Autor Thema: Companion app / Verse app: Benutzer kennt Passwort nicht (mehr)  (Gelesen 2284 mal)

Offline Tode

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Folgendes Szenario: wegen der Inkompatibilität des „klassischen“ Single Sign On (Windows Dienst) mit der ID Vault sind wir hier vor einiger Zeit auf das neuere Notes Shared Login umgestiegen. Das bedeutet ja: die Id wird mit den Windows Credentials entsperrt und hat -auf dem Client- kein eigenes Passswort mehr.

Das heisst aber auch: die User brauchen ihr ursprüngliches Notes- Kennwort gar nicht mehr zu wissen. Das brauchen sie nur, wenn ein Client neu eingerichtet wird, und dann setzen es die Admins kurzerhand per Vault zurück, weil es ja wiederum nur einmal für eine einzige Anmeldung benötigt wird, danach zieht ja die NSL Policy.

Jetzt kommt aber immer mehr die Forderung nach Datenschutz, und Mails werden mit den internen Mechanismen verschlüsselt.

Um diese verschlüsselten Mails am Handy zu lesen, braucht man entweder die Companion oder die Verse App. Diese wollen aber vom User das ID Vault Kennwort haben, das dieser nicht mehr kennt… also bekommen die Admins ständig Tickets zur Kennwortrücksetzung der ID Vault Kennworte.

Jetzt könnte man sich mit der Passwort- Self Service App behelfen, die ja als Template im Domino mitgeliefert wird. Dann muss man aber diese wieder vom mobilen Endgerät aus zugreifbar machen…

Nun zu meiner Frage: wie lässt man User komfortabel die ID Vault für verschlüsselte Mails auf mobilen Endgeräten nutzen, wenn diese ihr Notes Kennwort gar nicht mehr kennen (müssen)….

Ach ja: die Anmeldung am Web erfolgt über LDAP Credentials eines per Directory Assistance angebundenen LDAP Directories mit Mapping auf den Notes Namen: da brauchen die User auch kein Notes Kennwort…
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline CarstenH

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 668
  • Geschlecht: Männlich
Moin Torsten,

die mobile Verse-App lässt sich seit einiger Zeit mit Biometrie statt PW nutzen. Das funktioniert bei mir sowohl mit iOS als auch Android super. Beim Einrichten braucht der User dann einmalig noch sein Kennwort und dann nicht mehr (auf dem jeweiligen Endgerät).

Zumindest solange noch kein 12er Domino auf der anderen Seite steht und die ID zurück in den Vault zurück wandert, da habe ich noch keine Erfahrung was dann auf den anderen (nicht-Verse) Clients passiert und ob sich das in die Landschaft mit NSL einfügt.

HTH
Carsten

Offline Tode

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Aber genau das ist doch das Problem: Der Benutzer hat doch auch für die Initialeinrichtung sein Kennwort nicht mehr... das verlagert nur das Problem auf die Einrichtung, löst es aber nicht...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline CarstenH

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 668
  • Geschlecht: Männlich
Das Problem ist m.E. eigentlich keins, immer wenn jemand einen Client neu einrichtet = einmalig Vault-Reset.
Ob der Client nun auf PC oder Smartphone läuft ist doch dabei unerheblich, es ist jeweils ein einmaliger Vorgang.
Ich weiß nicht wie oft das dann tatsächlich vorkommt aber bestimmt seltener als MA ihr PW (nicht Notes) vergessen.

Die Self Service App funktioniert mehr oder weniger. Probleme macht sie bei mir sobald man ein PW vergibt das nicht regelkonform ist.

Anderer Ansatz (nur als Idee): SafeLinx bietet swiw verschiedene Auth Möglichkeiten an, u.a. Clientzertifikate. Vielleicht wäre das ja was.

HTH
Carsten

Offline JayDee

  • Senior Mitglied
  • ****
  • Beiträge: 417
Zitat
die mobile Verse-App lässt sich seit einiger Zeit mit Biometrie statt PW nutzen. Das funktioniert bei mir sowohl mit iOS als auch Android super. Beim Einrichten braucht der User dann einmalig noch sein Kennwort und dann nicht mehr (auf dem jeweiligen Endgerät).

Ich finde dazu keine Einstellung, aber das hätte ich auch gerne. Die Passwortabfrage in der Verse-App bei verschlüsselten Mails nervt schon, auch wenn sie nur einmal pro "Sitzung" kommt.
Welche Voraussetzung braucht es um das nutzen zu können?
(momentan habe wir Traveler Server 11.0.2.0  unter Domino 11.0.1 FP3)
MfG,
Thomas

Offline CarstenH

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 668
  • Geschlecht: Männlich
Da habe ich versehentlich Verse und Nomad in einen Topf geworfen, das war so nicht beabsichtigt.
Ich habe eben noch mal in verschiedene Richtungen getestet und hier mein aktueller Stand:

Verse App
Die App kann man (Stand heute) nur mit der Biometrie des Smartphones schützen, je nach OS und Gerät geht das auch zusätzlich je App.
Unter Android kann man auch mit mehreren Benutzern parallel arbeiten, quasi wie früher ein "ID-Wechsel" beim Client, nur besser.
Die App an sich verwendet eigentlich nur das HTTP-PW, außer bei verschlüsselten Mails - da wird die ID (aus dem Vault) gezogen und deswegen die PW Nachfrage. Wenn das PW aber für Vault und HTTP identisch ist sollte eine Nachfrage eigentlich unnötig sein. Siehe weiter unten.

Android: entschlüsselt werden die Mails im Hintergrund, es kommt keine PW Nachfrage, man braucht nur auf "Vollständige Nachricht anzeigen" tappen.

iOS: hier kommt (noch?) eine PW-Nachfrage, wobei das eigentlich unnötig ist da das PW ja in der App hinterlegt wurde. Wie man an der Android Version sehen kann verhalten sich die beiden Apps hier unterschiedlich. Ein Ticket aufmachen könnte helfen - wobei das eine zweiseitige Geschichte ist. Sollte jemand bei HCL der Meinung sein, dass das iOS Verhalten "besser" ist bekommt Android auch die PW-Sperre rein :/ Das wäre dann eine lose-lose-Situation.

Nomad App
Die Nomad App verwendet grundsätzlich die ID, es ist ja (mehr oder weniger) ein Notes Basic Client der per NRPC und nicht per HTTP arbeitet. Bei jedem Start der App hat man die Option unter dem PW Eingabefeld auf Biometrie umzuschalten, sobald man das gemacht hat kommt man NUR noch per Biometrie in die App, ein zurück zur PW Eingabe gibt es hier nicht, außer man löscht die Appdaten, richtet das neu ein und lädt damit die ID (wieder mit PW) neu aus dem Vault. Wenn ein Domino 12 vorhanden ist wird die biometrisch aktivierte ID zurück in den Vault geladen - hier fehlen mir praktische Erfahrungswerte. Aus "altem" Wissen mit Smart Cards (da geht das schon länger) sollte man aber mindestens eine Sicherheitskopie der ID aus der Zeit VOR der Biometrie aufbewahren. Hier müsste man mal einen umfangreichen Test durchführen (oder jemanden finden der das schon gemacht hat oder eine detaillierte Doku dazu auftreiben).

Weiterer Vorteil der Nomad App: die Nomad App registiriert einen URL Handler NOTES:// damit lassen sich ab sofort sämtliche Notes-Linkes (auch aus den iOS-Mail-Apps oder Verse) direkt im Notesclient auf dem Device öffnen. Für Leute ohne Nomad lässt man die Links am besten dual, dann kann man sich jeweils aussuchen ob man per Browser oder Notes drauf schauen möchte.

Mit der Nomad App lassen sich dank der User-ID alle verschlüsselten Dokumente (also auch Notes- und MIME-Mails) auf allen Devices lesen. Das wird in Kürze sicher noch interessanter, wenn Nomad Web mehr Verbreitung findet. Vorausgesetzt der Wechsel auf das neue Lizenzmodell von HCL ist hier kein Showstopper da man SafeLinx benötigt, dort liegen nach meinem Wissensstand nämlich die Binaries/Downloads.

HTH
Carsten

Offline CarstenH

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 668
  • Geschlecht: Männlich
Hab noch eine aktuelle Auflistung bei HCL gefunden was geht bzw. auch was nicht geht.

https://help.hcltechsw.com/traveler/12.0.0/saml_verse_overview.html

Vielleicht hilft das ja (wobei ich nach dem Überfliegen jetzt keine echte Lösung für dein Problem gesehen habe).

Carsten

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz