Webdesk unterstützt folgende Authentifizierungs-Varianten:
Bei der datenbankinternen Authentifizierung werden
Username und Passwort der Benutzer innerhalb
der eigenen Datenbank gespeichert. Es besteht daher keine Abhängigkeit zu einem
Drittsystem für die Authentifizierung.
Bei der DB-internen Authentifizierung muss der Benutzer beim Einstieg in den
Webdesk in der Login-Maske seinen Usernamen und sein Passwort
eingeben. Dieses Paar wird dann gegen die Datenbank geprüft und falls Gleichheit
besteht, wird dann der Benutzer mit dem eingegebenen Usernamen am System
angemeldet.
Die Passwortverwaltung ist als Unterpunkt der Authentifizierung zu sehen (DB basierte Authentifizierung)
Um die DB-interne Authentifizierung als primäre oder sekundäre Authentifizierungsart zu aktivieren, muss der entsprechende Systemparamter (BeanProperty) gesetzt werden.
Die Passwörter werden in der Tabelle PoPassword gespeichert, zusammen mit ihrem Gültigkeitsdatum und einem Flag, das angibt, ob eine Änderung beim nächsten Einloggen erzwungen werden soll.
Bei der DB-internen Authentifizierung muss der Benutzer beim Einstieg in den Webdesk in der Login-Maske seinen Usernamen und sein Passwort eingeben. Dieses Paar wird dann gegen die Datenbank geprüft und falls Gleichheit besteht, wird dann der Benutzer mit dem eingegebenen usernamen am System angemeldet.
Für die Änderung des Passworts bestehen im Webdesk 2 Möglichkeiten:
Ist die Gültigkeit eines Passwortes abgelaufen, oder ist das
"Erzwinge-Passwort-Änderung" Flag in den Systemparametern
„PoPassword“ auf true gesetzt, so wird der Benutzer nach dem Einloggen
aufgefordert, sein Passwort zu ändern. Der übliche Dialog mit nochmaliger
Eingabe des alten Passwortes und doppelter Eingabe des neuen Passwortes folgt.
Nach erfolgreichem Ändern zeigt die Oberfläche eine Erfolgsmeldung und bietet
einen Link zum Starten der Applikation.
Weiters befindet sich auf der Login-Maske nun ein Hyperlink, der die Änderung des Passwortes für jeden beliebigen userNamen ermöglicht. Mit Klick darauf kommt man nach Eingabe eines userNamens in oben beschriebenen Passwort-Änderungs-Ablauf.
Mit den Einstellungen betreffend ein Passwort-Rücksetz-Mail kann eine Mailbenachrichtigung konfiguriert werden, die beim Rücksetzen des Passwortes auf einen Zufallswert generiert wird. Diese werden über die Systemparameter vorgenommen.
In "Erweiterte Funktionen" befinden sich oben bei "Modul-spezifische Aktionen" zwei Aktionen in der Auswahlbox:
Die Qualitätskriterien für die Passwörter können über die Systemparameter (Spring Beans Konfiguration) eingestellt werden. Folgende Qualitäts-Kriterien existieren (siehe Klasse PoPasswordQuality):
Will man den Ablauf von Passwörtern generell deaktivieren, so stellt man die validityDays auf den Wert -1
|
Modul |
Bean | Eigenschaft |
Erklärung |
Mögliche Werte |
|---|---|---|---|---|
|
po |
PoPasswordQuality |
minimalDigitsCount |
notwendige Anzahl Ziffern im neuen Password |
0-9 |
|
po |
PoPasswordQuality |
minimalLength |
die minimale Länge des neuen Passworts |
6 |
|
po |
PoPasswordQuality |
minimalSpecialCharactersCount |
notwendige Anzahl spezieller Zeichen wie "@" oder "!" im neuen Passwort |
1 |
|
po |
PoPasswordQuality |
numberOfDifferingLatestPasswords |
minimale Anzahl von verschiedenen Passwörtern, bis eines wiederholt werden darf |
3 |
|
po |
PoPasswordQuality |
requiresUpperAndLowerCharacters |
wenn true müssen sowohl klein- wie auch großgeschriebene Zeichen im neuen Passwort vorkommen |
true/false |
|
po |
PoPasswordQuality |
validityDays |
die Anzahl Tage, nach der das Passwort geändert werden muss |
60 |
|
po |
PoPasswordResetMail |
explicitRecipient |
Empfänger der Mail, wenn nicht PoPerson.email genommen werden soll. Ist diese Zahl 0 so müssen *ALLE* Passwörter sofort geändert werden. Ist diese Zahl -1, so müsssen die Passwörter *NIE* geändert werden. |
|
|
po |
PoPasswordResetMail |
senderMailAddress |
die als Absender einzusetzende Mail-Adresse |
office@workflow.at |
|
po |
PoPasswordResetMail |
subject |
Betreff-Zeile der Mail |
Your webdesk password has been reset |
|
po |
PoPasswordResetMail |
templateBody |
Mail-Text; muss die Variable $password (das neue Passwort) und kann $person.xxx (Personen-Daten) enthalten |
<html><body>Your webdesk password has been <b>reset</b>, please change it as soon as possible! Current password:<br/> $password Sincerly,Your Webdesk Administraton</body></html> |
|
po |
PoPasswordResetPolicy |
forcePasswordChangeAfterResetToRandomPassword |
"Erzwinge-Passwort-Änderung" Flag |
true/false |
|
po |
PoPasswordResetPolicy |
standardResetPassword |
Standard-Passwort, auf das rückgesetzt wird, falls „useUsernameAsStandardPassword“ auf false gesetzt ist |
webdesk |
|
po |
PoPasswordResetPolicy |
useUsernameAsStandardPassword |
UserName als Passwort |
true/false |
In "Erweiterte Funktionen" befinden sich bei den "Modul-spezifische Aktionen" zwei neue Aktionen in der Select-box:
Die Funktion "angemeldet bleiben" ist als Hilfe für jene
System-Installationen gedacht, wo kein SingleSignOn mit dem Betriebssystem
vorgesehen ist. Damit der Benutzer nicht jedes Mal sein Passwort neu eingeben
muss, kann beim Einloggen die Option "angemeldet bleiben" gewählt werden und
dadurch wird beim nächsten Aufruf von Webdesk von demselben Browser (im Kontext
desselben Windows Benutzers!) innerhalb eines Zeitraums von 7 Tagen die
letztgemerkte Benutzer/Passwort Kombination verwendet, um ein automatische Login
zu versuchen.
Benutzername u. Passwort werden dabei verschlüsselt in Cookies am Browser
gespeichert. Wie ist das Sicherheitsrisiko einzuschätzen? Wenn jemand Zugang
zum Computer des Benutzers hat und sich mit seinem Windows User einloggen kann,
so kann er auch seinen Webdesk öffnen (analog zum klassischen SSO Szenario).
Darüberhinaus werden die Infos nirgendwo zusätzlich gespeichert.
Damit diese Funktion verwendet werden kann, muss der Systemparameter po->AuthenticationOptions->allowRememberMe auf true gesetzt werden.