Sicherheitseinstellungen

Aus Onlinehelp
Zur Navigation springen Zur Suche springen

Zu den Grundeinstellungen gehören die Sicherheitseinstellungen, wo der Zugriff auf Ihre Lösung eingeschränkt werden kann.

IP-Ranges

In diesem Bereich kann eingeschränkt werden, mit welchen IP-Adressen auf welche Seiten der Umantis-Lösung zugegriffen werden kann. Ohne einen Eintrag in diesem Bereich kann die Lösung aus dem ganzen Internet erreicht werden. Um eine neue Einschränkung hinzuzufügen, klicken Sie auf Neue IP-Range eingeben.

Einstellungen

Der Loginname bzw. die E-Mail-Adresse darf maximal 250 Zeichen lang sein.

Loginsperre

  • Loginsperre (Anzahl Versuche):
Legen Sie fest, wie oft ein falsches Passwort eingegeben werden kann, bis der Zugang gesperrt wird. Die maximale Anzahl an Loginversuchen beträgt 20. Standardwert sind 10 Versuche.
  • Dauer der Loginsperre (Anzahl Minuten):
Legen Sie die Dauer der Sperre fest. Die minimale Dauer der Sperre beträgt 5 Minuten. Standardwert sind 60 Minuten.

Passwort

Wenn eine Gültigkeit bei Passwörtern gesetzt wird, dann hat diese Einstellung keinen Einfluss auf SSO Nutzer, hier gelten die Richtlinien welche durch das Unternehmen gesetzt wurde.

Umantis speichert alle Passwörter verschlüsselt mit PBKDF2 ab.

  • Zusätzliche Passwortsicherheit:
Legen Sie fest, ob das Passwort komplex sein muss, d.h. Sonderzeichen, Zahlen, Gross- und Kleinbuchstaben enthalten muss.
  • Gültigkeit Passwort (Anzahl Tage):
Legen Sie fest, wie viele Tage das Passwort gültig sein soll.
  • Gültigkeitsdauer Authentifizierungsschlüssel (Anzahl Tage):
Geben Sie hier die Gültigkeitsdauer des Authentifizierungsschlüssels an. Legen Sie somit den Zeitraum fest, in dem der Zugriff auf relevante Prozesse - über die jeweils per E-Mail versendeten URLs - möglich sein soll. Im Umantis Bewerbermanagement betrifft dies die Prozesse der (Dritt-)Beurteilungen, Assessments und Genehmigungen einer Stelle. Im Umantis Mitarbeitermanagement handelt es sich um die Prozesse der (Dritt-)Beurteilungen und Genehmigungen von Veranstaltungsteilnahmen. Die an dieser Stelle festgelegte Gültigkeitsdauer wird in der jeweils versendeten E-Mail ebenfalls angezeigt ("Dieser Link ist für maximal XX Tage gültig"). Passen Sie Ihre bestehenden Vorlagen ggf. mit folgendem Abschnitt [IF LoginKeyValidity.LifeTimeInDays](Dieser Link ist für maximal [LoginKeyValidity.LifeTimeInDays] Tag(e) gültig.) [END] an.
  • Gültigkeitsdauer Passwort-Link (Anzahl Stunden):
Geben Sie die Gültigkeitsdauer des Authentifizierungsschlüssels zum Setzen eines neuen Passworts an. Nach dem Ablauf des hier festgelegten Zeitraums (in Stunden) ist der Link zum Zurücksetzen des Passworts nicht mehr gültig. Sofern hier kein Zeitraum definiert ist, beträgt die Gültigkeit 24 Stunden. Die maximale Gültigkeit beträgt 72 Stunden.
  • Minimale Passwortlänge (Anzahl Zeichen):
Legen Sie die minimale Passwortlänge fest. Standardwert sind 6 Zeichen.
  • Passwort Historie (Anzahl Wiederholungen):
Legen Sie fest, wie oft dasselbe Passwort nicht gesetzt werden darf
  • Session Timeout / Automatische Abmeldung (Anzahl Minuten):
Beachten Sie bitte, dass die Sitzung automatisch geschlossen wird, sobald alle Tabs/Fenster eines Browsers geschlossen werden, in denen die Umantis-Sitzung aktiv war.
Legen Sie hier fest, nach wie vielen Minuten Inaktivität ein Benutzer automatisch abgemeldet/ausgeloggt wird. Wenn kein Wert hinterlegt wird, erfolgt eine automatische Abmeldung nach acht Stunden Inaktivität.
  • Hinweismeldungen:
    Um Datenverlust zu vermeiden, werden Sie durch Hinweismeldungen auf den Ablauf der Sitzungsdauer und eine fehlende Internetverbindung aufmerksam gemacht:
  • Automatische Abmeldung in:
    Nach Ablauf von 90% der eingestellten Sitzungsdauer (unter "Automatische Abmeldung (Anzahl Minuten)"), erscheint eine Hinweismeldung, die Ihnen die Möglichkeit bietet, die Sitzung zu verlängern:
    Ihre Sitzung endet nach dieser Zeit und Sie werden automatisch vom System abgemeldet. Nicht gespeicherte Änderungen gehen gegebenenfalls verloren. Klicken Sie auf "Sitzungsdauer verlängern", um die automatische Abmeldung abzubrechen und die Sitzungsdauer zu verlängern.
  • Ihre Sitzung ist abgelaufen!
    Ist Ihre Sitzung (Session) abgelaufen, erscheint ebenfalls eine Hinweismeldung:
    Die aktuelle Sitzung wurde aufgrund von Inaktivität beendet. Sie können dieses Formular jetzt nicht mehr speichern. Speichern Sie Ihre Änderungen vor dem Verlassen der Seite gegebenenfalls lokal ab, um Datenverlust zu vermeiden.
  • Keine Internetverbindung!
    Bei fehlender Internetverbindung werden alle Buttons, die Aktionen ausführen, automatisch inaktiv (ausgegraut). Klicken Sie bei fehlender Internetverbindung auf einen solchen Button, erscheint eine Hinweismeldung:
    Bitte stellen Sie eine Verbindung mit dem Internet her, um weiter zu arbeiten.
Archiv (PKI SSO)

PKI wird ab/seit Ende 2018 nicht mehr unterstützt

Wenn Sie in Ihrem Unternehmen mit PKI-Zertifikaten arbeiten und den Benutzern Zugriff auf die Umantis-Lösung über diese Art des Single-Sign-On (SSO) ermöglichen möchten, setzten Sie hier bitte den Haken bei "PKI benutzen". Darunter wählen Sie, welche der vier Identifikatoren aus dem Browserzertifikat überprüft werden sollen. Bei den Feldern Issuer und Subject können mittels Regular Expressions die zu prüfenden Texte aus dem Zertifikat zusätzlich eingeschränkt werden. Wichtig: Wenn die Benutzer über Cloud SSO (ADFS) in die Lösung gelangen, dann darf die Gültigkeit des Passwortes nicht zeitlich eingeschränkt werden.

  • PKI benutzen:
Legen Sie fest, ob ein Login via Zertifikat-Verifizierung ermöglicht werden soll.

Tipp: Überprüfen der PKI-Zertifikatseinbindung
Um zu überprüfen, ob das PKI-Zertifikat korrekt eingebunden wurde, kann folgende URL verwendet werden: https://pki-test.de.umantis.com
Wenn die aufgerufene Seite rot ist, dann wurde das Zertifikat nicht korrekt eingebunden bzw. die Zertifizierungsstelle (Englisch: certificate authority (CA)) nicht korrekt angegeben.
Wenn die aufgerufene Seite grün ist, dann wurde das Zertifikat korrekt eingebunden bzw. die Zertifizierungsstelle (Englisch: certificate authority (CA)) korrekt angegeben.


Zertifikats-Informationen zur Identifikation

  • Feld "Issuer" benutzen:
Legen Sie fest, ob das Feld "Issuer" des Zertifikats als Schlüssel benutzt werden soll.
  • Feld "Issuer" Teilwert benutzen:
Geben Sie mittels Regular Expression den Teil an, welcher aus dem Feld "Issuer" extrahiert werden soll, um mit den Importdaten verglichen zu werden. Den gesuchten Bereich bitte mit ( ) vermerken. Beispiel: "(\d+)$"
  • Feld "Subject" benutzen:
Legen Sie fest, ob das Feld "Subject" des Zertifikats als Schlüssel benutzt werden soll.
  • Feld "Subject" Teilwert benutzen:
Geben Sie mittels Regular Expression den Teil an, welcher aus dem Feld "Subject" extrahiert werden soll, um mit den Importdaten verglichen zu werden. Den gesuchten Bereich bitte mit ( ) vermerken. Beispiel: "(\d+)$"
  • Feld "NotBefore" benutzen:
Legen Sie fest, ob das das Feld "NotBefore" des Zertifikats als zusätzliche Sicherheit geprüft werden soll. Genauigkeit: Minuten
  • Feld "NotAfter" benutzen:
Legen Sie fest, ob das Feld "NotAfter" des Zertifikats als zusätzliche Sicherheit geprüft werden soll. Genauigkeit: Minuten

Token-Login

  • Public-Certificate:
Muss -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- beinhalten.

Siehe auch Authentifikation über URL-Parameter

Dateierweiterungen

Hier können Sie global die Dateiformate festlegen, die für den Upload (das Hochladen) in ausgewählten Feldern erlaubt sein sollen.

Diese Änderungen sind jedoch nur wirksam, wenn im Anpassungsmodus dementsprechende Vorkehrungen getroffen werden: Bei den einzelnen Upload-Feldern im System kann unter "Beschränkung der Dateierweiterung" definiert werden, was die Bedingung für das jeweilige Feld sein soll. Sie haben die Auswahl zwischen:

  • "check MIME Type": Dateiformat wird überprüft und bei Inkonsistenz erscheint eine Fehlermeldung
  • "none": Jedes Dateiformat soll für den Upload erlaubt sein
  • "must": Es muss einen beliebige Datei hochgeladen werden, sonst kann der Prozess nicht abgeschlossen werden

zur Verfügung. Im Artikel Dateierweiterung einschränken finden Sie ein Anwendungsfall für die Einschränkung von PDF-Dateien.

Beschränkung der Dateierweiterung für Bewerbungs- und Kommunikations-Endpunkte (API)

Wählen Sie hier die Dateierweiterungen aus, für welche der Upload über die API-Endpunkte für das Anlegen und Aktualisieren von Bewerbungen und Nachrichten erlaubt sein soll. Dies betrifft beispielsweise Bewerbungen die über Stepstone QuickApply oder andere Partner direkt über unsere API in Ihre Lösung eingespielt werden.

Einschränkung der Einbindungsmöglichkeit

Sie haben die Möglichkeit, Umantis beispielsweise via iframe in Ihre Website einzubinden. Hierbei ist es ratsam, eine Einschränkung der Einbindungsmöglichkeit - unter Einstellungen > Sicherheitseinstellungen - vorzunehmen. Sie verhindern durch diese Einschränkung den Missbrauch durch sogenanntes Clickjacking.

Im Bereich "Einschränkung der Einbindungsmöglichkeiten" können Sie in zwei Abschnitten folgende Einstellungen vornehmen (sogenanntes "Whitelisting"):

  • Im oberen Abschnitt können Sie explizit festlegen, in welche URL der interne Bereich von umantis (z.B. HR, Administration) eingebunden werden darf.
    Sofern Sie Umantis in Ihre Webseite via iframe einbinden, hinterlegen Sie die URL der Webseite an dieser Stelle (Bsp.: http://www.unternehmen.com). Beachten Sie, dass an dieser Stelle nur eine URL eingegeben werden soll.
  • Im unteren Abschnitt können Sie mehrere URLs (mit Komma getrennt) eingeben, in denen der externe Bereich von umantis (z.B.: /SelfService, /SelfServiceLine) eingebunden werden darf.

Wichtige Hinweise:

  • Sofern Sie keine Einschränkung der Einbindungsmöglichkeit vornehmen und keine URLs eintragen, dürfen die einzelnen Bereiche von Umantis überall eingebunden werden.
  • Tragen Sie jeweils eine "Dummy"-URL (d.h. eine nicht existierende Adresse) ein, sofern Sie jegliche Einbindung verbieten möchten.

CORS (Cross-Origin Resource Sharing)

Standardmässig wird die Same-Origin-Policy von Browsern nicht verletzt. Mit CORS können Webbrowsern/Webclients Cross-Origin-Requests ermöglicht werden. Mithilfe des W3C standardisierten Mechanismus kann für die folgenden Abschnitte der Lösung die Same-Origin-Policy umgangen werden:

  • /XMLExport/ID
  • /CSVExport/ID
  • /Vacancies
  • /VacanciesIntraxData
  • /RssFeed

CORS (Cross-origin resource sharing paths)

Bitte geben Sie Ihren spezifische Pfade Komma-separiert ein, z.B. "/XMLExport/ID,/CSVExport/ID".

Access-Control-Allow-Origin

In diesem Abschnitt können Sie Ihre spezifische Domain ("https://bespieldomain.com") angeben. Fügen Sie hier einen Stern ein ("*"), werden für beliebige Domains Cross-Origin-Request auf die oben gelisteten Abschnitte der Lösung ermöglicht.

Whitelisting-Einstellung für allgemeine Weiterleitungen

  • URL
Bitte geben Sie durch Kommas getrennte URLs an (Beispiel: https://www.123company1.com, https://www.123company2.com).

Whitelisting-Einstellung für die Weiterleitung nach dem Logout

  • URL
Bitte geben Sie durch Kommas getrennte URLs an (Beispiel: https://www.123company1.com, https://www.123company2.com).
[x] Cookie Attribute Same site=strict aktivieren

Wenn die Checkbox aktiviert ist, können nur Cookies ausgelesen werden welche von der gleichen Seite gesetzt wurden. Wenn ein User durch einen link von einer anderen Seite auf die URL geleitet wird, kann das Cookie beim initialen Aufruf nicht gesetzt werden.

[ ] X-Frame-Options - sameorigin aktivieren

Wenn die Checkbox aktiviert ist, können nur Seiten in einem iFrame eingebunden werden, die von der gleichen Quellseite stammen (same origin). Diese Sicherheitseinstellung dient dazu, zu verhindern, dass ungewollt Seiten auf fremden Seiten eingebunden werden können. Sofern Sie bewusst Seiten Ihrer Umantis-Lösung in einem iFrame in anderen Seiten einbinden, deaktivieren Sie bitte diese Checkbox (z.B. Stellenmarkt auf Unternehmens-Webseite, Umantis-Lösung im Intranet).

Whitelisting-URL-Einstellungen für CSP

Wichtige Hinweise:

  • Sie können Sie Whitelisting-URL-Einstellungen vornehmen und somit bestimmen, welche URLs die Content Security Policy umgehen soll. Dies kann beim Einsatz von externen Diensten, wie bspw. Tracking-Tools, notwendig sein.
  • Generell empfehlen wir keine Umgehung der Content Security Policy. Werden solche Einstellungen vorgenommen, geschieht das "auf eigene Gefahr".
  • Beachten Sie bitte, dass das Feld "URLs" erst sichtbar wird (auch im Anpassungsmodus), wenn das Häkchen bei "CSP-Whitelist-URLs aktivieren" gesetzt wurde.
[ ] CSP-Whitelist-URLs aktivieren

Wenn diese Option aktiviert ist, werden angegebene URLs für die CSP-Validierung als Whitelist behandelt

  • URLs
Bitte geben Sie durch Kommas getrennte URLs an (Beispiel: https://www.company1.com, https://www.company2.com).

Whitelisting-Einstellung für URL-Parameter

Mit dieser Einstellung können externe URL-Parameter definiert werden, die z. B. für das Bewerber-Tracking verwendet werden. Die hier hinterlegten Parameter werden auch bei automatischen Weiterleitungen auf weiterführende URLs übernommen, z. B. bei einer Weiterleitung auf /Vacancies/ID/Application/CheckLogin/ID innerhalb des Bewerbungsprozesses. Dadurch bleibt das Tracking über den gesamten Bewerbungsprozess hinweg erhalten. Externe URL-Parameter, die nicht in der Whitelist definiert sind, werden bei solchen Weiterleitungen automatisch entfernt.

Hinweise:

  • Standardmässig sind keine Parameter hinterlegt.
  • Sofern Sie mehrere Parameter hinterlegen, können Sie diese kommagetrennt einfügen (bspw:_ga,_tracking).
  • Gross-/Kleinschreibung der Parameter wird berücksichtigt.
  • Die Umantis-eigenen URL-Parameter werden auch ohne spezielle Whitelisting-Einstellung weitergeleitet (z.B. ?source, ?srcText, ?tracking_id)

CAPTCHA Aktivierung

Bei Aktivierung des CAPTCHAs auf Login Screens wird es sofort aktiv. Bei Aktivierung auf Bewerbungsformularen muss das CAPTCHA zusätzlich über "Ansicht anpassen" auf sichtbar gesetzt werden. So kann für jedes einzelne Bewerbungsformular entschieden werden, ob das CAPTCHA für dieses Formular genutzt werden soll.

  • CAPTCHA für interne Login-Screens aktivieren
z.B. Login zum HR Cockpit (/), Login zum Vorgesetzten-Cockpit (/SelfServiceLine), Gremien-Zugang (/SelfServiceBoard), Drittbeurteiler (/SelfServiceAppraisal), Stellengenehmiger (/SelfServiceApprovals)
  • CAPTCHA für externe Formulare aktivieren
z.B. Bewerbungsformulare:
Stellenmarkt extern (Bewerber):
  • /Vacancies/ID/Application/New/ID
  • /Vacancies/ID/Application/New/ID/ID
  • /Vacancies/ID/FurtherApplication/Apply/ID
  • /Vacancies/ID/FurtherApplication/ApplyFromJobAbo/ID
  • /Vacancies/InitiativeApplication/ID
  • /Vacancies/InitiativeApplication/OnlyApplication/ID
  • /Vacancies/InitiativeApplication/ApplyFromJobAbo/ID
Stellenmarkt intern:
  • /VacanciesIntraxData/ID/Application/New/ID
  • /VacanciesIntraxData/ID/FurtherApplication/Apply/ID
  • /Vacancies/ID/FurtherApplication/ApplyFromJobAbo/ID
  • /Vacancies/InitiativeApplication/OnlyApplication/ID
  • /VacanciesIntraxData/InitiativeApplication/ApplyFromJobAbo/ID
Recruiter:
  • /VacanciesRecruiter/ID/Application/New/ID
  • /Vacancies/Register/ID
  • CAPTCHA für externe Login-Screens aktivieren
z.B. Login zum Bewerber-Cockpit (/SelfService), Login für externe Recruiter (/SelfServiceRecruiter)


Hinweise:

  • Für das CAPTCHA-Feature haben wir eine simple Variante gewählt, da hier der grösstmögliche Datenschutz für Sie und Ihre Daten gewährleistet ist. Viele der aktuelleren und für den Endnutzer einfacher aussehenden CAPTCHA-Optionen funktionieren darüber, dass Daten des Benutzers, wie beispielsweise Browserhistorie, Nutzungsverhalten und vieles andere, an Dritte übermittelt werden um zu analysieren, ob es sich um einen Menschen oder einen potentiellen Bot handelt. Der Datenschutz geniesst bei uns höchste Priorität, weshalb wir uns gegen eine solche Option entschieden haben.
  • Das Captcha hat keinen Einfluss auf SSO, denn beim Single Sign On wird der Benutzer auf die Anmeldeseite des SSO-Servers umgeleitet und danach direkt in seinem Cockpit angemeldet, d.h. das Captcha kommt nicht zum Tragen.

Hinweise zur Captcha-Anzeige

Unabhängig von den oberen Einstellungen zur "Captcha Aktivierung" wird nach einer gewissen Anzahl fehlgeschlagener Versuche automatisch ein Captcha angezeigt - und zwar, wenn jemand wiederholt versucht, sich mit verschiedenen Benutzernamen anzumelden. Dies dient dazu, automatisierte Angriffe mittels Skripten zu unterbinden. Die Massnahme greift für alle Anmeldeversuche, die von derselben IP-Adresse ausgehen. Nach einer gewissen Zeit ohne weitere fehlgeschlagene Anmeldeversuche wird das Captcha automatisch deaktiviert.

Diese sicherheitsrelevante Neuerung soll verhindern, dass potenzielle Angreifer gültige Benutzernamen automatisch von einem öffentlich zugänglichen Endpunkt abrufen können. Hintergrund: Eine Anmeldung verhält sich unterschiedlich, je nachdem, ob ein Benutzer existiert oder nicht, wodurch Benutzernamen leicht identifiziert werden könnten. Das Captcha wird nur eingeblendet, wenn mehrere Benutzer-Logins an Ihrer Umantis-Lösung von derselben IP-Adresse mehrfach hintereinander fehlschlagen.

Aktionen

Virenscanner

Die Umantis-Anwendung prüft (im Hintergrund und vom Anwender unbemerkt) automatisch alle Dateien, die hochgeladen werden. Hierbei ist als Code-Bestandteil das Virenschutzprogramm ClamAv im Einsatz.

Wird eine verdächtige Datei/ein Virus vom Virenscanner erkannt, so wird der Anwender durch eine Fehlermeldung, bzw. fehlgeschlagenem Datei-Upload darauf aufmerksam gemacht.

Änderung der E-Mail-Adresse

Beachten Sie bitte, dass im System registrierte Personen (Benutzerrollen in umantis) bei Änderung ihrer eigenen E-Mail-Adresse eine E-Mail mit Bestätigungslink erhalten. Erst nach Aufruf dieses Links ist die neue E-Mail-Adresse valide und entsprechend im System abgelegt. Werden Personen von der Personalabteilung neu im System erfasst, wird an die jeweils hinterlegte E-Mail-Adresse auch eine Verifizierungs-E-Mail mit Bestätigungslink gesendet. Diese E-Mail finden Sie in den System-E-Mails unter „Aktivierungsmail für nicht bestätigte E-Mail-Adressen“ (SystemTemplate_ConfirmEmailAddress).

Bei importierten E-Mail-Adressen wird keine Verifizierung/Bestätigung angefordert. Ebenso verhält es sich, wenn Administratoren die E-Mail-Adresse anpassen. Hierbei gelten diese sofort als verifiziert.

Bei Bewerbern (Umantis Bewerbermanagement) hat die Bestätigung/nicht-Bestätigung der E-Mail-Adresse keine funktionale Konsequenz und entsprechend wird der Bewerber auch nicht automatisch dazu aufgefordert.
Falls Sie trotzdem vom Bewerber gerne die Bestätigung seiner E-Mail möchten, können Sie den folgenden Link in die E-Mail (Willkommens-E-Mail für Bewerbungen) kopieren:

  • <a href="https://[Special.Hostname]/SelfService?UserID=[Person.ID]&CustomFunction=ActivateMailaddress&token=[Activate.Token]">E-Mail-Adresse bestätigen</a>.

Falls Sie mit IP-Ranges arbeiten, sollten Sie folgende Pfade zulassen:

Füllen Sie bitte in den E-Mail Spezialeinstellungen die Fallback-Absenderadresse aus, um sicherzustellen, dass versendete E-Mails den korrekten (unternehmensspezifischen) Absender enthalten.

Abgerufen von „https://de.onlinehelp.umantis.com/index.php?title=Sicherheitseinstellungen&oldid=23662