Skip to main content

Liebe Community,

 

wir haben bei allen Mitarbeitern das O Auth als Authentifizierung festgelegt.

Folglich sollte es nicht möglich sein sich einzuloggen mit einer Emailadresse, die nicht mit unserem Office365 verknüpft ist und eine Fehlermeldung anzeigen.

Ich habe ein Testprofil angelegt und diesem meine private Maiadresse zugewiesen, mit dieser konnte ich mich problemlos auch nach löschen der Cookies und in anderem Browser mit meiner privaten Mail anmelden.

Unsere IT sieht dies als erhebliches Sicherheitsrisiko, was können wir dagegen machen?

 

Liebe Grüße,
Cathrin Grolig

Hallo @grolig,

ein paar Fragen hierzu:

  1. Hast Du die Provider Einstellungen diesbezüglich geprüft?
  2. Habt Ihr bereits die Konfiguration getestet?
  3. Habt Ihr den Login für alle Mitarbeiter ausschließlich über OAuth über den Bereich Login Varianten und der entsprechenden Schaltfläche erlaubt?

Viele Grüße,
Karo


Liebe Karo,

vielen Dank für dein schnelles Feedback.

Kannst du die einzelnen Punkte noch genauer erläutern?

  1. Was meinst du mit Provider Einstellungen?
  2. Was meinst du mit Konfiguration gestestet? In Personio?
  3. Wo finde ich den Bereich Login Varianten? Wir haben über Einstellungen Authentifikator OAuth 2.0 aktiviert für alle Mitarbeiter.

Vielen Dank,
Cathi


Liebe Cathi @grolig,

alle Punkte zur Integration von O Auth inklusive der Infos zu meinen Fragen findest Du im Helpcenter Artikel Integration eines Authentifizierungs Providers in Personio. Schaue Dir das gerne einmal an und melde Dich, falls diesbezüglich noch etwas unklar ist. :)

Viele Grüße,
Karo


Hallo Karo,

vielen Dank für dein Feedback und den Hilfeartikel.

Ich habe nochmals mit unserem IT Admin gesprochen und er hat folgende Info gegegeben:

 

  • Wir haben die Provider Einstellungen für den Login via OAuth eingerichtet und die Konfiguration erfolgreich getestet.
  • Die Login Variante haben wir auf "Ausschließlich oAuth erlauben" eingestellt.
  • Unsere Tests haben gezeigt, dass das Setup grundsätzlich funktioniert: Ruft man direkt unsere Sub-Domain von personio.de über den Webbrowser auf, wir angezeigt, dass für die Organisation oAuth vorgegeben ist und man hat keine Möglichkeit, sich mit einer anderen Variante anzumelden. Die Authentisierung über den OAuth Dienst funktioniert dann auch problemlos und man wird korrekt eingelogt . So weit, so gut.
  • Wird jedoch bei der Anlage eines neuen Nutzers in Personio eine Einladungs-Email versendet, gelangt dieser über den Link in dieser Email zu einer Anmeldemaske, die mit Nutzername und Passwort erfolgreich den Login durchführt.

Dies empfinden wir als Sicherheitslücke. Wir erwarten, dass bei der Einstellung "Ausschließlich oAuth erlauben", diese nicht per Einladungs-Email umgangen werden kann, da somit auch die Multi-Faktor-Authentifizierung umgangen wird.

 

Liebe Grüße,

Cathrin


Hallo Cathrin @grolig,

es ist tatsächlich so, dass ein Mitarbeiter sich rein theoretisch mit E-Mail Adresse und Passwort anmelden kann, wenn Ihr ihm eine Einladung zu Personio schickt. Es ist daher wichtig, dass Ihr keinen Mitarbeiter über das System einladet und wir empfehlen Euch, nur wenn wirklich notwendig, Zugriffsrechte auf den Bereich Konten verwalten unter Einstellungen > Mitarbeiterrollen > Zugriffsrechte zu vergeben. So stellt Ihr sicher, dass nur berechtigte Mitarbeiter ein Passwort generieren können.

 

Viele Grüße,
Karo


Liebe Cathrin @grolig,

ich habe Euren Punkt nochmal mit einer Kollegin besprochen und würde Dich diesbezüglich einmal direkt per Mail kontaktieren, damit wir uns das in Eurem Account ansehen können. 

Viele Grüße,
Karo


Liebe Cathrin @grolig,

wie schon per E-Mail mitgeteilt muss ich meine Aussage von weiter oben einmal korrigieren. Sobald ihr die Anmeldung bei Personio ausschließlich mit oAuth erlaubt ist auch bei Einladung eines Mitarbeiters zu Personio über das Tool keine Anmeldung per E-Mail und Passwort mehr möglich.

Viele Grüße,
Karo


Deine Antwort