vergeben kann und daher eine Kopplung an das Sicherheitslevel nur bedingt Sinn macht.

    0
  • MichaelG

    Bei uns ist die gesamte Hierarchie durch Gruppen wiedergegeben.
    Sprich wir haben für jede Leitungsebene eine eigene Gruppenrolle.

    Zumindest für uns würde es Sinn ergeben, das ganze an die Rolle zu hängen. So könnten wir der Gemeindeleitung und den Departmentleitern zb 2FA „aufzwingen“, unabhängig der Gruppen.

    0
  • hbuerger
    ChurchToolsMitarbeiter

    Wer es noch nicht mitbekommen hat, mit der neuen Version 3.46.0 kann man 2FA für bestimmte Gruppenrollen erzwingen. Für mehr Infos einfach mal in unseren Blog rein schauen: https://blog.church.tools/blog/churchtools-version-3-46/

    2
Log in to reply