¶ Sicherheit
MASKITO Forms und SEMANO bieten verschiedene Methoden, um Benutzer und Benutzergruppen den Zugriff auf den Server zu ermöglichen und diesen Zugriff durch Berechtigungsstufen und Arbeitsbereiche zu lenken.
Die entsprechenden Einstellungen werden in der Serververwaltung (Administration) im Bereich "Sicherheit" vorgenommen:
Das Zusammenspiel von Kreisen, Gruppen und Benutzern wird im Abschnitt Zugangsrechte verwalten beschrieben.
¶ Nutzerkreise verwalten
Mittels Nutzerkreisen können verschiedene und voneinander unabhängige Bereiche auf dem Server bereitgestellt werden. Kreise gewährleisten z. B. die Trennung der Arbeitsbereiche unterschiedlicher Abteilungen.
Die Kreisverwaltung im Servermanager im Bereich Sicherheit kann nur von Serveradministratoren aufgerufen werden. Die Liste der Kreise lässt sich nach jeder Spalte sortieren und sie kann nach Name und Beschreibung durchsucht werden.
Über die Schaltfläche "Neu" im oberen Menü kann ein neuer Kreis angelegt werden. Mit einem Klick auf den Namen eines vorhandenen Kreises kann dieser bearbeitet werden. Über das Papierkorb-Symbol am Ende einer Zeile kann ein Kreis gelöscht werden.
¶ Kreis anlegen/bearbeiten
Beim Anlegen oder Bearbeiten eines Kreises im Servermanager im Bereich Sicherheit lassen sich die einzelnen Eigenschaften festlegen:
| Eigenschaft | Beschreibung |
|---|---|
| Name | gibt den Titel des Kreises an |
| Anonymer Zugriff | steuert, ob der Kreis öffentlich zugänglich ist. Inhalte öffentlicher Kreise können auch ohne Anmeldung mit Nutzerrechten aufgerufen werden. |
| Registrierung | erlaubt bei Bedarf den Zugang zu diesem Kreis für angemeldete Benutzer, siehe auch Zugangsverwaltung per KreiseigenschaftenNicht aktiviert = ausschließlich (Kreis-)Administratoren entscheiden über den Zugang zu diesem KreisAktiviert = Jeder registrierte und angemeldete Benutzer hat automatisch Anwenderrechte. Auf der Willkommensseite wird die Schaltfläche "Registrieren" angezeigt. |
| Manuelle Bestätigung | erlaubt dem (Kreis-)Administrator Überblick über die Zugänge für Kreise mit erlaubter Registrierung zu bewahren. Das gilt für Benutzer mit Forms-Anmeldung, kein AD-Konto.Aktiviert = Angemeldete Benutzer können Zugang zu diesem Kreis beantragen. Je Antrag wird eine E-Mail an die hier angegebene E-Mail-Adresse gesendet. Der Adressat kann den Zugang direkt in der E-Mail oder per Antragsliste erlauben oder verweigern (1). |
| Beschreibung | dient als Information über den Inhalt, den Zweck bzw. die Zielgruppe des Kreises. Wird in der Kreisverwaltung, aber auch im Benutzerkonto angezeigt. |
| Reihenfolge | steuert, an welcher Stelle der neue Kreis in der Kreisverwaltung und an der Serveroberfläche angezeigt wird |
| Style | definiert das Design des Kreises. Eine Auswahl an Styles steht hier bereit. |
| Benachrichtigung | die automatische Änderungsbenachrichtigung kann aktiviert werden, um Benutzer automatisch über neu hochgeladene bzw. aktualisierte Dokumente in einem Kreis per E-Mail zu informieren. |
(1) Der Antragsteller erhält keine automatische E-Mail-Benachrichtigung, dass ihm der Zugang verweigert wurde.
¶ Gruppen verwalten
Benutzergruppen können innerhalb eines Kreises angelegt werden und dienen zur Verwaltung der Berechtigungen der zugeordneten Benutzer.
Die Verwaltung der Benutzergruppen kann nur von Serveradministratoren und Kreisadmins geöffnet werden. Kreisadmins können nur Benutzergruppen sehen und bearbeiten, die zu den Kreisen gehören, in denen sie Administrator sind. Die Liste der Benutzergruppen lässt sich nach jeder Spalte sortieren und sie kann nach Gruppenname und Beschreibung durchsucht werden.
Über die Schaltfläche Neu im oberen Menü lässt sich ein neuer Kreis anlegen. Mit einem Klick auf den Namen einer vorhandenen Gruppe kann diese bearbeitet werden. Über das Papierkorb-Symbol am Ende einer Zeile können Gruppen gelöscht werden.
In der Benutzerverwaltung sind neben der Kreiszuordnung auch die Zuordnung der Gruppe zu Projekten bzw. Lernräumen sowie die zugehörigen Benutzer direkt ablesbar.
AD-Gruppen erhalten genau ein Benutzerkonto in der Benutzerverwaltung des Servers, dessen Berechtigungen dann für alle Mitglieder der AD-Gruppe gelten. Daher werden AD-Gruppen in der Benutzerverwaltung wie ein neuer Benutzer angelegt.
¶ Gruppen anlegen/bearbeiten
Beim Anlegen oder Bearbeiten einer Benutzergruppe lassen sich die einzelnen Eigenschaften festlegen:
| Eigenschaft | Beschreibung |
|---|---|
| Aktiv | steuert den Einsatz dieses Gruppenzugangs Administratoren haben damit das Werkzeug, um viele Benutzer und Zugangsrechte effizient zu verwalten. |
| Name | gibt den Namen der Gruppe an |
| Nutzerkreis | gibt den Kreis an, dem die Gruppe zugeordnet wird |
| Beschreibung | dient als Information für andere Administratoren und wird nur in der Verwaltung (Servermanager) angezeigt. |
| Ablaufdatum | gibt die Gültigkeit der per Gruppen zugeteilten Zugangsrechte zu einem Kreis an Zugangsrechte verfallen automatisch bei Erreichen des Ablaufdatums für alle Gruppenmitglieder. |
| Zugeordnete Benutzer | hier können Benutzer, die dem Kreis zugeordnet sind, in die Benutzergruppe übernommen werden. |
Beim Bearbeiten einer Benutzergruppe können zusätzlich die Berechtigungsstufe(n) für alle Mitglieder der Gruppe festgelegt werden. Für einzelne Benutzer können abweichende Rollen definiert werden, z. B. "Nutzer" per Gruppe und zusätzlich "Reporter" als Einzelbenutzer. Das Verbot hat immer Priorität.
¶ Benutzer verwalten
Benutzer sind serverweit gültig und können gleichzeitig mehreren Kreisen und Gruppen zugeordnet werden.
Die Verwaltung der Benutzer kann nur von Serveradministratoren und Kreisadministratoren geöffnet werden. Kreisadmins können nur Benutzer sehen und bearbeiten, die zu den Kreisen gehören, in denen sie Administrator sind. Die Liste der Benutzer lässt sich nach jeder Spalte sortieren, nach Kreisen sortieren und sie kann nach Name und Beschreibung durchsucht werden. Wichtige Informationen können direkt in der Übersicht abgelesen werden, z. B. welcher Benutzer die automatische Änderungsbenachrichtigung bzw. die Zweifaktorauthentifizierung aktiviert hat usw.
Über die Schaltfläche Neu im oberen Menüband des Servers kann ein neuer Benutzer registriert werden. Mit einem Klick auf den Namen eines vorhandenen Benutzers können dessen Attribute bearbeitet werden. Über das Papierkorb-Symbol am Ende einer Zeile können Benutzer gelöscht werden.
¶ Benutzer anlegen/bearbeiten
Beim Anlegen oder Bearbeiten eines Benutzers lassen sich die einzelnen Eigenschaften festlegen:
| Eigenschaft | Beschreibung |
|---|---|
| Art der Anmeldung bzw. Typ | gibt den Login-Typ an. Es stehen AD-Nutzer, AD-Gruppe und Forms-Anmeldungen zur Wahl. Bei entsprechender Serverkonfiguration wird beim Aufruf des Servers der Nutzer direkt als AD-Nutzer oder AD-Gruppe erkannt. Bei der Forms-Anmeldung muss sich der Nutzer über ein Login-Dialog authentifizieren. |
| Anmeldename | gibt den Login des Benutzers bzw. die AD-Gruppe an. |
| Passwort | Wird als Typ "Forms-Anmeldung" ausgewählt, muss ein Passwort angegeben werden. |
| Anzeigename | dieser Name wird bei angemeldeten Benutzern in der oberen Menüzeile des Servers rechts ausgegeben. |
| Nutzerkreis | gibt den Kreis an, dem der Benutzer initial zugeordnet wird |
| Zugewiesene Benutzergruppen | Optional: gibt Benutzergruppen an, dem der Benutzer initial zugeordnet wird Die Auswahl der Benutzergruppen in diesem Feld hängt von dem zuvor angegebenen Nutzerkreis ab. |
| Rolle | gibt das initiale Zugangsrecht des Benutzers in dem gewählten Kreis an. |
| gibt die E-Mailadresse des Benutzers an. Diese Adresse findet Verwendung beim Versenden von E-Mails bzw. bei Benachrichtigungen bzgl. des Benutzerkontos. |
|
| Beschreibung | enthält Hinweise, z. B. für den Kreisadministrator, und wird nur in der Verwaltung angezeigt. |
| Serveradmin | die Option gibt dem Benutzer die Rechte eines Serveradministrators. |
| Benutzer ist aktiv | die Option aktiviert oder deaktiviert das Konto. |
| Benachrichtigung | für jeden Benutzer kann die automatische Änderungsbenachrichtigung aktiviert werden, um Benutzer automatisch über neu hochgeladene bzw. aktualisierte Dokumente in einem Kreis bzw. in einem Projekt oder Lernraum per E-Mail zu informieren. Dazu Häkchen setzen bei „E-Mail bei neuen/geänderten Inhalten“. |
AD-Gruppen (Active Directory) können am Server mit genau einem Benutzerkonto registriert werden, so dass für alle Mitglieder dieser AD-Gruppe dieselben Zugangsrechte gelten. Die Mitglieder der AD-Gruppe erkennt der FormServer automatisch und aktualisiert diese dynamisch. Das gilt auch für verschachtelte AD-Gruppen. Das ist von Vorteil, wenn z. B. eine AD-Gruppe für alle Mitarbeiter des Unternehmens existiert, die verwendet werden kann, um allen Mitarbeitern effizient über genau ein Benutzerkonto Zugang zum FormServer zu verschaffen. Durch die Verwaltung des Active Directory bleibt automatisch auch die Benutzerverwaltung im FormServer aktuell. Die Mitglieder der AD-Gruppe benötigen also KEIN persönliches Benutzerkonto im FormServer, es sei denn ein Gruppenmitglied soll besondere, abweichende Berechtigungen erhalten. Ab Maskito 7.4 gibt es die Option, bei Bedarf das rekursive Auslesen von AD-Gruppen je AD-Gruppen-Nutzerkonto am FormServer zu unterbinden.
Für die Verwendung von AD-Konten (Active Directory) in der Benutzerverwaltung des FormServers gelten folgende Voraussetzungen: Für die Domäne sind Klein- und Großbuchstaben sowie Unterstrich erlaubt. Der Name bezieht sich auf das AD-Attribut “sAMAccountName.” Erlaubt sind hier Klein- und Großbuchstaben inkl. Umlaute, z. B. ä, Zahlen, Unterstrich, Bindestrich, Punkt, Leerzeichen sowie Kombinationen davon. Auf das Sonderzeichen „\“ im AD-Attribut “cn” ist dabei allerdings unbedingt zu verzichten.
Ab MASKITO Forms 7 ist die Active-Directory-Anmeldung auch über eine Vertrauensstellung möglich, so dass mehrere AD-Server gleichzeitig in einem Netzwerk bedient werden können. Für die Einrichtung einer solchen Vertrauensstellung ist bei der Installation des FormServers nichts zu beachten. Ab MASKITO Forms 7 ist zudem eine Problematik beim Auslesen von AD-Gruppen behoben (Loop Protection), welche ausgelöst wurde, wenn sich z. B. zwei AD-Gruppen gegenseitig als MemberOf definiert haben.
Es kann grundsätzlich über den Schalter CheckADEMail in der web.config definiert werden, dass AD-Nutzer ohne Mail-Adresse im FormServer weder angezeigt noch mitgezählt werden. Das Ausblenden von Benutzern hat jedoch keine Auswirkung auf die Zugangsrechte.
Beim Bearbeiten können die Rechte und Rollen des Benutzers weitreichender festgelegt werden, inkl. weiterer Kreis- bzw. Benutzergruppenzuordnungen etc. Soll ein Benutzer keinen Zugang mehr zu einem bestimmten Kreis haben, kann entweder ein (vorübergehendes) Verbot ausgesprochen bzw. die entsprechende Kreiszuordnung/Benutzergruppenzuordnung im Benutzerkonto entfernt werden.
Jedes Benutzerkonto besitzt zusätzlich die Eigenschaft "Ablaufdatum", um damit die Gültigkeit der Zugangsrechte für einen Benutzer zeitlich zu steuern.
Sobald Benutzer mit Forms-Anmeldung zugelassen werden, empfiehlt es sich,
- die Willkommensseite individuell zu gestalten,
- Impressum, AGB etc. zu hinterlegen,
- der Anwendung einen individuellen Namen zu geben und
- ggf. eine Einschränkung für E-Mail-Domänen beim Registrierungsvorgang festzulegen.
¶ Benutzer registrieren sich selbst
Jeder Benutzer kann bei erlaubter Registrierung ein eigenes Benutzerkonto mit Forms-Anmeldung anlegen und zu großen Teilen selbst verwalten, z. B. das Passwort ändern, Zugänge zu Kreisen beantragen, Voucher einlösen, Konto löschen etc.
Sein eigenes, serverweit gültiges Konto erzeugt der Benutzer per Klick auf die Schaltfläche "Registrieren" auf der Willkommensseite, wo im Registrieren-Dialog entsprechende Angaben zu machen sind - und aktiviert das Konto per Link, der als E-Mail-Nachricht zur Bestätigung gesendet wird. Bereits im Registrieren-Dialog werden die Kreise aufgelistet, zu denen der Benutzer anschließend Zugang haben wird.
Server- bzw. Kreisadministratoren verwalten die große Anzahl an Benutzern effizient per Voucher, Benutzergruppen bzw. Kreiseigenschaften. Der Serveradministrator sorgt für die Willkommensseite im Firmendesign, für die Aktualität von Impressum, AGB etc., für den passenden Namen der Anwendung und ggf. für eine Einschränkung für E-Mail-Domänen beim Registrierungsvorgang.
Server- bzw. Kreisadministratoren können im Log per Stichwort "Registrierung" die entsprechenden Vorgänge abrufen und nachvollziehen.
¶ Benutzerassistent
Ab MASKITO Forms 7 steht zum Erstellen von Nutzerkonten vom Typ Forms-Anmeldung für Kreisadministratoren und Serveradministratoren auch der Benutzerassistent zur Verfügung. Damit können Sie schnell und einfach mehrere Nutzerkonten gleichzeitig erstellen lassen und diesen direkt Zugriff auf einen Kreis oder Lernraum/Projekt gewähren. Auch für mehrere bereits bestehende Nutzerkonten können Sie mit dem Benutzerassistenten die Berechtigung für einen neuen Kreis oder ein neues Projekt mit einem Mal zuweisen.
Sie erreichen den Benutzerassistenten über den Server-Manager.
Geben Sie im ersten Schritt zunächst die E-Mail-Adressen der anzulegenden (oder zu ergänzenden) Nutzer in die E-Mail-Liste ein (komma-, enter- oder semikolon-separiert) und wählen Sie den Kreis sowie optional Projekte aus, auf welche sie Zugriff haben sollen.
Danach können Sie die E-Mail-Einladung anpassen, welche die Nutzer nach Anlegen der Kontos erhalten. In dieser Mail sollte in jedem Fall der Platzhalter [?Account] enthalten sein. Dieser wird in der Einladung durch den Benutzernamen (LogIn) und optional das Passwort (für neue Nutzer) ersetzt. Zusätzlich können Sie die Einladung mit weiteren Ersetzungen personalisieren.
Der Text der personalisierten Einladung wird durch Klick auf „Jetzt generieren“ jeweils gespeichert und ist dann im Benutzerassistenten bei der nächsten Nutzung bereits vordefiniert.
Durch Klick auf „Jetzt generieren“ in der oberen Menüleiste des Servers werden die Konten nun erstellt. Zudem wird die Berechtigung für den ausgewählten Kreis und das Projekt vergeben. Nutzern, die bereits ein Konto haben, wird nur die Berechtigung für den Kreis oder das Projekt zugewiesen. (Sollten bestehende Nutzer diese auch schon haben, erhalten sie keine E-Mail-Nachricht.) Sie erhalten zur Bestätigung eine Meldung, wie viele Zugänge erfolgreich eingerichtet bzw. angepasst wurden.
Wenn Sie einzelnen Benutzern noch weitere Kreisberechtigungen zuweisen wollen, nutzen Sie dazu wie gewohnt die Liste der registrierten Benutzer.
Da der Benutzerassistent auch Anwendern, die keinen IT-Hintergrund haben, das Anlegen von Benutzerkonten erleichtern soll, enthält er ebenfalls eine Schritt-für-Schritt-Anleitung, weitere Ersetzungsbeispiele sowie eine Beschreibung der Abläufe, welche beim Anlegen der Konten automatisch durchgeführt werden.
¶ Anmeldung am FormServer
Um nicht-öffentliche Projekte und Lernräume auf dem FormServer betrachten zu können, müssen sich Nutzer mit ihren LogIn-Daten am FormServer anmelden. Hat der Serveradministrator für den FormServer die Captcha-Abfrage aktiviert, muss der Nutzer vor dem LogIn die Captcha-Verifizierung durchführen. Ab Maskito 7.4 kann für FormXpress-Dokumente in öffentlich zugänglichen Kreisen für Gäste eine Captcha-Abfrage vorgeschaltet werden, um automatisierten Zugriff und Missbrauch durch Bots zu verhindern, auch wenn Captcha-Abfragen für den FormServer generell deaktiviert sind.
¶ Kontoverwaltung für Benutzer
Im Bereich Mein Konto erhalten Benutzer im FormServer eine Übersicht zu ihrem Konto und ihren aktuellen Zugangsberechtigungen für Kreise.
Benutzer mit einem Forms-Konto können zudem Einstellungen wie Kennwort, E-Mail-Adresse und Anzeigename verwalten oder ihr Konto löschen. Eine Voransicht der Kontoinformationen erhält der Benutzer bereits, wenn er die Maus in der Menüleiste über seinen Anzeigenamen bewegt. Dort erscheint auch ein Hinweis, wenn das aktuelle Passwort aufgrund einer Richtlinie demnächst abläuft.
Serveradministratoren können ab MASKITO Forms 7 im FormServer in ihrem Konto unter “Verhalten” auswählen, ob sie Logeinträge als Pushbenachrichtigungen angezeigt bekommen wollen.
¶ Zwei-Faktor-Authentifizierung
Mit der Zwei-Faktor-Authentifizierung (2FA) ab MASKITO Forms 7 kann ein Nutzer sein Konto auf dem FormServer besser vor unbefugten Zugriffen schützen, indem er zusätzlich zum Kennwort noch einen Code eingibt, um sich am FormServer anzumelden oder wichtige Änderungen im Konto vorzunehmen.
Diese Funktion muss er zuvor selbst in seinem Benutzerkonto aktivieren. Zur Authentisierung per Code-Eingabe benötigt er eine Authentisierungsanwendung (Authenticator-App), z.B. auf seinem Mobilgerät. Neben den kostenfreien Apps von Google und Microsoft sind auch Apps anderer Hersteller möglich.
Wenn ein Benutzerkonto am FormServer für die 2FA eingerichtet wurde, erhält der Nutzer eine E-Mail mit einem QR-Code (zum Scannen) und manuellen Setup-Code (zur Eingabe). Nun kann er in der Authenticator-App den QR-Code scannen oder den Setup-Code eingeben sowie die URL des betreffenden FormServers angeben, um das Konto in der App hinzuzufügen.
Danach ist der Benutzer bereit, sich gegenüber dem FormServer über die Zwei-Faktor-Authentifizierung zu authentisieren.
Die 2FA- kann auch zur Authentifizierung von Benutzern in Web-Formularen verwendet werden, indem z. B. zur Authentisierung des aufrufenden Formularbearbeiters aufgefordert und die Eingabe geprüft werden.
Die Authenticator-App generiert in kurzen Intervallen ein neues Einmal-Kennwort, welches als Code im MASKITO FormServer eingetragen werden muss.
Die Code-Eingabe wird ab dem nächsten LogIn nötig, um Zugriff auf die Seite zu bekommen.
Auch für das Ändern des Kennworts oder das Abstellen der 2-Faktor-Authentisierung ist nun die Code-Eingabe erforderlich, sodass ein unerlaubter Zugriff deutlich erschwert wird.
Hinweis: Benutzer mit der Rolle Designer sollten auf die Zweifaktor-Authentisierung verzichten, damit die Verbindung zwischen FormDesigner und FormServer für die Produktion von Web-Formularen hergestellt werden kann.
Auch bei der Anbindung an Azure Active Directory (AAD) wird Multi-Faktor-Authentifizierung (MFA) unterstützt.
¶ Lernkarte
Ab MASKITO Forms 7 haben Sie als Server- bzw. Kreisadministrator mit dem zusätzlichen Register “Projekte” in dem Dialog “Benutzer bearbeiten” der Benutzerverwaltung die Möglichkeit eine Lernkarte zum Benutzer aufzurufen.
Darin finden Sie eine Übersicht der Projekte/Lernräume, für welche er aktuell die Berechtigung hat, sowie seinen jeweiligen Fortschritt im Projekt.
Eine Lernkarte zum individuellen Fortschritt eines Benutzers innerhalb eines Projekts/Lernraums können Sie über die Lernraumverwaltung aufrufen.
In der Lernkarte sind neben den persönlichen Angaben zu dem jeweiligen Benutzer ebenfalls Punkte aufgelistet, die der Benutzer bei der Bearbeitung eines Projekts/Lernraums erreicht hat.
¶ Berechtigungen
Für Benutzer und Benutzergruppen lassen sich verschiedene Rollen je Kreis festlegen:
| Rolle | Beschreibung |
|---|---|
| Kreisadmin | hat auf die Formulare, Einstellungen und Daten in seinem Kreis Vollzugriff. Außerdem haben Kreisadministratoren begrenzten Zugriff auf die Serververwaltung, z. B. Projektverwaltung, Benutzerverwaltung, Zugriffsverwaltung per Voucher, Zertifikatsverwaltung. Seit Maskito 7.4 stehen dem Kreisadministrator keine Zugriffsrechte mehr auf Einstellungen des FormServers zur Verfügung. |
| Reporter | bekommt in den Datenansichten die Möglichkeit, die Daten aus der Datentabelle der Ansicht zu exportieren, z. B. im CSV-Format bzw. als Excel-Datei mit Tabellenformatierung. Zusätzlich kann der Reporter auf den Administrationsseiten weitere in Diagrammen und Tabellen visualisierte Reports einsehen und detaillierte Auswertungen vornehmen. Der Reporter hat das Recht den Server-Manager zu nutzen und bis Maskito 7.1 mit Hilfe dessen Projekte bzw. Lernräume anzulegen und diesen Teilnehmer und Web-Formulare zuzuordnen. Ab Maskito 7.5 können Projekte bzw. Lernräume nur von Designern bzw. (Kreis-)admins angelegt, bearbeitet oder gelöscht werden. |
| Designer | können in ihrem Kreis Web-Formulare mit dem MASKITO FormDesigner hochladen, aktualisieren und die Formulareigenschaften bearbeiten. Designer können außerdem die Datentabellen hinter den Web-Formularen einsehen. Mit Designer-Recht darf man zudem im FormDesigner Formulare direkt auf den Server hochladen. Ab Maskito 7.5 können Designer zudem Projekte bzw. Lernräume angelegen, bearbeiten oder löschen. |
| Nutzer (früher: Anwender) |
dürfen Web-Formulare und Dateien auf dem Server aufrufen, die in dem entsprechenden Kreis abgelegt sind. Je nach Formulareinstellungen können auch Datentabellen von Web-Formularen aufgerufen werden. Diese Berechtigung (Rolle) ist zwingende Voraussetzung für den Zugang zum persönlichen Dashboard. |
| ViewDesigner | dürfen die Datentabellen von Web-Formularen bearbeiten und neue Ansichten erstellen. |
| Serveradmin | beschreibt eine Sonderrolle. Benutzer mit dieser Rolle haben vollen Zugriff auf alle Kreise sowie auf die gesamte Server-Verwaltung, z. B. die Server-Konfiguration, Themenstruktur, Zertifikatsverwaltung etc. |
| Gast | beschreibt eine Sonderrolle. Benutzer mit dieser Rolle haben keinen Zugang zu nicht-öffentlichen Kreisen. Gäste dürfen ohne Registrierung bzw. Anmeldung trotzdem implizit als Anwender auf öffentliche Kreise zugreifen. |
Zusätzlich zu den Zugangsrechten zu den Kreisen können explizite Zugangsrechte gewährt werden, also zu ausgewählten Dokumentensammlungen inkl. Controlling und Reporting im Rahmen der Projekt- oder Lernraumorganisation. Diese Berechtigungen werden direkt in den MASKITO-Projekten oder Semano-Lernräumen festgelegt.
Grundsätzlich gibt es außerdem die Rolle des Systemadministrators. Seine Zugangsrechte werden außerhalb des Server-Managers geregelt, da der Nutzer mit dieser Rolle umfangreichere Rechte besitzt, z. B. den schreibenden Zugang auf die Maschine, die die Anwendung bereitstellt, etwa für die Bearbeitung der web.config.
¶ Zugangsrechte verwalten
Grundsätzlich gibt es vielfältige Möglichkeiten, den Zugang zum Server und zu seinen Inhalten für Benutzer zu steuern: per Kreiseigenschaften, per Benutzerkonten und per Benutzergruppen. Benutzer können sich auch selbst am FormServer registrieren und Zugang zu Kreisen beantragen.
Benutzer können weiterhin ganz gezielt und exklusiv Zugang zu Kreisen erhalten durch das Feature Voucher, das auch für die Zugangskontrolle für Maskito-Projekte verwendet werden kann.
Darüber hinaus ist der Zugang auch für AD-Gruppen möglich.
¶ Kreiseigenschaften
Bei den Kreiseigenschaften kann folgendes konfiguriert werden:
| Ziel | Konfiguration |
|---|---|
| Ausschließlich registrierte und angemeldete Benutzer, die diesem Kreis zugeordnet sind und eine entsprechende Berechtigungsstufe haben, erhalten Zugang. Der Kreis- bzw. Serveradministrator regelt den exklusiven Zugang für AD-Konten manuell. Für Benutzer mit Forms-Anmeldung wird der exklusive Zugang ebenfalls von Kreis- bzw. Serveradministrator manuell bzw. per Voucher geregelt. |
Nicht-öffentlicher Kreis
|
| Auch Benutzer, die nicht angemeldet sind, haben als Gast (anonymen) Zugang mit (impliziten) Nutzerrechten. |
Öffentlicher Kreis |
Ausschließlich Benutzer mit Forms-Anmeldung bzw. AD-Nutzer haben auch ohne die explizite Zuordnung zu diesem Kreis Zugang, wenn sie angemeldet sind. Um das Zugangsrecht zu entziehen, reicht es also aus, dass der Kreis- bzw. Serveradministrator das Häkchen für die Erlaubnis für den Kreis entfernt.Sobald für mindestens einen Kreis die Erlaubnis zur Registrierung erteilt wird, wird auf der Willkommensseite die Schaltfläche "Registrieren" angezeigt. |
Nicht-öffentlicher Kreis mit Erlaubnis zur Registrierung* |
| Benutzer mit Forms-Anmeldung erhalten zu diesem Kreis erst dann Zugang, wenn sie angemeldet sind, Zugang beantragt haben und der Zugang gewährt wurde. Wird das Häkchen für die Erlaubnis für diesen Kreis entfernt, bleibt für die Benutzer das Zugangsrecht bestehen, für die der Zugang manuell freigeschaltet wurde. Der Kreis ist diesen Benutzerkonten dann explizit zugeordnet inkl. Anwenderrecht. Für AD-Nutzer ist dieser Kreis wie ein nicht-öffentlicher Kreis. |
Nicht-öffentlicher Kreis mit erlaubter Registrierung bei manueller Bestätigung* |
∗ Registrierung bzw. Zugangsbeantragung sind ausschließlich für Benutzer mit Forms-Anmeldung möglich.
¶ Ausstehende Anträge
Benachrichtigungen über Zugangsbeantragungen zu Kreisen werden an das Postfach gesendet, das im Feld "Manuelle Bestätigung" als Kreiseigenschaft angegeben wurde. In der E-Mail-Nachricht befinden sich Schaltflächen, um jeweils den Zugang zu erlauben bzw. abzulehnen.
Alternativ kann der Serveradministrator im Server-Manager die Liste "Ausstehende Anträge" aufrufen, um über Zugänge zu entscheiden. Anträge werden hier jedoch nur zeitlich begrenzt aufgelistet. Die Anzahl der aktuell offenen Anträge ist als Zahl direkt im Navigationsbereich ablesbar.
Werden Zugänge per Voucher beantragt, sind diese Vorgänge ebenfalls in der Übersicht "Ausstehende Anträge" gelistet und können hier vom Serveradministrator bearbeitet werden.
Wird der Zugang für einen Benutzer genehmigt, wird der Benutzer dem Kreis mit Anwenderrechten zugeordnet. Der Server- bzw. Kreisadministrator kann für diesen Benutzer nun weitere Zugangsrechte zu diesem Kreis festlegen, z. B. Reporter. Wird diesem Benutzer dann nachträglich der Zugang zu diesem Kreis verweigert, z. B. über die Liste "Ausstehende Anträge", werden ihm alle Zugangsrechte zu diesem Kreis entzogen sowie die Kreiszuordnung entfernt. Wurde einem Benutzer der Zugang zu einem Kreis zunächst verweigert, kann dieser zu einem späteren Zeitpunkt erneut den Zugang beantragen.
Server- bzw. Kreisadministratoren können im Log per Stichwort "Genehmigung" alle Vorgänge abrufen und nachvollziehen (im Rahmen des definierten Log-Zeitraums).
¶ Zugangsverwaltung per Benutzerkonten und Benutzergruppen
Für die Zugangssteuerung per Benutzer sind folgende Optionen gegeben:
| Berechtigungsstufe | Beschreibung |
|---|---|
 |
Kreiszuordnung ohne Zugangsrecht gilt auch für Benutzergruppen |
 |
Implizite Nutzerrolle bei nicht-öffentlichem Kreis und erlaubter öffentlicher Registrierung ohne manuelle Bestätigung bzw. bei öffentlichem Kreis |
 |
Kreiszuordnung mit explizitem Recht, z. B. nach manueller Bestätigung bei Zugangsbeantragung durch einen Benutzer mit FormsAnmeldung-Konto gilt auch für Benutzergruppen |
 |
Kreiszuordnung mit explizitem Verbot gilt auch für Benutzergruppen |
Benutzer können auch über Benutzergruppen Zugang zu Kreisen erhalten. Durch die Zuordnung des Benutzers zu Kreisen und Benutzergruppen ergeben sich folgende Kombinationen:
| Berechtigungsstufe | Beschreibung |
|---|---|
 |
Rolle bei Kreis- und Benutzergruppenzuordnung für ein Benutzerkonto – Das Zugangsrecht wird explizit in der Benutzergruppe definiert und wirkt sich auf die Gruppenmitglieder aus. Existiert diese grüne Markierung bei einer Benutzergruppendefinition, bedeutet dies, dass die Gruppe einem Kreis mit erlaubter Registrierung zugeordnet ist. Die Gruppenmitglieder erhalten automatisch Zugang zu diesem Kreis. |
|
Verbot bei Kreis- und Benutzergruppenzuordnung für einen Benutzer – Das Verbot wurde explizit nur für die Benutzergruppe definiert. |
 |
Kombinationen sind möglich, z. B. Rolle explizit definiert sowohl für die Benutzergruppe als auch für den einzelnen Benutzer. Wird die Benutzergruppe z. B. deaktiviert, bleibt der Zugang für diesen einzelnen Benutzer dennoch bestehen. |
 |
Verbot hat immer Priorität |
¶ Zugangsverwaltung per Voucher
Benutzer können über einen Aktivierungslink, den Voucher, selbstständig Zugang zu einem exklusiven (nicht-öffentlichen) Kreis bzw. einem Projekt oder Lernraum erhalten auf dem Server. Dies gilt ausschließlich für Benutzer mit Forms-Anmeldung. Anonyme Benutzer (Gäste) können einen Voucher erst dann einlösen, wenn sie sich registrieren.
Voucher werden vom Kreis- bzw. Serveradministrator im Server-Manager, unter der Rubrik "Sicherheit" bereitgestellt und können dort für verschiedene Einsatzzwecke konfiguriert werden:
| Eigenschaft | Beschreibung |
|---|---|
| Vouchername | gibt die offizielle Bezeichnung des Vouchers an |
| Beschreibung | hilft dem Administrator bei der Verwaltung der Voucher |
| Gültigkeit | gibt die zeitlich begrenzte Verfügbarkeit des Vouchers an. Per Checkbox " Voucher aktiv" kann der Voucher manuell für die Benutzung aktiviert bzw. deaktiviert werden. Alternativ kann ein Ablaufdatum angegeben werden. Ist dieses erreicht, können Benutzer diesen Voucher automatisch nicht mehr einlösen. |
| Kontingent | limitiert optional, wie häufig ein Voucher insgesamt eingelöst werden darf. |
| Code | definiert optional das Passwort, das für das Einlösen des Vouchers einzugeben ist. Die aktuellen Richtlinien zur Passwortgestaltung sollten hier angewendet werden. |
| Kreis(e) | gibt an, zu welchen Kreisen über diesen Voucher Zugang gewährt wird. |
| Benutzergruppen | gibt optional an, zu welcher Benutzergruppe der Benutzer zugeordnet wird, wenn er diesen Voucher einlöst Der Vorteil: Effiziente Zugangssteuerung per Benutzergruppen möglich |
| Manuelle Bestätigung | ist optional einzuschalten, wenn der Zugang für jeden Benutzer einzeln freigegeben werden soll. Benachrichtigungen über Zugangsbeantragungen werden an das Postfach gesendet, das hier angegeben ist, siehe auch Ausstehende Anträge. Benutzer erhalten erst dann Zugang, wenn sie angemeldet sind, Zugang beantragt haben und der Zugang gewährt wurde. Erteilt wird das explizite, persönliche Zugangsrecht als Anwender (Rolle Nutzer) für den im Voucher angegebenen Kreis. |
Der Link zur Aktivierung des Zugangs wird automatisch beim Erstellen eines Vouchers erzeugt. Alternativ werden dieser Link bzw. der angegebene Code an diejenigen Benutzer verteilt, die exklusiven Zugang erhalten sollen. Voucher können auch während des Registrierungsvorgangs eingelöst werden.
Grundsätzlich können pro Voucher mehrere Kreise bzw. mehrere Benutzergruppen definiert werden. Löst ein Benutzer einen Voucher ein, für den keine Benutzergruppe angegeben wurde, erhält er explizite Anwenderrechte. Löst ein Benutzer einen Voucher mit definierter Benutzergruppe ein, wird er der angegebenen Benutzergruppe zugeordnet und erhält die Zugangsrechte, die für die Gruppe festgelegt wurden, z. B. "Reporter" - d. h. der Benutzer erhält keine persönlichen Zugangsrechte. Auf diese Weise können die Zugangsrechte der Benutzer effizient per Benutzergruppe gesteuert werden.
Sobald es mindestens einen aktiven, gültigen Voucher im System gibt, wird auf der Willkommensseite die Schaltfläche "Registrieren" angezeigt. Wie viele Male ein Voucher bis zum aktuellen Zeitpunkt eingelöst wurde, kann vom Kreis- bzw. Serveradministrator in der Voucher-Übersicht des Server-Managers in der Rubrik "Sicherheit" in der Spalte "Verwendung" abgelesen werden. Mehr Details je eingelöstem Voucher können im Log nachgelesen werden - dort z. B. entsprechend nach "Voucher" filtern.
Da mit einem Voucher Zugang zu mehreren Kreisen gleichzeitig gewährt werden kann, ist bei der Voucher-Erstellung auf Überschneidungen zu achten. Die Rechtevergabe per Benutzergruppenzuordnung, die Definition des Voucher-Kontingents und des Ablaufdatums für Voucher bzw. Benutzergruppen werden empfohlen. Exklusiver Zugang zu einem Kreis ist nur dann gegeben, wenn der Kreis mit der Eigenschaft "nicht-öffentlich" versehen ist.
Mit Hilfe des Vouchers kann der Zugang zu definierten Kreisen ganz konkret gesteuert werden. Wird die Option "Manuelle Bestätigung" gewählt, ist ein zusätzlicher Workflow zwischengeschaltet, der die Prüfung desjenigen Benutzerkontos zulässt, welches den Voucher eingelöst hat. An dieser Stelle kann also auch manuell ein Verbot des Zugangs für ein konkretes Benutzerkonto ausgesprochen werden.
Ein Beispiel: So sieht der Workflow mit zusätzlicher Prüfinstanz aus:
- Der Benutzer registriert sich und löst dabei den Voucher ein, der ihm Zugang zu einem konkreten, nicht-öffentlichen Kreis gewähren soll.
- Der Benutzer erhält automatisch eine Nachricht mit dem Aktivierungslink an das von ihm angegebene Postfach. Er klickt auf den Link, um sein Benutzerkonto zu aktivieren, und ist nun am Server registriert. Er kann sich anmelden, hat jedoch noch keinen Zugang zu dem konkreten Kreis.
- Der Bearbeiter für diese Voucher erhält automatisch eine E-Mail-Nachricht darüber, dass der konkrete Benutzer Zugang beantragt hat. Falls der Bearbeiter bereits angemeldet ist, genügt es, dass er auf die Schaltfläche "Zugang erlauben" in der Nachricht klickt, um den Vorgang abzuschließen. Alternativ kann der Serveradministrator in der Übersicht "Ausstehende Anträge" im Servermanager jeweils Zugang erlauben bzw. verbieten.
- Der Benutzer wird automatisch per E-Mail darüber informiert, dass er nun Zugang zu dem konkreten Kreis erhalten hat. Er kann nun auf die Inhalte dieses Kreises zugreifen.
Die effiziente Zugangssteuerung per Voucher ist im Artikel Wie kann ich effizient den Zugang zu Maskito-Projekten steuern? beschrieben.
¶ JSON Web Token
Ab MASKITO Forms 7.1 bietet der FormServer JSON Web Token (JWT) zur Benutzerverwaltung ohne Active Directory an. JSON Web Token ist ein offener Standard und dient zur sicheren Übertragung von digital signierten und daher überprüfbar vertrauenswürdigen Informationen. In dem Token werden alle authentifizierungsrelevante Informationen eines Forms-Nutzerkontos gesendet, so dass der FormServer die Identität eines Benutzers bei Anmeldung feststellen kann (Single Sign-on).
Dazu ist im Servermanager des FormServers im Bereich “Sicherheit” eine JWT-Service-API zu aktivieren. Zu definieren sind außerdem ein öffentlich-privates Schlüsselpaar zum Verschlüsseln bzw. Verifizieren des Tokens sowie weitere Eigenschaften des Tokens wie z. B. Name, Gültigkeitsdauer etc.
¶ Hinweise
- Zugangsrechte zu Kreisen können ablaufen, z. B. per Ablaufdatum für den einzelnen Benutzer bzw. für eine Benutzergruppe.
- Die Kreiseigenschaft "
Manuelle Bestätigung" erlaubt es, über jede Zugangsbeantragung zu einem Kreis einzeln zu entscheiden und damit Überblick über die Benutzer zu bewahren. - Zusätzlich zur Kreiseigenschaft "
Manuelle Bestätigung" ist es möglich, per Domaineinschränkung nur vorgegebene E-Mail-Adressdomänen für die Registrierung zuzulassen.