Es gibt unterschiedliche Ansätze Benutzern und Systemen Zugriff auf unsere Tools (Authentifizierung)  zu geben und Ihnen entsprechende Rechte und Rollen (Autorisierung) zuzuweisen.

Authentifizierung und Autorisierung

Seit gICS 2.11.0 und gPAS 1.9.1 werden jeweils zwei Docker-Compose Varianten der Werkzeuge über Github bereitgestellt: eine Standard und Web-Auth-Version.

Die Web-Auth-Version stellt Authentifizierungs- und Autorisierungsmechanismen für die Web-Oberfläche der Werkzeuge bereit. Nutzer müssen sich für die Nutzung des Werkzeugs mittels Benutzernamen und Passwort einloggen. Je nach zugeordneter Rolle enthalten sie unterschiedliche Berechtigungen. Die Autorisierung kann werkzeugübergreifend erfolgen. So kann ein und dieselbe Person z.B. beim E-PIX Standard-Nutzer und beim gICS Admin-Nutzer sein.

Details zur Installation und Nutzung der Web-Auth Versionen sind hier zu finden: https://www.ths-greifswald.de/wp-content/uploads/tools/Auth_ttp_tools.pdf

Diese beinhaltet eine Übersicht der Nutzergruppen, Default-Nutzer und -Passwörter, eine Übersicht der Rollen und Rechte in der Web-Oberfläche sowie HowTos zur Verwaltung von Nutzern, Rollen und Rechten per MySQL und Docker EXEC.

Hinweis: Möglichkeiten zur Einbindung von KeyCloak werden derzeit evaluiert.

Empfehlungen zur Absicherung der Anwendungsserver von E-PIX, gPAS und gICS

Der Zugriff auf relevante Anwendungs- und Datenbankserver der Treuhandstellen-Werkzeuge sollte nur für autorisiertes Personal und über autorisierte Endgeräte möglich sein.

Wir empfehlen die Umsetzung nachfolgender IT-Sicherheitsmaßnahmen:

  • Betrieb der relevanten Server in separaten Netzwerkzonen (getrennt von Forschungs- und Versorgungsnetz)
  • Verwendung von Firewalls und IP-Filtern
  • Zugangsbeschränkung auf URL-Ebene mit Basic Authentication (z.B. mit NGINX oder Apache)