Im dritten Teil der Workshop-Reihe zu privacyIDEA zeigen wir, wie man mit Policies das Verhalten bei der Authentifizierung oder bei der Verwaltung von Token durch Administratoren oder Helpdesk-Benutzer regelt. Oder wie man mit den Richtlinien die Berechtigungen der normalen Benutzer im Selfservice-Portal steuert.
Policies sind eine zentrale Komponente von privacyIDEA. Mit den Richtlinien lässt sich granular jeder Aspekt des Verhaltens des Systems regeln.
Im dritten Teil wollen wir uns eine zentrale Komponente von privacyIDEA anschauen, die es ermöglicht, das System in unterschiedlichen, komplexen Szenarien einzusetzen: Die privacyIDEA Policies oder Richtlinien. Mit ihnen kann der Administrator das Verhalten bei der Authentifizierung oder bei der Verwaltung von Token durch Administratoren oder Helpdesk-Benutzer regeln oder die Berechtigungen der normalen Benutzer im Selfservice-Portal steuern.
Policies gelten in einem „Scope“, werden unter bestimmten „Bedingungen“ angewendet und erzeugen eine bestimmte „Aktion“. Wir schauen uns direkt die wichtigen Scopes an.
In privacyIDEA gibt es verschiedene Geltungsbereiche für Richtlinien. Diese sind „admin“, „user“, „auth (authentication)“, authz (authorization)“, „webui“, „enrollment“ und „register“. Diese werden wir uns nun in den folgenden Abschnitten im Detail ansehen.
Admin- und User-Policies zur Steuerung von Nutzerrechten
Die Scopes „admin“ und „user“ regeln die Aktionen, die ein Administrator oder ein Benutzer in privacyIDEA durchführen darf. Ein „Administrator“ ist dabei ein Account, der prinzipiell Dinge am System durchführen kann und ebenfalls Token für anderen Benutzer verwalten darf.
Ein Benutzer ist wiederum ein Account, der prinzipiell nichts am System ändern darf sondern dem es nur erlaubt ist, Aktionen auf seinen eigenen Token durchzuführen.
Nach der Installation haben wir in Teil 1 des Workshops einen ersten Administrator angelegt. Dieser darf erst mal so lange alles, bis die erste Policy im Scope „admin“ die Rechte von Administratoren regelt. Sehr einfache Installation können durchaus mit einem einzelnen, allmächtigen Admin-Account ohne jegliche „admin“-Policies auskommen. Die admin-Richtlinien erlauben es aber auch komplexe Abstufungen der Berechtigungen zu definieren, so dass sich Rollen wie „Superuser“, „Operator“ oder „Helpdesk“ abbilden lassen.
Administrative Realms machen alle Benutzer eines Realms zu administrativen Accounts. Hierzu editieren wir auf der Kommandozeile die Datei /etc/privacyidea/pi.cfg in der folgenden Zeile:
Diese Zeile definiert Benutzer-Realms in privacyIDEA, die von privacyIDEA zukünftig als administrative Realms behandelt werden. Es handelt sich dabei um eine Python Liste.
Den Realm „helpdesk“ werden wir später noch im WebUI anlegen.
Der Eintrag „(?#internal admins)“ ist ein regulärer Ausdruck für einen leeren String. Den Sinn dahinter betrachten wir gleich.
Wenn wir die Datei geändert haben, speichern wir sie ab und starten den Apache2 neu, damit die Konfigurationsdatei neu eingelesen wird.
Helpdesk-Benutzer aus einer AD-Gruppe lesen
In unserem Fall werden wir die Helpdesk-Benutzer ebenfalls im AD finden, und zwar in einer Security-Gruppe „MFA-Helpdesk“.
Dazu müssen wir erst wieder einen Resolver anlegen. Prüfen Sie ggf. hierzu den ersten Teil dieser Workshopreihe, in dem wir auch einen Resolver und Realm angelegt haben.
Name: security-insider-helpdesk
URL des Domaincontrollers
TLS 1.2
TLS verifizieren ausschalten
BINDDN und BIND-Passwort eines Service Accounts
Attribute-Mapping „Active Directory vorbelegen“.
Um nun ausschließlich die Helpdesk-User zu erhalten, müssen wir einen Filter auf die Gruppenmitgliedschaft setzen. Das machen wir im „Suchfilter“ mit dem Eintrag:
Und auch hier erzeugen wir nun schließlich den Realm mit dem gerade eben angelegten Resolver. Dies tun wir unter Konfiguration → Realms mit dem Realm-Name „helpdesk“ und dem zugehörigen Resolver „security-insider-helpdesk“.
Wenn Sie sich als „superuser“ nun im Hauptmenü unter „Benutzer“ alle Benutzer anzeigen lassen, können sie linker Hand zwischen den beiden Realms „sec-ins“ und „helpdesk“ umschalten.
Der allmächtige Superuser
Nun trennen wir die Berechtigungen für den superuser und die Helpdesk Benutzer.
Wir benötigen einen Administrator, der alles im System machen darf. Um wirklich alle Berechtigungen zu erhalten, müsste man in privacyIDEA viel klicken. Dabei helfen uns die Policy-Templates, die zentral in Github definiert sind.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Admin-Policies
In den Bedingungen geben wir bei Administrator nun noch den Namen unseres Administrators an „superuser“, so dass sich all diese Rechte genau auf unseren initialen Administrator beziehen.
Bei Admin-Realm wählen wir den Eintrag „(?#internal admins)“ aus. Dies stellt sicher, dass sich diese Richtlinie eben tatsächlich nur auf einen Benutzer bezieht, der den Namen „superuser“ hat und dessen Realm-Anteil ein leerer String ist. Würden wir den Admin-Realm als Bedingung leer lassen, so würde sich diese Policy auf alle Accounts beziehen, deren Name „superuser“ ist – unabhängig von dem gegebenem Admin-Realm. (Also beispielsweise Auch ein Account „superuser“ in dem Realm Helpdesk).
Nun ist unser Administrator Account nach wie vor in der Lage alle Funktionen durchzuführen, bisher hat sich für ihn nichts geändert. Wir haben aber die Grundlage gelegt, um nun die Berechtigungen von Helpdesk-Usern zu definieren, was wir im folgenden Abschnitt tun.
Berechtigungen von Helpdesk-Benutzern definieren
Wichtig: Bevor wir eine Helpdesk-Policy erzeugen, müssen wir unbedingt die Richtlinie für den Superuser erstellt haben. Denn ohne eine Policy, die für den Superuser gilt, würde dieser keine Berechtigungen mehr haben. Sollte dies dennoch mal passiert sein, können Sie als root User auf Kommandozeile die Policies ansehen:
pi-manage policy list
und die störenden admin-Policies wieder temporär deaktivieren:
pi-manage policy disable helpdesk
Doch nun zur Erstellung der helpdesk Policy. Diese erfolgt prinzipiell genau so wie das Erstellen der superuser Policy. Sie wird einzig und allein durch den definierten Inhalt zu einer Richtlinie, die die Berechtigungen der Benutzer im Helpdesk-Realm definiert.
Als Vorlage können wir das Template „helpdesk“ wählen. Hier sind die ganzen Aktionen, die den Benutzern erlauben das System zu verändern, nicht ausgewählt.
Bei den Bedingungen wählen wir den Admin-Realm „helpdesk“. Das Feld „Administrator“ lassen wir frei, dadurch greift diese Policy für alle Benutzer in diesem Realm.
Werfen Sie einen Blick in die Karteikarte „Aktion“, dort können Sie auswählen, welche Funktionen die Helpdesk-Benutzer auf die Token der Benutzer ausüben dürfen.
Wie meldet sich nun ein Helpdesk-Benutzer in privacyIDEA an?
Genauso wie ein normaler Benutzer in Teil 1 im Selfservice. Mit seinem Benutzernamen, diesmal allerdings gefolgt von dem Zusatz @helpdesk und seinem Domänenpasswort.
Bitte beachten Sie: Ein AD-Benutzer kann theoretisch im Default-Realm (hier sec-ins) sein und gleichzeitig im Helpdesk-Realm gefunden werden. Für privacyIDEA sind das zwei unterschiedliche, logische Benutzerobjekte mit unterschiedlichen Berechtigungen.
Berechtigungen von Benutzern im Selfservice
Im ersten Teil dieser Workshop-Reihe hatte sich der Benutzer im Selfservice-Portal selber einen TOTP-Token ausgerollt. Der Administrator kann aber über Richtlinien im Scope „user“ definieren, welche Aktionen ein Benutzer tatsächlich im Selfservice Portal durchführen darf.
So kann er definieren, welche Tokentypen ein Benutzer ausrollen darf, ob Benutzer ihre eigenen Token wieder löschen oder deaktivieren dürfen.
Je nach Definition der Prozesse im Unternehmen kann es beispielsweise kontraproduktiv sein, den Benutzern zu erlauben, eigene Token zu löschen. In unserem Beispiel legen wir nun für die Benutzer im Realm „sec-ins“ eine „user“-Policy an, die den Benutzern erlaubt, lediglich TOTP-Token auszurollen und die Beschreibung der Token zu setzen. Dies erreichen wir durch die Auswahl der Aktion „enrollTOTP“ und „setdescription“.
Gleichzeitig definieren wir mit dieser Policy, dass TOTP-Token immer als 60-Sekunden-Token ausgerollt werden, eine Länge von 8 Ziffern erzeugen und den Hash-Algorithmus SHA256 verwenden.
User-Policies
Das Interessante hierbei ist, dass wir durch die Einstellungen „totp_otplen“, „totp_timestep“ und „totp_hashlib“ erreichen, dass viele Authenticator Apps nicht mehr funktionieren, da die meisten (wie Microsoft Authenticator) nur SHA1 unterstützen. Diesen so generierten QR-Code kann der Benutzer aber zuverlässig mit dem privacyIDEA Authenticator scannen. So lässt sich bei Bedarf steuern, wenn es eine Unternehmensrichtlinie gibt, die beispielsweise die Nutzung von speziellen Authenticator Apps forcieren soll.
Wenn sich der Benutzer im Selfsevice Portal nun einen Token ausrollt, so bekommt er als Auswahl ausschließlich den Typ „TOTP“ und kann zusätzlich lediglich eine Beschreibung setzen. Über user-Policies lässt sich also auch regeln, wie komplex oder einfach das Selfservice-Portal für die Benutzer erscheinen wird.
Richtlinien bei Authentifizierung und Autorisierung
Die Scopes Authentication (auth) und Authorization (authz) regeln das Verhalten von privacyIDEA während der Authentifizierung – also die Anmeldung der normalen Benutzer am Netscaler (wie in Teil 2) oder an anderen Applikationen, die an privacyIDEA angebunden sind.
Wir betrachten hier nur kurz eine einfache Richtlinie, die oft zum Einsatz kommt. Die „otppin“ Policy regelt, ob privacyIDEA lediglich den zweiten Faktor prüfen soll, oder auch den ersten, also die statische Wissenskomponente.
Es gibt hierzu drei Einstellungen:
„tokenpin“: In diesem Fall kann der Administrator oder der Benutzer für jeden Token ein dediziertes Passwort setzen. Dieses wird von privacyIDEA dann als erster Wissensfaktor überprüft.
„userstore“: Hier wird als erster Wissensfaktor das Passwort in der Benutzerquelle, also in unserem Fall das AD Passwort des Benutzers, durch privacyIDEA geprüft.
„none“: Unabhängig davon, ob eine Tokenpin für den Token gesetzt ist, wird diese bei der Authentifizierung nicht überprüft. privacyIDEA prüft ausschließlich den zweiten Faktor.
Der Scope „WebUI“ regelt das Verhalten des WebUIs. Alle Funktionen im WebUI sind per se API Calls auf die REST API, so dass die tatsächlichen Berechtigungen sich bereits in den Scopes „admin“ und „user“ abspielen.
Eine sehr interessante Richtlinie im Scope WebUI ist die Aktion „login_mode“. Sie definiert wie sich ein Benutzer am privacyIDEA WebUI anmelden muss. Mögliche Einstellungen sind „userstore“, „privacyIDEA“ oder „none“.
Bisher haben wir uns mit der Standardfunktionalität „userstore“ am privacyIDEA WebUI angemeldet.
„None“: Eine Anmeldung am WebUI ist nicht erlaubt. Das kann in speziellen Situationen für gewissen Bedingungen sinnvoll sein. So kann man beispielsweise verhindern, dass sich Adminstratoren oder eben auch normale Benutzer von gewissen IP-Adressen oder auf spezielle privacyIDEA-Knoten (beispielsweise In der DMZ) anmelden können.
„privacyIDEA“: Die Authentifizierung bei der Anmeldung am WebUI erfolgt gegen privacyIDEA selber. Hiermit lässt sich umsetzen, dass sich die entsprechenden Benutzer unter den definierten Bedingungen beispielsweise mit einem zweiten Faktor anmelden müssen. So lässt sich beispielsweise erreichen, dass eine Anmeldung am WebUI aus dem lokalen Netz mit einem einfachen Passwort, aus dem Internet aber nur mit einem zusätzlichen zweiten Faktor möglich ist.
Allgemeines Enrollment und der Spezialfall Register
Im Scope enrollment können Spezifika für den Rollout-Prozesse definiert werden. So kann der Administrator beispielsweise definieren, wie viele Token ein Benutzer maximal besitzen darf. Der Scope register wird genutzt, wenn am privacyIDEA Selfservice die Selbstregistrierung der Benutzer erlaubt ist.
Was steckt hinter den Policies und wie greifen sie ineinander?
Policies sind additiv. Es werden alle Richtlinien, die für einen Benutzer unter den gegebenen Bedingungen passen, zusammengerechnet. D.h. es kann durchaus mehrere admin-Policies geben, die für einen bestimmten Benutzer passen und somit seine Rechte aggregiert. In logischen Konflikten wird die Priorität der Policy herangezogen.
Dieses Verhalten kann sinnvoll genutzt werden, wenn es beispielsweise Richtlinien gibt, die für Benutzer über mehrere Realms hinweg gleich sind. Dann lässt sich eine oder mehrere Standardpolicies definieren, die durch Richtlinien mit zusätzlichen Bedingungen in den jeweiligen Situationen angereichert werden. Hierdurch lassen sich beliebige Szenarien logisch abbilden.
Die Bedingungen der Policies lassen sich nutzen, um diese Abweichungen z.B. von der IP-Adresse, der Tageszeit oder einem HTTP Header abhängig zu machen. Die komplette Betrachtung der Funktion und Mächtigkeit der Policies würden diesen bereits langen Artikel sprengen. Mit diesen grundlegenden Beispielen konnten wir hoffentlich das Grundprinzip vermitteln, damit Sie sich weiter annähern können.
Nächste Schritte in der Workshop-Reihe
Nachdem wir nun mehr über die Konfiguration von privacyIDEA und Berechtigungen gelernt haben, werden wir uns im 4. Teil der Reihe wieder einer Applikation zuwenden. Authentifizierung an Webdiensten erfolgt heute gerne über SAML oder OpenID Connect – Single Sign On. Für das Open Source SSO System Keycloak gibt es ein privacyIDEA Plugin, das Keycloak an Ihr zentrales privacyIDEA System anbindet. Wir werden uns im 4. Teil die Anbindung und die Anmeldung an Keycloak ansehen.
Im vorerst letzten Artikel der Reihe werden wir mit Hilfe des privacyIDEA Credential Providers die Anmeldung an Windows-Systemen absichern.
Über den Autor: Cornelius Kölbel ist CEO von NetKnights.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/7a/63/7a63159765d273d648aaae9df614bf7c/0123311028v4.jpeg "Mit der jüngsten Version der Authentifizierungssoftware privacyIDEA wird für Nutzer vieles einfacher und sicherer. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/16/b91611845997e165d73cad4f1681f1b9/0122151633v2.jpeg "Mit der Open-Source-MFA-Lösung privacyIDEA können Unternehmen die zweiten Faktoren ihrer Benutzer zentral und on Premises verwalten. (Bild: THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/a9/aea996cd6c448bd140b01c9f2961ce2d/0123711162v1.jpeg "Policy-Template \"superuser\" verwenden.(Bild: NetKnights)")
:quality(80)/p7i.vogel.de/wcms/2e/ca/2eca3ded408778e15bee4904cd9c8189/0123711163v1.jpeg "Den Admin-Realm und den Namen des Administrators wählen.(Bild: NetKnights)")
:quality(80)/p7i.vogel.de/wcms/4d/91/4d9118b71b254e231144a4ddcc09aa54/0123711154v1.jpeg "Wir definieren eine Richtlinie für den User-Selfservice im Realm \"sec-ins\".(Bild: NetKnights)")
:quality(80)/p7i.vogel.de/wcms/61/05/61051dc5d7a2b171d1c9b70595cce432/0123711156v1.jpeg "Die verschiedenen Aktionen lassen sich per Click aktivieren. Manche sind boolsche Werte, andere erfordern eine Eingabe wie 60 Sekunden timestep.(Bild: NetKnights)")
:quality(80)/p7i.vogel.de/wcms/8a/90/8a905380da81b82121185ff4f2ad988c/0123711155v1.jpeg "Der Benutzer bekommt eine reduzierte Ansicht beim Rollout.(Bild: NetKnights)")
:quality(80)/p7i.vogel.de/wcms/73/df/73df826f5c7ebd9a42f8aa5878226a68/0122607783v2.jpeg "Sichern Sie Ihr VPN-System mithilfe von privacyIDEA, RADIUS-Integration und TOTP-Token zuverlässig vor unbefugten Zugriffen ab. Wie das geht zeigen wir am Beispiel einer Citrix NetScaler Anbindung. (Bild: Have a nice day - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/7a/ac7acaaca1932a490c8a3042df77765c/0121170506v2.jpeg "Keycloak ist eine Open-Source-Lösung für Identitäts- und Zugriffsmanagement. Keycloak bietet Funktionen wie Single-Sign-On (SSO), Identity Brokering und Social Login, User Federation und vieles mehr. (Bild: Gefo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/1e/b21e33c5b5f2de90d33d49430cedcfe5/0126283121v2.jpeg "privacyIDEA ist eine flexible Open-Source-Plattform für Multi-Faktor-Authentifizierung, die verschiedenste Token-Typen unterstützt, zentral verwaltet wird und sich nahtlos in bestehende IT-Systeme integrieren lässt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/36/78/36786378d8657362343565fcf41e122c/0124352982v2.jpeg "Mit der Open-Source-MFA-Lösung privacyIDEA lassen sich FIDO2-Token zentral verwalten und an unterschiedlichen Applikationen zur Anmeldung nutzen. (Bild: janews094 - stock.adobe.com)")