Konfigurieren von sicherer Authentifizierung, Benutzerkonten und Kennwörtern

ccppmop1591
HID_admin_configure_security
Kennwortrichtlinien konfigurieren, Benutzer sperren oder entsperren und Kennwörter zurücksetzen: das Verwalten der Authentifizierung ist ein wichtiger Bestandteil Ihrer Sicherheitsrichtlinien. Als Administrator müssen Sie sicherstellen, dass unbefugte Benutzer keinen Zugriff auf Systemressourcen oder vertrauliche Informationen erlangen.
Verwenden Sie die folgenden Optionen des globalen Benutzerkontos, um das Sitzungs- und Kennwortverhalten für alle Benutzer zu konfigurieren:
Sitzungsoptionen
Sie können die Anzahl der ungültigen Anmeldeversuche beschränken, und Sie können angeben, wie lange Benutzersitzungen inaktiv sein können, bevor Benutzer abgemeldet werden. Legen Sie zum Beispiel den Wert 3 als Anzahl der Wiederholungen fest, die ein Benutzer eine ungültige Anmeldung eingeben kann, und legen Sie die Minuten der Inaktivität auf 30 fest.
Statusoptionen des Benutzerkontos
Gibt den Status von einem oder von mehreren Benutzern als
Aktiv
,
Inaktiv
oder
Sperre
an. Zum Beispiel wird ein Benutzer beurlaubt. Sie können den entsprechenden Status auf
Inaktiv
festlegen. Inaktive Benutzer können sich nicht anmelden, und Manager können diese inaktiven Benutzer nicht Projekten zuweisen. Wenn der Benutzer zurückkehrt, legen Sie den entsprechenden Status wieder auf
Aktiv
fest.
Kennwortoptionen
Sie können die folgenden
standardmäßigen Kennwortrichtlinien
anpassen:
  • Kennwort und Benutzername dürfen nicht übereinstimmen.
  • Mindestlänge des Kennworts ist acht Zeichen, einschließlich mindestens eines Großbuchstabens, eines Kleinbuchstabens, einer Zahl und eines Sonderzeichens.
  • Ein Kennwort kann nur dann wiederverwendet werden, wenn bestimmte Bedingungen erfüllt sind. Sie können z. B. die Wiederverwendung eines Kennworts erlauben, wenn 60 Tage vergangen sind und nachdem vier aufeinanderfolgende eindeutige Kennwörter zugewiesen wurden.
Sie können auch die standardmäßigen Kennwortrichtlinien überschreiben, indem Sie die Option
Benutzerdefinierter Ausdruck
auswählen und Ihren eigenen regulären Ausdruck für ein Kennwort angeben.
Das folgende Diagramm beschreibt, wie ein Administrator die Benutzerauthentifizierung konfiguriert und verwaltet:
Verwalten der Authentifizierung
Manage Authentication
Überprüfen der Voraussetzungen für das Verwalten der Authentifizierung
Die Begriffe
Benutzer
und
Ressource
sind ähnliche Begriffe, wenn Sie die Daten einer Person in der Anwendung verwalten. (Projektarbeiten werden normalerweise von Menschen ausgeführt. Allerdings nähern wir uns dem Jahr 2020, und wir leben im Zeitalter selbstfahrender Autos, komplexer Robotertechnik und anderer neuer Technologien. Technisch gesehen kann ein Roboter eine Ressource in der Anwendung sein und über ein eigenes Benutzerkonto verfügen.) Ein
Benutzer
bezieht sich auf ein Benutzerkonto, das eine Person verwendet, um sich bei der Anwendung anzumelden und um die Benutzeroberfläche zu bearbeiten. Als Administrator verwalten Sie die Authentifizierung für Benutzer. Eine
Ressource
steht für einen Benutzer, der Arbeiten in der Anwendung für eine oder mehrere Investitionen ausführt. Ressourcen werden von ihren Ressourcen- oder Projektmanagern zu Projektteams hinzugefügt.
  • Um Benutzer, Konten, Kennwörter und Zugriffsrechte anzuzeigen, klicken Sie auf
    Verwaltung
    ,
    Organisation und Zugriff
    ,
    Ressourcen
    .
  • Um Ressourcen, Qualifikationen, Zuordnungen und Kalender anzuzeigen, klicken Sie auf
    Startseite
    ,
    Ressourcenmanagement
    ,
    Ressourcen
    .
Zum Beispiel ist eine Ressource verschiedenen Aufgaben in zwei Projekten zugewiesen. Diese Person meldet sich wöchentlich an (als Benutzer), um ihr Zeitformular auszufüllen (als Ressource). Der Benutzer vergisst sein Kennwort und fordert ein Zurücksetzen an. Sie setzen das Kennwort zurück, indem Sie die Seite
Ressource
unter dem Menü
Verwaltung
aktualisieren.
Um die Vorgänge in diesem Artikel als Administrator durchzuführen, müssen folgende Voraussetzungen erfüllt sein:
  • Weisen Sie sich folgende Zugriffsrechte zu:
Verwaltung – Zugriff
Verwaltung – Anwendung – Einrichtung
Verwaltung – Autorisierung
Verwaltung – Ressourcen
Ressource – Bearbeiten – Alle
  • Klicken Sie auf
    Verwaltung
    ,
    Organisation und Zugriff
    ,
    Ressourcen
    , und erstellen Sie einen oder mehrere Benutzer.
  • Stellen Sie sicher, dass Benutzer ihren Webbrowser auf den Client-PCs so einstellen, dass Cookies für Sitzungsverfolgung akzeptiert werden.
Konfigurieren allgemeiner Sitzungslimits
Geben Sie Einschränkungen für alle Benutzersitzungen an, um den Zugriff durch unbefugte Benutzer zu verhindern. Legen Sie zum Beispiel fest, wie oft ein Benutzer ein ungültiges Kennwort eingeben kann, bevor er gesperrt wird.
Gehen Sie wie folgt vor:
  1. Klicken Sie auf "Verwaltung", und klicken Sie unter "Allgemeine Einstellungen" auf "Systemoptionen".
  2. Füllen Sie im Bereich "Sitzungsoptionen" die folgenden Felder aus, und speichern Sie Ihre Änderungen:
    • Maximale Anmeldeversuche
      Gibt an, wie viele Anmeldeversuche maximal nacheinander ausgeführt werden können, bevor das Benutzerkonto gesperrt wird. Geben Sie eine Zahl größer als 0 ein, um diese Option zu aktivieren.
      Beschränkung:
      0-99
      Standard
      : 0 (Deaktiviert)
    • Minuten der Inaktivität bis Abmeldung
      Definiert die inaktiven Minuten, nach deren Ablauf der Status eines Benutzers in einen gesperrten Status umgeändert wird. Geben Sie 0 ein, um die Option zu deaktivieren.
      Beschränkung:
      0 - 999
      Standard
      : 60 (Aktiviert)
      Es wird empfohlen, die folgenden Zeitüberschreitungseinstellungen zu synchronisieren. Wenn die Zeitüberschreitungseinstellungen nicht für alle Anwendungen synchronisiert werden, überschreibt die Einstellung mit dem kürzesten Zeitlimit die anderen Einstellungen.
  • Sitzungszeitüberschreitung für Jaspersoft-Benutzer
    : Betrifft nur Benutzer, die erweiterte Berichterstellung verwenden. Um die Sitzungszeitüberschreitung für Jaspersoft-Benutzer zu ändern, ziehen Sie die Dokumentation zu Jaspersoft Server in der Jaspersoft-Community heran. Standardmäßig ist die Sitzungszeitüberschreitung für Jaspersoft-Benutzer auf 70 Minuten festgelegt.
  • Sitzungszeitüberschreitung für Single Sign-On-Benutzer (SSO)
    : Betrifft Benutzer, die das Produkt mit SSO verwenden. Möglicherweise verwendet das SSO-System eine Sitzungszeitüberschreitung, durch die die Benutzersitzung beim Produkt abläuft.
Konfigurieren der allgemeinen Kennwortoptionen
Konfigurieren Sie Kennwortoptionen, um sicherzustellen, dass unbefugte Benutzer Kennwörter nicht einfach identifizieren können. Zum Beispiel können Sie eine Regel festlegen, nach der Kennwörter aus mindestens acht Zeichen bestehen und einen Großbuchstaben sowie einen numerischen Wert enthalten müssen.
Gehen Sie wie folgt vor:
  1. Klicken Sie auf
    Verwaltung
    ,
    Allgemeine Einstellungen
    ,
    Systemoptionen
    .
  2. Wählen Sie im Bereich
    Kennwortoptionen ändern
    einen Wert für das Feld
    Kennwortregeln
    aus.Sie können Kennwortregeln nach
    Richtlinie
    oder nach
    Benutzerdefinierter Ausdruck
    verwalten.
  3. Um Kennwortregeln nach Richtlinie festzulegen, klicken Sie auf
    Richtlinie
    , und geben Sie Werte für die minimale Kennwortlänge und Anforderungen für Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen ein. Geben Sie in
    Minimale Kennwortlänge
    einen Wert zwischen 5 und 40 als Mindestanzahl an Zeichen für ein Kennwort ein. Die Anwendung fordert die Benutzer auf, ihre Kennwörter zu ändern, wenn sie eine Regel verletzen.
  4. Um Kennwortregeln nach einem Ausdruck festzulegen, klicken Sie auf
    Benutzerdefinierter Ausdruck
    , und definieren Sie im Feld "Regulärer Ausdruck" eine Ausdruckszeichenfolge für alle Kennwörter. Das von einem Benutzer erstellte Kennwort muss mindestens einem der folgenden Zeichenwerte entsprechen:
    ^ - Beginn des Ausdrucks.
    (?=.*[a-z]) - Alle kleingeschriebenen alphanumerischen Zeichen sind zulässig.
    (?=.*[A-Z]) - Alle großgeschriebenen alphanumerischen Zeichen sind zulässig.
    (?=.*[~'[email protected]#$%^&*)(-+=]) - Alle Sonderzeichen sind zulässig.
    .{min,max}$ – die vorgegebene Kennwortlänge, wobei "min" für die erforderliche Mindestanzahl an Zeichen und "max" für die Höchstanzahl an Zeichen steht. Um nur die Mindestlänge festzulegen, geben Sie keinen Wert für die Höchstlänge ein. Um nur die maximale Länge festzulegen, geben Sie keinen Wert für die minimale Länge ein. Geben Sie zum Beispiel .{8,}$ ein, um festzulegen, dass das Kennwort mindestens acht Zeichen enthalten muss.
    $ - Ende des Ausdrucks.
  5. Für benutzerdefinierte Ausdrücke können Sie auch eine Meldung im Feld
    Fehlermeldung
    festlegen. Den Benutzern, die nicht ordnungsgemäß formatierte Kennwörter eingeben, wird die benutzerdefinierte Fehlermeldung angezeigt. Beispiel:
    Invalid password. Enter a valid password with at least 8 characters, 1 uppercase letter, and 1 number.
  6. Um die neue Kennwortrichtlinie sofort durchzusetzen, klicken Sie auf
    Kennwortänderung erzwingen
    .
    Die Anwendung erzwingt, dass alle Benutzer ihr Kennwort bei der nächsten Anmeldung ändern müssen.
  7. Speichern Sie Ihre Änderungen.
Beispiel für einen Ausdruck
: Richten Sie eine Regel ein, die festlegt, dass ein Kennwort alphanumerische Zeichen oder Sonderzeichen in Klein- oder Großbuchstaben enthalten kann und zwischen 8 und 16 Zeichen lang sein muss.
^ (?=.*[a-z]) (?=.*[A-Z]) (?=.*[~'[email protected]#$%^&*)(-+=]) .{8,16}$
Festlegen des Status eines Benutzerkontos
Verwenden Sie die Eigenschaft "Status" der Ressource, um anzugeben, ob sich ein Benutzer anmelden und auf die Anwendung zugreifen kann.
  • Wenn Sie einen Benutzer (Ressource)
    aktivieren
    , können Projektmanager und Ressourcenmanagern diesen Benutzer (Ressouce) zu Projekten hinzufügen.
  • Wenn Sie einen Benutzer
    deaktivieren
    , kann sich dieser Benutzer nicht mehr anmelden, und Manager können den Benutzer nicht als Ressource zu Projekten hinzufügen. Die Anwendung behält alle Informationen der inaktiven Benutzer bei, und Sie können die Benutzer zu einem späteren Zeitpunkt erneut aktivieren.
  • Wenn zu viele Authentifizierungsversuche für eine Benutzersitzung fehlgeschlagen,
    sperrt
    das System das Benutzerkonto, um weitere Versuche zu verhindern. Als Administrator können Sie das Benutzerkonto wieder auf
    Aktiv
    ändern.
Sie können den Zugriff für einen oder mehrere Benutzer gleichzeitig ändern.
Wenn LDAP ausgeführt wird, können Sie immer nur den Status jeweils eines Benutzers ändern. Weitere Informationen zu Authentifizierung und LDAP finden Sie in den Installationsinhalten oder von Ihrem LDAP-Administrator.
Gehen Sie wie folgt vor:
  1. Klicken Sie auf
    Verwaltung
    ,
    Organisation und Zugriff
    ,
    Ressourcen
    .
  2. Wählen Sie eine oder mehrere Ressourcen aus, und klicken Sie auf eine der folgenden Schaltflächen:
    • Aktivieren
      : aktiviert einen oder mehrere Benutzer, sodass sie Projekten hinzugefügt werden können.
    • Deaktivieren
      : deaktiviert einen oder mehrere Benutzer. Es wird verhindert, dass sich die Benutzer anmelden, und Projektmanager können diese Benutzer nicht als Ressourcen zu Projekten hinzufügen.
    • Sperre
      : sperrt einen oder mehrere Benutzer. Es wird verhindert, dass sich die Benutzer anmelden.
  3. Speichern Sie Ihre Änderungen.
Vor Version 15.3 erhielten Benutzer auf der Anmeldeseite eine Bestätigung, wenn ihr Konto gesperrt wurde, weil das Kennwort zu oft falsch eingegeben wurde. Die folgende Meldung wurde angezeigt:
CMN-10003: Invalid login information. Your account has been locked.
Ab Version 15.3 wird aus Sicherheitsgründen die folgende Meldung angezeigt:
CMN-01002: User name and password invalid. Note that the password is case-sensitive.
Wie so oft bei Sicherheitsproblemen handelt es sich bei dieser Änderung um einen Kompromiss. Nicht autorisierte Zugriffsversuche oder erzwungene Kontosperrungen führen nicht mehr zu einer unbeabsichtigten Bestätigung des Benutzerkontos. Allerdings wissen Benutzer nun nicht mehr, wann sie die
maximalen Anmeldeversuche
überschritten haben und ihr Konto gesperrt wird.
Zurücksetzen eines Benutzerkennworts
Setzen Sie ein Benutzerkennwort zurück, wenn der Benutzer das Kennwort verliert oder wenn das Kennwort gefährdet ist. Wenn ein Benutzer z. B. sein Kennwort vergessen hat, können Sie ihm temporäres Kennwort zur Verfügung stellen. Der Benutzer kann den Wert bei seiner nächsten Anmeldung ändern. Aufgrund von fehlgeschlagenen Authentifizierungsversuchen kann die Anwendung für einen Benutzer gesperrt werden. Als Administrator können Sie den Benutzer erneut aktivieren, ein neues temporäres Kennwort zuweisen, und Sie können anschließend einstellen, dass der Benutzer bei der nächsten Anmeldung ein neues Kennwort festlegen muss.
Wenn Sie für die Authentifizierung LDAP verwenden, verwenden Sie für das Zurücksetzen von Kennwörtern ebenfalls LDAP. Weitere Informationen zu Authentifizierung und LDAP finden Sie in den Installationsinhalten oder von Ihrem LDAP-Administrator.
Gehen Sie wie folgt vor:
  1. Klicken Sie auf
    Verwaltung
    ,
    Organisation und Zugriff
    ,
    Ressourcen
    .
  2. Öffnen Sie eine Ressource.
  3. Geben Sie ein temporäres Kennwort in den Feldern
    Kennwort
    und
    Kennwort bestätigen
    ein.
  4. Senden Sie dem Benutzer eine E-Mail mit dem temporären Kennwort.
  5. Wählen Sie das Kontrollkästchen
    Kennwortänderung erzwingen
    aus, um sicherzustellen, dass der Benutzer bei der nächsten Anmeldung das temporäre Kennwort zurücksetzt.
  6. Speichern Sie Ihre Änderungen.
Erzwingen, dass Benutzer ihr Kennwort zurücksetzen
Legen Sie fest, dass Benutzer ihr altes Kennwort mit einem neuen Kennwort zurücksetzen, wenn ihre Anmeldeinformationen nicht mehr sicher sind.
Wenn Sie für die Authentifizierung LDAP verwenden, verwenden Sie für das Zurücksetzen von Kennwörtern ebenfalls LDAP. Weitere Informationen zu Authentifizierung und LDAP finden Sie unter
Installing and Upgrading
, oder kontaktieren Sie Ihren LDAP-Administrator.
Gehen Sie wie folgt vor:
  1. Klicken Sie auf
    Verwaltung
    ,
    Organisation und Zugriff
    ,
    Ressourcen
    .
  2. Öffnen Sie eine Ressource.
  3. Wählen Sie
    Kennwortänderung erzwingen
    aus.
  4. Speichern Sie Ihre Änderungen.
    Bei ihrer nächsten Anmeldung müssen sich Benutzer mit ihren aktuellen Anmeldeinformationen authentifizieren, bevor sie ein neues Kennwort auswählen.
Erzwingen, dass alle Benutzer ihre Kennwörter zurücksetzen
Sie können festlegen, dass alle Benutzer ihre Kennwörter bei der nächsten Anmeldung zurücksetzen müssen. Als Änderung der Sicherheitsrichtlinien können Sie Beispiel die Kennwortzeichenlänge von sechs auf acht Zeichen erhöhen. Nach der Änderung können Sie erzwingen, dass alle Benutzer ihre Kennwörter ändern, um den neuen Anforderungen zu entsprechen.
Gehen Sie wie folgt vor:
  1. Klicken Sie auf
    Verwaltung
    ,
    Allgemeine Einstellungen
    ,
    Systemoptionen
    .
  2. Klicken Sie im Bereich
    Kennwortoptionen ändern
    auf
    Kennwortänderung erzwingen
    .
  3. Speichern Sie Ihre Änderungen.