Datenschutz; Datentresor "Mein Profil"
J
Jan Holländer
Unter "Mein Profil" sind im persönlichen Bereich sensible Daten einsehbar. Hier wurde von einigen Kolleginnen und Kollegen der Wunsch geäußert diesen Bereich mit einer zweiten Passwortabfrage sichern zu können.
Dies hat den Hintergrund, dass prjo für viele Belange der Mitarbeitenden geöffnet und zugänglich sein soll, ohne im Laufe des Tages eine erneute Anmeldung durchführen zu müssen. Hierbei sind die persönlichen Daten unter Umständen nicht vor Zugriff durch Dritte geschützt. Wird dieser Bereich zusätzlich gesichert (vielleicht hier dann perspektivisch sogar als 2FA) bestünde diese, wenn auch theoretische Möglichkeit nicht.
Es wäre zudem gut, wenn jede Nutzer:in wählen könnte, ob diese zusätzliche Sicherheitsstufe dauerhaft aktiviert werden soll. Aber das sind Detail, die dann ggf. Eurem spezifischen Konzept abhängen.
Grundsätzlich plädieren wir dafür das Thema Datenschutz und 2FA noch einmal vertiefend zu prüfen und vielleicht auch über Eure Roadmap zu informieren. Viele Grüße! Jan
Arne Semmler
Merged in a post:
Multi-Faktor-Authentifizierung (MFA)
E
Edler, Christoph
Hi,
ich denke gerade aufgrund der sehr sensiblen Daten, die in Projo gespeichert werden, sollte es möglich sein, seinen eigenen Benutzeraccount mit einer Multi-Faktor-Authentifizierung (MFA) abzusichern.
Arne Semmler
Merged in a post:
2-faktor Authentifizierung
l
le Coutre, Luca
Eine 2-Faktor Authentifizierung wäre aufgrund der sensiblen Daten wünschenswert. Die Kollegen greifen ggf. (ungewünscht) auch von privaten Geräten auf projo zu....
Danke!
E
Edler, Christoph
Hi Arne Semmler, perfekt! Das wäre selbstverständlich noch um längen besser... ich hatte mich bei dem Request zur AzureAD-Anbindung auch schon eingeschaltet... Ich glaube die AzureAD-Anbindung könnte nochmal einen echten Sprung bringen, weil ich dann z.B. auch leicht über eine Einbindung von Projo als "Web-App" in Teams nachdenken könnte ohne großen Aufwand.
Arne Semmler
Edler, Christoph: Coole Idee mit der Web-App. Auf diesen UseCase wäre ich gar nicht gekommen...
E
Edler, Christoph
Arne Semmler: naja, Projo ist mit der schlichten weboberfläche gerade zu prädestiniert in Teams zu laufen. Ich hatte es auch schon am laufen, aber seit der neuen Teams Version läuft es nicht mehr. Sonst könnte ich es euch gerne zeigen
E
Edler, Christoph
Ich korrigiere, hab’s auf ner alten Windows Version noch am laufen. Arbeitszeiten in Teams buchen… Knüller. Es fehlt halt nur der SSO
Arne Semmler
Edler, Christoph: Und das scheitert jetzt wegen der Auth? Oder hast du das noch nicht ergründen können, woran es hängt?
E
Edler, Christoph
Arne Semmler: Ja, seit dem neuen Teams bleibt er am Anmeldebildschirm hängen. Kann leider nicht beurteilen woran es scheitert. Unabhängig davon muss man sich aktuell natürlich regelmäßig in Projo anmelden. Mit AzureAD als Login müsste man sich halt nur einmal in Teams einloggen und alles läuft inkl Projo
Arne Semmler
Edler, Christoph: Verstanden. War ja auch der Grund, warum ich in der Technik bei uns eher dafür plädierte, die Auth-Schiene auszulagern, da für die meisten Kunden eh bequemer und sicherer. Hat auch nur einen Nachteil, nämlich, dass es für uns schwerer fallen wird, bestimmte Seiten (z.B. persönliche Daten) nochmals extra zu sichern. Aber das könnten AD-Admins ja auch anders regeln, z.B. indem über Richtlinien vorgegeben wird, dass Rechner sich sperren nach kurzer Inaktivität. Hier ginge es ja nur darum, dass jemand an einen entsperrten Rechner mit entsperrtem projo ginge und dann die Seite wechselt - z.B. zu den Gehaltsdaten des Kollegen...
E
Edler, Christoph
Arne Semmler: gute Punkt. Würde ich aber tatsächlich auch im Verantwortungsbereich des einzelnen Unternehmens bzw. Mitarbeiter sehen. Ich bin gespannt. Wäre cool, wenn wir die Integration vielleicht nächstes Jahr sehen
Arne Semmler
Hi Edler, Christoph! Wir hatten bisher angedacht, dieses Feature über die Anbindung an SSO-Authentifizierungsdienste wie AD zu realisieren. Die Entscheidung, ob ein Firmen-Account dann über 2FA gesichert ist oder nicht, läge dann beim Kunden über die entsprechende Konfiguration des Active Directory. Würde das Eure Anforderungen auch erfüllen?
R
Ruben Hauser
Laut Anforderungen des BSI muss der Rechner immer gesperrt werden, sobald jemand nicht am Platz ist > also eigentlich dürfte das kein Problem sein.
Unabhängig davon ist es ein ein super Funktion, sensible Informationen zusätzlich mit einer PW Abfrage zu sichern. Und absolutes +1 für MFA (oder viel besser SSO/SAML).