Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
admin:benutzerverwaltung [31.10.2017 10:07]
Renzo Lauper [Berechtigungen für das Termine-Modul]
admin:benutzerverwaltung [02.03.2024 17:15] (aktuell)
Renzo Lauper [Berechtigungen für das Leute-Modul]
Zeile 12: Zeile 12:
  
 ==== Berechtigungen für das Leute-Modul ==== ==== Berechtigungen für das Leute-Modul ====
 +=== ALLE-Recht ===
 Mit dem ALLE-Recht definieren Sie, welche Berechtigung dieses Login für **alle** Adresse hat. Wenn Sie aber z.B. nur Zugriff auf einen Teil der Adressen geben möchten, müssen Sie das ALLE-Recht zuerst mal auf 0 setzen, denn auch hier gilt, dass Sie das ALLE-Recht nicht reduzieren sondern nur erhöhen können. Mit dem ALLE-Recht definieren Sie, welche Berechtigung dieses Login für **alle** Adresse hat. Wenn Sie aber z.B. nur Zugriff auf einen Teil der Adressen geben möchten, müssen Sie das ALLE-Recht zuerst mal auf 0 setzen, denn auch hier gilt, dass Sie das ALLE-Recht nicht reduzieren sondern nur erhöhen können.
  
 +=== Zugriff auf Adressen beschränken ===
 In den drei Auswahllisten "Stufe 1-3" können Sie je eine bestimmte Liste von Adressen auswählen, auf die dieses Login die Berechtigungsstufe 1 (Lesen), resp. 2 für Bearbeiten oder 3 für Löschen haben soll. Zur Auswahl stehen Ihnen dabei Ihre eigenen Filtervorlagen,​ die Kleingruppen und die Gruppen. D.h. den einfachen Fall, dass dieses Login auf alle Personen aus einer bestimmten Gruppe Zugriff haben soll, wählen Sie hier einfach diese Gruppe aus. Diese Berechtigung gilt dann rekursiv für alle Untergruppen. Für komplexere Listen müssen Sie vorgängig im Leute-Modul eine Filtervorlage erstellen und diese hier zuweisen. Diese Filtervorlage können Sie anschliessend wieder löschen, auf dem Login wird eine Kopie davon gespeichert. Das bedeutet auch, dass Sie bei einer späteren Änderung der Filtervorlage diese dem Login neu zuweisen müssen. In den drei Auswahllisten "Stufe 1-3" können Sie je eine bestimmte Liste von Adressen auswählen, auf die dieses Login die Berechtigungsstufe 1 (Lesen), resp. 2 für Bearbeiten oder 3 für Löschen haben soll. Zur Auswahl stehen Ihnen dabei Ihre eigenen Filtervorlagen,​ die Kleingruppen und die Gruppen. D.h. den einfachen Fall, dass dieses Login auf alle Personen aus einer bestimmten Gruppe Zugriff haben soll, wählen Sie hier einfach diese Gruppe aus. Diese Berechtigung gilt dann rekursiv für alle Untergruppen. Für komplexere Listen müssen Sie vorgängig im Leute-Modul eine Filtervorlage erstellen und diese hier zuweisen. Diese Filtervorlage können Sie anschliessend wieder löschen, auf dem Login wird eine Kopie davon gespeichert. Das bedeutet auch, dass Sie bei einer späteren Änderung der Filtervorlage diese dem Login neu zuweisen müssen.
  
-Für die Adressen, auf die dieses Login Zugriff hat, können Sie nun noch die sicht- resp. bearbeitbaren Spalten einschränken. Dazu stehen Ihnen die Auswahllisten "​Betrachten/​Bearbeiten-Rechte auf diese Spaltenvorlage begrenzen"​. ​Dazu erstellen ​Sie vorgängig im Leute-Modul eine Spaltenvorlage,​ die alle Spalten enthält, die dieses Login sehen resp. bearbeiten können soll. Auf dem Login können Sie nun diese Spaltenvorlagen bei der Stufe 1 oder 2 zuweisen. Es ist auch möglich, auf gewisse Spalte Lesezugriff zu gewähren, aber nur auf einen Teil davon Schreibrechte. Dazu weisen Sie zwei unterschiedliche Spaltenvorlagen für die Stufen 1 und 2 zu.+=== Zugriff auf Spalten einschränken === 
 +Für die Adressen, auf die dieses Login Zugriff hat, können Sie nun noch die sicht- resp. bearbeitbaren Spalten einschränken. Dazu stehen Ihnen die Auswahllisten "​Betrachten/​Bearbeiten-Rechte auf diese Spaltenvorlage begrenzen" ​zur VerfügungErstellen ​Sie vorgängig im Leute-Modul eine Spaltenvorlage,​ die alle Spalten enthält, die dieses Login sehen resp. bearbeiten können soll. Auf dem Login können Sie nun diese Spaltenvorlagen bei der Stufe 1 oder 2 zuweisen. Es ist auch möglich, auf gewisse Spalte Lesezugriff zu gewähren, aber nur auf einen Teil davon Schreibrechte. Dazu weisen Sie zwei unterschiedliche Spaltenvorlagen für die Stufen 1 und 2 zu.
  
 +=== Ausschluss-Spalten ===
 +Falls Sie den Zugriff auf einzelne Spalten ausschliessen wollen, kann es einfacher sein mit Ausschluss-Spalten zu arbeiten als mit den oben erwähnten Spaltenvorlagen. Jede einzelne Spalte (Vorname, E-Mail, Geburtsdatum,​ etc.) kann als Ausschlussspalte definiert werden. Dabei gibt es die Möglichkeit,​ diese Ausschlussspalten beliebig zu gruppieren. Z.B. können Sie alle Kommunikationsfelder (Telefon, Natel, E-Mail) in einer Ausschlussgruppe "​Kommunikation"​ zusammenfassen,​ oder eine Ausschlussgruppe "​Status"​ mit Konfession, Geburtsdatum,​ etc. definieren.\\
 +Zu Beginn hat kein Login Zugriff auf diese Ausschlussspalten. Sie müssen diese bei jedem Login (oder über die Benutzergruppen) explizit freischalten. Dabei können Sie separat Lese- oder Schreibrechte pro Ausschlussgruppe vergeben.\\
 +Melden Sie sich bei LAUPER COMPUTING, damit wir Ihnen die gewünschten Ausschlussspalten definieren - das lässt sich aktuell nicht direkt in kOOL machen.
 +
 +=== Neue Adressen von reduzierten Logins ===
 Wenn ein Login nur auf die Adressen aus einer Gruppe Zugriff hat, kann es passieren, dass dieses Login eine neue Adresse anlegt und diese anschliessend gar nicht mehr sieht. Denn wenn sie vergisst, diese Person der eigenen Gruppe zuzuweisen, hat dieses Login anschliessen keinen Zugriff auf diese Adresse. Mit der Option "​Personen,​ die dieser User bearbeitet oder hinzufügt, sollen dieser Gruppe zugewiesen werden"​ kann dies verhindert werden. Dazu wählen Sie hier eine Gruppe aus, auf die dieses Login Zugriff hat. Nun wird beim Speichern einer Adresse sichergestellt,​ dass die Adresse mindestens zu dieser Gruppe gehört.\\ Wenn ein Login nur auf die Adressen aus einer Gruppe Zugriff hat, kann es passieren, dass dieses Login eine neue Adresse anlegt und diese anschliessend gar nicht mehr sieht. Denn wenn sie vergisst, diese Person der eigenen Gruppe zuzuweisen, hat dieses Login anschliessen keinen Zugriff auf diese Adresse. Mit der Option "​Personen,​ die dieser User bearbeitet oder hinzufügt, sollen dieser Gruppe zugewiesen werden"​ kann dies verhindert werden. Dazu wählen Sie hier eine Gruppe aus, auf die dieses Login Zugriff hat. Nun wird beim Speichern einer Adresse sichergestellt,​ dass die Adresse mindestens zu dieser Gruppe gehört.\\
 Wenn ein Login nur auf gewisse Adressen Zugriff hat, kann ein weiteres Problem sein, dass dieses Login eine Adresse neu anlegt, die es in kOOL eigentlich schon gibt, auf die er aber keinen Zugriff hat. Mit der Option "Suche in allen Adressen erlauben zur Übertragung in eigene Gruppe"​ und einer in oben erwähnter Option gewählten Gruppe kann dies behoben werden. Denn diese Option blendet lässt diesen Benutzer über ein separates Suchfeld in allen Adressen in kOOL suchen. Findet er die gesuchte Person kann er diese seiner eigene Gruppe zuweisen, wodurch er Zugriff auf diese Adresse erhält. **Wichtiger Hinweis**: Damit kann faktisch der Schutz umgangen werden, denn damit ist es möglich, eine beliebige Adresse zu sich zu holen und zu verändern - deshalb mit vorsicht einsetzen. Wenn ein Login nur auf gewisse Adressen Zugriff hat, kann ein weiteres Problem sein, dass dieses Login eine Adresse neu anlegt, die es in kOOL eigentlich schon gibt, auf die er aber keinen Zugriff hat. Mit der Option "Suche in allen Adressen erlauben zur Übertragung in eigene Gruppe"​ und einer in oben erwähnter Option gewählten Gruppe kann dies behoben werden. Denn diese Option blendet lässt diesen Benutzer über ein separates Suchfeld in allen Adressen in kOOL suchen. Findet er die gesuchte Person kann er diese seiner eigene Gruppe zuweisen, wodurch er Zugriff auf diese Adresse erhält. **Wichtiger Hinweis**: Damit kann faktisch der Schutz umgangen werden, denn damit ist es möglich, eine beliebige Adresse zu sich zu holen und zu verändern - deshalb mit vorsicht einsetzen.
  
 +=== Gruppen-Anmeldungen ===
 Gruppen-Anmeldungen von der Website können normalerweise nur von Logins bearbeitet werden, die im Leute-Modul die Stufe 4 (Moderieren) haben. Soll ein Kursverantwortlicher diese Aufgabe selber übernehmen,​ kann die Option "​Dieser Benutzer darf Gruppen-Anmeldungen für seine Gruppen moderieren"​ aktiviert werden. Damit sieht dieses Login unter "Leute Offene Anmeldungen"​ alle zu moderierenden Anmeldungen,​ die für Gruppen sind, zu denen er Einteilen-Rechte hat. Gruppen-Anmeldungen von der Website können normalerweise nur von Logins bearbeitet werden, die im Leute-Modul die Stufe 4 (Moderieren) haben. Soll ein Kursverantwortlicher diese Aufgabe selber übernehmen,​ kann die Option "​Dieser Benutzer darf Gruppen-Anmeldungen für seine Gruppen moderieren"​ aktiviert werden. Damit sieht dieses Login unter "Leute Offene Anmeldungen"​ alle zu moderierenden Anmeldungen,​ die für Gruppen sind, zu denen er Einteilen-Rechte hat.
 +
 +=== Informationssperre ===
 +Falls Sie diese in den globalen Einstellungen zum Leute-Modul aktiviert haben, können Sie bei jedem Login definieren, dass dieses Login die Sperre manuell umgehen darf. Dadurch erscheint beim Export im Leute-Modul ein Schalter, mit dem ein Export auch von Adressen möglich ist, die die Informationssperre aktiviert haben. Falls ein Login diese Berechtigunge nicht hat, wird die Informationssperre bei jedem Export angewandt und kann so nicht umgangen werden.
 +==== Berechtigungen für das Gruppen-Modul ====
 +Die Berechtigungen für das Gruppen-Modul sind unabhängig von den Rechten für das Leute-Modul zu vergeben. Allerdings wird in den meisten Fällen auch ein Bearbeiten-Recht auf einer Adresse benötigt, um z.B. Gruppen-Zuweisungen bearbeiten zu können. Somit wird im Leute-Modul definiert, welche Adressen bearbeitet werden können, und über die Berechtigungen im Gruppen-Modul wird definiert, welche Gruppenzuweisungen für diese Adressen möglich sind.
 +  * Stufe 1: Hiermit kann bei Adressen, auf denen Sie Leserechte haben, gesehen werden, ob diese Adresse bei dieser Gruppe dabei ist oder nicht.
 +  * Stufe 2: Bei den Adressen, für die Sie Bearbeiten-Rechte haben, können Sie die Zuweisung zu dieser Gruppe ändern: Neu zuweisen oder aus der Gruppe entfernen.
 +  * Stufe 3: Damit können Sie diese Gruppe selber bearbeiten, also z.B. den Namen oder das Stoppdatum ändern. Falls Sie keine Bearbeitungsrechte auf Adressen haben, können Sie trotzdem keine Gruppenzuweisungen ändern. Mit dieser Stufe dürfen Sie neue Rollen anlegen und bestehende bearbeiten.
 +  * Stufe 4: Hiermit können Sie Gruppen auch löschen. Und alle Rechte der unteren Stufen gelten hier natürlich auch. Mit dieser Stufe dürfen Sie auch Rollen löschen.
 +Die Rechte, die Sie einer Obergruppe zuweisen gelten auch für alle Untergruppen,​ werden also nach unten vererbt.
 +
  
  
Zeile 34: Zeile 55:
 Normalerweise können Sie die obigen Stufen nur pro Kalender vergeben - und für die Termingruppen separat, die keinem Kalender zugewiesen sind. Falls Sie die Berechtigungen feiner vergeben möchten, also pro Termingruppe auch wenn diese in einem Kalender ist, müssen Sie eine globale Einstellung im Termine-Modul ändern: "​Benutzerrechte Termine-Modul definieren über"​. Dort wählen Sie "​ausschliesslich Termingruppen"​ aus. Normalerweise können Sie die obigen Stufen nur pro Kalender vergeben - und für die Termingruppen separat, die keinem Kalender zugewiesen sind. Falls Sie die Berechtigungen feiner vergeben möchten, also pro Termingruppe auch wenn diese in einem Kalender ist, müssen Sie eine globale Einstellung im Termine-Modul ändern: "​Benutzerrechte Termine-Modul definieren über"​. Dort wählen Sie "​ausschliesslich Termingruppen"​ aus.
  
-==== Globaler Zeitfilter ​====+=== Absenzen === 
 +Die Verwaltung der Absenzen muss einem Login separat erlaubt werden, normalerweise dürfen keine Absenzen erfasst werden. Mit einer der folgenden Stufen darf ein Login sein Absenzen verwalten:​ 
 +  * **Nur eigene Absenzen erfassen**: Damit können nur die eigenen Absenzen erfasst und gesehen werden. 
 +  * **Eigene erfassen und alle sehen**: Damit können ebenfalls die eigenen Absenzen erfasst werden, zusätzlich dürfen die Absenzen der anderen Logins gesehen werden. (Das ist die typische Einstellung für Ihre Mitarbeitenden.) 
 +  * **Alle bearbeiten**:​ Damit können Sie Absenzen auch für andere Benutzer erfassen, das entspricht der Admin-Einstellung. 
 +Damit ein Login seine eigenen Absenzen erfassen kann, muss diesem Login zwingend eine Adresse zugewiesen sein, d.h. auf dem Login müssen Sie unter "​Person aus Datenbank zuweisen"​ eine Adresse aus dem Leute-Modul zuweisen. Nur so weiss kOOL, für welche Adresse die von diesem Login erfassten Absenzen sind. 
 + 
 +=== Globaler Zeitfilter ===
 In der Liste der Termine können Sie einen zeitlichen Filter setzen und diesen als global definieren. Damit sehen Benutzer mit Stufe 2 oder tiefer nur die Termine innerhalb des gewählten Zeitraumes. Mit der Einstellung "​Globalen Zeitfilter"​ auf dem Login können Sie dieses Verhalten beeinflussen. Die Standardoption beachtet die Benutzerrechte,​ d.h. ab Stufe 3 aufwärts wird der globale Zeitfilter ignoriert, darunter angewandt. Mit den zwei anderen Optionen können Sie den Zeitfilter unabhängig von den Berechtigungsstufen für ein Login erzwingen oder ignorieren lassen. In der Liste der Termine können Sie einen zeitlichen Filter setzen und diesen als global definieren. Damit sehen Benutzer mit Stufe 2 oder tiefer nur die Termine innerhalb des gewählten Zeitraumes. Mit der Einstellung "​Globalen Zeitfilter"​ auf dem Login können Sie dieses Verhalten beeinflussen. Die Standardoption beachtet die Benutzerrechte,​ d.h. ab Stufe 3 aufwärts wird der globale Zeitfilter ignoriert, darunter angewandt. Mit den zwei anderen Optionen können Sie den Zeitfilter unabhängig von den Berechtigungsstufen für ein Login erzwingen oder ignorieren lassen.
  
-==== Erinnerungen ​====+=== Erinnerungen ===
 Damit ein Login [[/​module:​termine#​erinnerungen|Erinnerungen]] für Termine verwalten darf, muss diese Option auf dem Login aktiviert sein. Das gilt auch für Admin-Logins. Damit ein Login [[/​module:​termine#​erinnerungen|Erinnerungen]] für Termine verwalten darf, muss diese Option auf dem Login aktiviert sein. Das gilt auch für Admin-Logins.
  
-==== Spaltenzugriff ​====+=== Spaltenzugriff ===
 Die Option "​Zugriff auf diese Spalten einschränken"​ lässt Sie den Zugriff auf einzelne Angaben pro Termin für dieses Login einschränken. Ist hier kein Feld ausgewählt,​ sieht das Login alle Angaben pro Termin, andernfalls nur die hier aktivierten. Die Option "​Zugriff auf diese Spalten einschränken"​ lässt Sie den Zugriff auf einzelne Angaben pro Termin für dieses Login einschränken. Ist hier kein Feld ausgewählt,​ sieht das Login alle Angaben pro Termin, andernfalls nur die hier aktivierten.
 +
 +
 +==== Berechtigungen für das Reservations-Modul ====
 +Die Berechtigungen im Reservations-Modul können entweder pro Reservations-Gruppe oder pro Reservations-Objekt vergeben werden. Dabei stehen folgende Berechtigungsstufen zur Verfügung, wobei eine höhere Stufe immer alle Rechte der unteren Stufen beinhaltet:
 +  * 0: Keine Rechte, also auch nicht Reservationen sehen
 +  * 1: Reservationen sehen, aber nichts daran ändern oder neu erfassen
 +  * 2: Neu erfassen (moderiert). Mit der Stufe 2 können neue Reservationen erfasst werden. Falls bei einem Objekt die Moderation aktiv ist, wird die Reservation erst definitiv nach der Bestätigung durch einen Moderator.
 +  * 3: Diese Zwischenstufe erlaubt es dem Benutzer, die selber erfassten Reservationen wieder zu bearbeiten und löschen. Dies gilt für moderierte und nicht-moderierte Objekte.
 +  * 4: Mit dieser Stufe darf der Benutzer die Moderation umgehen. D.h. die Berechtigungen sind wie bei Stufe 3, moderierte Objekte sind für einen Stufe-4-Benutzer aber trotzdem nicht moderiert.
 +  * 5: Das ist die Admin-Stufe,​ d.h. hier dürfen alle Reservationen bearbeitet und gelöscht werden. Weiter ist die Verwaltung der Reservations-Objekte erlaubt.
 +  * 6: Der einzige Unterschied zwischen den Stufe 5 und 6 ist die Moderation von offenen Anfragen, die mit Stufe 6 möglich ist.
 +
 +Normalerweise können Sie die obigen Stufen nur pro Reservations-Objekt vergeben. Falls Sie die Berechtigungen feiner vergeben möchten, also pro Objekt, müssen Sie eine globale Einstellung im Reservations-Modul ändern: "​Berechtigungen definieren über"​. Dort wählen Sie "​Reservations-Objekte"​ aus.
 +
 +=== Globaler Zeitfilter ===
 +In der Liste der Reservationen können Sie einen zeitlichen Filter setzen und diesen als global definieren. Damit sehen Benutzer mit Stufe 3 oder tiefer nur die Reservationen innerhalb des gewählten Zeitraumes. Mit der Einstellung "​Globalen Zeitfilter"​ auf dem Login können Sie dieses Verhalten beeinflussen. Die Standardoption beachtet die Benutzerrechte,​ d.h. ab Stufe 4 aufwärts wird der globale Zeitfilter ignoriert, darunter angewandt. Mit den zwei anderen Optionen können Sie den Zeitfilter unabhängig von den Berechtigungsstufen für ein Login erzwingen oder ignorieren lassen.
  
  
Zeile 66: Zeile 110:
 Natürlich lassen sich auch beide Systeme mischen. Natürlich lassen sich auch beide Systeme mischen.
  
 +
 +===== Übersicht Berechtigungen =====
 +Die Übersichtstabelle stellt die Berechtigungen pro Login pro Modul übersichtlich dar. Pro Modul sehen sie im helleren Blau die ALLE-Berechtigung und im dunkleren die maximale Berechtigungsstufe. Bei einigen Modul können Sie auf den Modulnamen klicken, um die Details zu öffnen. Dort sehen Sie z.B. für welche Bereiche höhere Berechtigungen gelten als für die ALLE-Stufe. Bei einzelnen Modulen erscheinen ebenfalls Zusatzinfos zu weiteren Einschränkungen oder Berechtigungen,​ z.B. Spalten-Einschränkungen im Termine-Modul oder Detailberechtigungen im Leute-Modul.
 +
 +==== Logins / Benutzergruppen ====
 +Oben rechts können Sie umstellen zwischen Logins und Benutzergruppen. Je nach dem erscheinen die Berechtigungen der Logins oder der Benutzergruppen in der Übersichtstabelle.
 +
 +==== Vergleich einzelner Logins ====
 +{{ :​admin:​logins_access.png?​nolink|}}In der Liste der Logins können Sie die Übersichtstabelle für ein einzelnes Login öffnen. Danach können Sie oben rechts weitere Logins auswählen, die in der Vergleichstabelle auch erscheinen sollen. Oder Sie markieren in der Liste der Logins alle gewünschten Logins und klicken unterhalb der Liste auf "​Berechtigungen für ausgewählte Logins anzeigen"​.
 +
 +==== Berechtigungen als Spalten einblenden ====
 +{{ :​admin:​logins_module_column.png?​nolink|}}In der Liste der Logins und Benutzergruppen können Sie mit dem Button "​Spalten"​ rechts oben für jedes Modul eine eigene Spalte einblenden, mit der Sie pro Login/​Benutzergruppe die Modul-Berechtigungen direkt sehen können.
  
 ===== Identität annehmen ===== ===== Identität annehmen =====
Zeile 81: Zeile 137:
 ==== Status ==== ==== Status ====
 In der Liste der Logins erscheint bei jedem Login ein blaues Status-Icon. Durch einen Klick darauf kann ein Login deaktiviert werden. Damit kann sich dieses Login per sofort nicht mehr einloggen. Dies kann verwendet werden, wenn ein Login noch nicht gelöscht werden soll, aber trotzdem weiteres Einloggen verhindert sein soll. Durch einen weiteren Klick kann das Login jederzeit wieder aktiviert werden. In der Liste der Logins erscheint bei jedem Login ein blaues Status-Icon. Durch einen Klick darauf kann ein Login deaktiviert werden. Damit kann sich dieses Login per sofort nicht mehr einloggen. Dies kann verwendet werden, wenn ein Login noch nicht gelöscht werden soll, aber trotzdem weiteres Einloggen verhindert sein soll. Durch einen weiteren Klick kann das Login jederzeit wieder aktiviert werden.
 +
 +===== Zwei-Faktor-Authentifizierung (2FA) =====
 +Das Login für kOOL kann mit einer [[https://​de.wikipedia.org/​wiki/​Zwei-Faktor-Authentisierung|Zwei-Faktor-Authentifizierung]] (2FA) gesichert werden. Damit muss nach der Eingabe von Benutzername und Passwort zusätzlich ein Code aus einer App eingegeben werden, der nur kurze Zeit gültig ist. Sollte jemand also Ihr Passwort kennen, kann er sich ohne Ihr Smartphone mit dieser App trotzdem nicht anmelden.
 +
 +==== Aktivierung in kOOL ====
 +Die 2FA muss pro Benutzergruppe oder pro Login im kOOL aktiviert werden. Aktuell stehen als Anbieter "​Google Authenticator"​ und "​Microsoft Authenticator"​ zur Verfügung. Zusätzlich können Sie definieren, wie oft sich die Benutzer mittels 2FA anmelden müssen: Bei jedem Login, einmal pro Tag oder einmal pro Woche.
 +
 +==== Handhabung ====
 +=== App installieren ===
 +Installieren Sie den Google Authenticator ([[https://​play.google.com/​store/​apps/​details?​id=com.google.android.apps.authenticator2&​hl=de|Google Play]], [[https://​apps.apple.com/​ch/​app/​google-authenticator/​id388497605|Apple Store]]) oder den Microsoft Authenticator ([[https://​play.google.com/​store/​apps/​details?​id=com.azure.authenticator&​hl=de_CH|Google Play]], [[https://​apps.apple.com/​de/​app/​microsoft-authenticator/​id983156458|Apple Store]]) auf Ihrem Smarthpone oder Tablet.
 +
 +=== Erste Aktivierung ===
 +Nach dem ersten Login nach Aktivierung der 2FA erscheint im kOOL ein QR-Code mit einer Code-Eingabe darunter. Diesen QR-Code müssen Sie mit der Smartphone-App scannen, wodurch Ihnen der Code angezeigt wird, den Sie einmalig im kOOL eingeben müssen. Ab dann erscheint in Ihrer App immer der aktuelle Code für kOOL, der jeweils eine gewisse Zeit lang gültig ist.
 +
 +=== Normales Login ===
 +Nach der einmaligen Aktivierung (siehe oben) erscheint im Login-Bereich im kOOL nach der Eingabe von Benutzername und Passwort jeweils ein Textfeld für den aktuellen Code. Diesen finden Sie in Ihrer App auf dem Smartphone. Nach dessen korrekter Eingabe sind Sie normal in kOOL eingeloggt.
 +
 +=== Reset ===
 +{{ :​admin:​2fa_reset.png?​nolink|}}Falls ein Benutzer ein neues Smartphone hat oder die App neu installieren musste, können Sie die Zwei-Faktor-Authentifizierung für diesen Benutzer zurücksetzen,​ damit er den QR-Code erneut scannen und so seine App neu einrichten kann. In der Liste der Logins finden Sie dazu das entsprechende Icon in der Spalte "​2FA-Status"​.
 +===== Einstellungen rund ums Passwort =====
 +In den Einstellungen im Admin-Modul können Sie einige Einstellungen zur Passwort-Sicherheit vornehmen:
 +  * **Benutzer darf sein eigenes Passwort ändern**: Ist dies aktiv, darf ein Benutzer sein eigenes Passwort ändern. Wenn Sie aber sehr sichere Passwörter vorgeben wollen, können Sie diese Option deaktivieren,​ damit niemand ein einfacheres Passwort eingeben darf.
 +  * **Zurücksetzen des Passworts erlauben?​**:​ Ist dies aktiv, kann der Benutzer im Login-Feld den Link "​Passwort vergessen?"​ klicken, um per Mail die Möglichkeit zu erhalten, ein neues Passwort zu setzen. Dies kann die Sicherheit beeinträchtigen,​ wenn ein Angreifer die E-Mails eines Ihrer Benutzer lesen kann, deshalb sollte das nur bewusst aktiviert werden.
 +  * **Komplexität des Passworts**:​ Wählen Sie hier die Anforderungen an das Passwort. Dies gilt für neue Logins wie auch für Änderungen des Passwortes durch den Benutzer.
 +  * **Mindestlänge des Passworts**:​ Definieren Sie die Mindestanzahl an Zeichen für ein Passwort. Dies gilt für neue Logins wie auch für Änderungen des Passwortes durch den Benutzer.
  • admin/benutzerverwaltung.1509440864.txt.gz
  • Zuletzt geändert: 31.10.2017 10:07
  • von Renzo Lauper