Skip to main content

SysConfig-Einstellungen für Nutzer

Sie können Sie das Verhalten des Systems für angemeldete Nutzer beeinflussen.

Verwenden Sie dazu nachfolgende SysConfig-Schlüssel im Menü System > SysConfig:

API::Validator::Module###UserPasswordValidator

Definiert die Passwort-Richtlinien

Hinweis

Die Validierung erfolgt nur auf der API-Ebene. Es erfolgt keine Prüfung von Passwörtern, die über Jobs erstellt werden.

Die Konfiguration der Passwort-Richtlinien erfolgt unter dem Eintrag Config{...}:

Parameter

Beschreibung

Checks

Array von Regeln, die geprüft werden

  • RegExp: Regulärer Ausdruck, der geprüft wird (Pflichtangabe)

  • MinCount: Mindestanzahl der Vorkommen von RegExp

  • MaxCount: Maximale Anzahl der Vorkommen von RegExp

  • Required: Legt fest, dass dieser Eintrag immer erfüllt sein muss

Beispiel:

Im Beispiel muss das Passwort folgenden Regeln entsprechen:

  • Das Passwort muss mindestens 2 Großbuchstaben enthalten

  • Das Passwort muss mindestens 3 Kleinbuchstaben enthalten

  • Das Passwort muss mindestens 1 Ziffer enthalten

  • Das Passwort kann mindestens 1 Umlaut enthalten

{
  "MinCount": "2",
  "RegExp": "[A-Z]",
  "Required": "1"
},
{
  "MinCount": "3",
  "RegExp": "[a-z]",
  "Required": "1"
},
{
  "MinCount": "1",
  "RegExp": "[0-9]",
  "Required": "1"
},
{
  "MinCount": "1",
  "RegExp": "[äAöÖüÜ]",
  "Required": "0"
}

MaxSize

Maximale Länge des Passworts

MinChecks

Mindestanzahl an Checks, die erfüllt sein müssen

MinSize

Mindestlänge des Passwortes

Standard: 6 (Zeichen)

RequirementMessage

Der in einer Fehlermeldung anzuzeigende Text (übersetzbar).

Der Text wird angezeigt, wenn MinSize, MaxSize, MinChecks oder ein benötigter Eintrag in Checks nicht erfüllt ist.

Stopwords

Array von Wörtern, die unabhängig der Groß-/Kleinschreibung NICHT im Passwort vorkommen dürfen.

Eine Fehlermeldung zeigt das verwendete Wort an.

Beispiel:

{
  "Config": {
    "Checks": [
      {
        "MinCount": "2",
        "RegExp": "[A-Z]",
        "Required": "1"
      },
      {
        "MinCount": "2",
        "RegExp": "[a-z]",
        "Required": "1"
      },
      {
        "MinCount": "1",
        "RegExp": "[0-9]",
        "Required": "1"
      }
    ],
    "MaxSize": null,
    "MinChecks": null,
    "MinSize": "6",
    "RequirementMessage": "Password has to be at least 6 characters long. It needs at least 2 upper case, 2 lower case and 1 digit.",
    "Stopwords": null
  },
  "ConsiderOperationRegEx": "User(Create|Update)",
  "IgnoreOperationRegEx": null,
  "Module": "Kernel::API::Validator::UserPasswordValidator",
  "Validates": "UserPw"
}

Authentication::MaxLoginFailed

Anzahl möglicher Fehlversuche beim Log-in

In diesem Konfigurationsschlüssel ist die Anzahl möglicher Fehlversuche eines Nutzer-Log-ins definiert. Hat ein Nutzer die hier angegebene Anzahl an Fehlversuchen erreicht, wird dessen Log-in gesperrt. Der Nutzer wird dazu temporär ungültig gesetzt.

Standard: 5

Authentication###000-Default

Einrichtung der Authentifizierung und Autorisierung

Die Einrichtung der Authentifizierungs-Backends erfolgt über die Konfiguration des JSON-Strings im SysConfig-Schlüssel. Der enthaltene JSON-String ist bereits grundlegend vorbereitet. Für die Verwendung eines LDAP-Verzeichnisdienstes müssen lediglich die entsprechenden Parameter wie Domain, Pfad, Verzeichnis und Attribute angegeben werden.

Ausführliche Informationen siehe: Authentifizierung/Autorisierung und Anbindung Active Directory

Daemon::SchedulerCronTaskManager::Task###AuthSynchronize

Synchronisiert Authentifizierungs-Backends

Synchronisiert die im Konfigurationsschlüssel Authentication###000-Default unter "ContactUserSync" angegebenen Kontaktdaten in KIX mit dem konfigurierten Verzeichnisdienst.

Wichtig

Der Konfigurationsschlüssel ist initial deaktiviert. Wenn Sie ihn aktivieren, sollte diese Synchronisation etwaige Jobs zum Verzeichnisdienstabgleich ersetzen.

Siehe auch: ???

Beispiel für ContactUserSync:

"ContactUserSync": {
  "City": "l",
  "DynamicField_ContactRole": "title",
  "Email": "mail",
  "Fax": "facsimileTelephoneNumber",
  "Firstname": "givenname",
  "Lastname": "sn",
  "Mobile": "mobile",
  "Phone": "telephoneNumber",
  "Street": "streetAddress",
  "Title": "title",
  "UserLogin": "sAMAccountName",
  "Zip": "postalCode"
}

Beispiel für AuthSynchronize: 

{
  "Function": "Execute",
  "MaximumParallelInstances": "1",
  "Module": "KIXPro::Kernel::System::Console::Command::Maint::Auth::Sync::Synchronize",
  "Params": [
    "--invalidate-unsynced",
    "--page-size",
    "100"
  ],
  "Schedule": "0 4 * * *",
  "TaskName": "AuthSynchronize"
}

Parameter

Beschreibung

Schedule

Definiert die Uhrzeit der Synchronisation

Standard (04:00 Uhr): 0 4 * * *

--page-size

Anzahl der pro Durchlauf abgerufenen Datensätze

Standard: 100

--invalidate-unsynced

Legt fest, dass ungültige Parameter des Verzeichnisdienstes nicht abgerufen werden.

MultiFactorAuthentification###000-Default

De-/Aktivieren der Multifaktor-Authentifizierung

De-/Aktiviert die Multifaktor-Authentifizierung (kurz: MFA) zur Überprüfung der Zugangsberechtigungen der KIX Nutzer.

Die Multifaktor Authentifizierung wird als zusätzliches Authentifizierungsbackend für Kunden- oder Agentenkontext eingerichtet. Anschließend müssen Sie in den Nutzereinstellungen für die betreffenden Nutzer die MFA aktivieren und die OTP-Secrets generieren.

Parameter

Beschreibung

Enabled

De-/Aktiviert die Multifaktor-Authentifizierung

Der Schlüssel ist initial "gültig", jedoch deaktiviert: "enabled": 0.

Zum Aktivieren der Multifaktor-Authentifizierung setzen Sie den Parameter "enabled": 1

Die Multifaktor-Authentifizierung muss aktiviert sein, damit sie in der Nutzerkonfiguration zur Verfügung steht.

UsageContext

Optional: Legt fest, für welches Portal die Multifaktor-Authentifizierung gilt.

Hinweis

Darf nur angegeben werden, wenn die Authentifizierungs-Methode eingeschränkt werden soll.

  • Nur für Agentenportal: "UsageContext":"Agent"

  • Nur für Self Service Portal: "UsageContext":"Customer"

  • Für beide Portale:

    2 separate Authentifizierungs-Backends erforderlich

    [
  {
    "AuthType":"LOGIN",
    "Config":{
        "Algorithm":"SHA1",
	"AllowEmptySecret": 1,
	"Digits": 6,
	"MaxPreviousToken": 0,
	"SecretLength": 8,
	"TimeStep": 30
    },
    "Enabled": 1,
    "Module":"Kernel::System::Auth::MFA::TOTP",
    "Name":"TOTP-Agent",
    "UsageContext":"Agent"
  },
  {
    "AuthType":"LOGIN",
    "Config":{
        "Algorithm":"SHA1",
	"AllowEmptySecret": 1,
	"Digits": 6,
	"MaxPreviousToken": 0,
	"SecretLength": 8,
	"TimeStep": 30
    },
    "Enabled": 1,
    "Module":"Kernel::System::Auth::MFA::TOTP",
    "Name":"TOTP-Customer",
    "UsageContext":"Customer"
  }
]

Name

Frei konfigurierbarer Name des MFA-Backends

Haben Sie mehrere Authentifizierungs-Backends konfiguriert, können Sie jedem einen anderen Namen geben. So können Sie die einzelnen Authentifizierungs-Backends in der Nutzerkonfiguration unterscheiden.

MFA_name.png

Default: TOTP-Example

TokenCheckRemoteIP

Prüfung von Zugangs-Token und IP-Adresse (auch für Field Agent App)

  1. De-/Aktiviert die feste Zuordnung zwischen Zugangstoken und IP-Adresse.

    Deaktivieren Sie diese Einstellung, wenn korrekt authentifizierte Nutzer "plötzlich" keinen Zugriff mehr haben und eine neue Anmeldung erfolgen muss.

    Häufige Ursachen sind, dass KIX hinter Proxy-Servern eingesetzt wird oder wechselnde IP-Adressen vergeben werden.

  2. Bei Nutzung der Field Agent App: De-/Aktiviert die Überprüfung der entfernten IP-Adresse

    Der Wert sollte auf 0 (Nein) gesetzt werden, wenn die Anwendung z. B. über eine Proxy-Farm oder eine Einwahlverbindung verwendet wird, da die Remote-IP-Adresse für die Anfragen meist unterschiedlich ist.

TokenMaxIdleTime

Maximale Dauer einer inaktiven Anmeldung

Definiert die maximale Dauer einer untätigen, inaktiven Anmeldung in Anzahl von Minuten.

Nach der hier definierten Anzahl von Minuten ohne Nutzeraktivität wird der Zugangstoken ungültig gesetzt. Der Nutzer muss sich daraufhin erneut anmelden/authentifizieren.

TokenMaxTime

Definiert die maximale Dauer einer Anmeldung

Nach der hier definierten Anzahl von Minuten wird der Zugangstoken ungültig gesetzt. Der Nutzer muss sich daraufhin erneut anmelden/authentifizieren.

Konsolen-Kommandos für Nutzer

Das System prüft periodisch (1/15min) ob abgelaufene oder ungültige Anmeldetoken existieren und beseitigt diese.

  • Manuelle Sichtung mittels Konsole-Kommando: Console::Command::Admin::Token::List

  • Manuelle Beseitigung mittels Konsole-Kommando: Console::Command::Admin::Token::Remove --expired

In diesem Abschnitt: