Administration SmartCard´s in der Rechteverwaltung online

Sowohl bei der Neueinrichtung von Unternehmen online über den DATEV Arbeitplatz als auch über den Einrichtungsassistenten in der Rechteverwaltung online ist bereits heute die Rechtevergabe - auch für mehrere Authentifizierungmedien gleichzeitig - anhand von Rechtevorlagen möglich.

Hallo Frau Herold,

vielen Dank für die Antwort. Ich hätte dazuschreiben sollen, dass der Wunsch die normale Rechtevergabe und nicht den Einrichtungsassistenten betrifft.

Es geht ja nicht nur um die Einrichtung, sondern auch um spätere Pflege.

Wir nutzten den Einrichtungsassistenten nicht, weil wir dort keine globale Freigabe auf Mandanten vornehmen können. Da wir mit vielen Mehrbetriebsunternehmern arbeiten, kommt der Einrichtungsassistent für uns nicht in Frage.  Der Aufwand eine Mandantennummer nachzutragen oder auch wieder zu entfernen wäre zu Aufwendig.

Hallo,

wir sind, wie in der BRV, auch in der Rechteverwaltung online hingegangen und haben konsequent nur Gruppen für die Rechtevergabe genutzt. Dadurch können Rechte schnell auf mehrere oder auch neue Authentifizierungsmedien ausgerollt werden.

Leider unterstützt der Einrichtungsassistent keine Gruppen. In einer Pilotstudie (Benutzerlabor), an der wir teilnehmen durften, wurde aber genau hieran gearbeitet und sah vom Konzept vielversprechend aus.

Grüße

Chr.Ockenfels

Ok, ich habe die Rechteverwaltung online im Titel ergänzt..

Hallo

Das ist schade, Frau Herold. Denn eine ganz einfache Funktion "Rechte kopieren" würde schon helfen. DIe wäre auch nicht schwer zu programmieren. Vielleicht, ließe sich da doch ein Tipp in Richtung Entwicklung lancieren ...?

Wäre schon eine feine Sache!

QJ

Hinsichtlich des Problems, dass heute SmartCard und SmartLogin getrennt administriert werden müssen, wird sich die Situation in Zukunft verbessern. Unsere Kollegen arbeiten dabei an einem Konzept, dass die Rechte direkt an der Person hängen und automatisch für die verschiedenen Authentifizierungsmedien der Person gelten.

Bei gleichen Rechten für mehrere Personen empfehlen wir die Nutzung von Gruppen direkt in der Rechteverwaltung online.

VG und ein schönes Wochenende

Stefanie Herold

Wir hätten gerne

• eine Maske mit einer echten Schnellsuche, die nicht schon daran scheitert wenn ich z.B. den Nachnahmen aus Bequemlichkeit klein schreibe
• einen integrierten Abgleich mit Bezug auf die Unterberaternummern wie im DATEV-Shop, also entweder Suche nach Nummer oder Name
• Gruppier- und Filterfunktionen wie im DATEV Arbeitsplatz
• einen Direktaufruf aus dem DATEV-Arbeitsplatz heraus für den aktiven Mandanten (bezogen auf die verknüpfte Unterberaternummer in der Leistungsübersicht - die hoffentlich im Rahmen der Modernisierung bald automatisch erfolgt)
• einen Direktaufruf aus den geöffneten UO-Anwendungen selbst die mir dann die Unterberaternummern/SC-Ids anzeigt, die derzeit Zugriff auf diesen Bestand haben
• eine Übersicht wo in den Spalten gleichzeitig alle Zugangsmedien zu einer Firma=Unterberaternummer aufgelistet sind, siehe Bild unten
• in dieser Übersicht sinnvoll integrierte Hilfen die sich aufklappen lassen ohne ein neues Fenster zu öffnen
• Bezogen auf den letzten Beitrag von Frau Herold: Statt der Zugangsmedien pro Person könnte in der Spalte dann auch nur der Benutzer stehen, so dass sich ggf. die Spalte erweitern lässt
• setzen von Sperren/Freigaben durch Mausklick je Feld mit optischer Unterstützung
• Grundgedanke: wir arbeiten fast nur mit globalen Freigaben

@Stefanie_Herold: Bitte nicht! Oder zumindest nicht als Zwang.

Wenn ich Unternehmen Online vorstelle nutze ich den SmartLogin.

Wenn ich arbeite die Smartcard.

Simpler Grund der SmartLogin hat nur den Musterbestand und die Adminrechte freigegeben.

Die Smartcard alle Rechte.

Wenn das zwangsweise abgeschafft wird muss man wieder vor jeder Präsentation die Rechte des Präsentierenden ändern.

Grundlegend eine gute Idee Rechte an die Person und nicht an das ID-Medium zu hängen. Es gibt aber Situationen in denen das kontraproduktiv ist.

Ja eine weitere Anforderung an die Entwickler. Ich denke aber eine berechtigte da es zu dem Thema hier in der Community schon verschiedene Diskussionen zu Präsentationmodus etc gab. Die verschiedenen Rechte der ID-Medien ist momentan der einzige mir bekannte Weg.

@jjunker Identische Handhabung hier, heute erst wieder praktiziert ohne Gefahr zu laufen dem neuen Mandanten alle DUO-Mandate zu zeigen. Ich fürchte aber wir werden einen neuen Würgaround finden müssen...

gruss rw

@taxit Ich denke nicht. Solange das Problem der Präsentation nicht gelöst ist wird Frau Herold den Einwand @Stefanie_Herold an das Entwicklerteam weiter geben und ein Auge darauf haben das er nicht fallen gelassen wird. 

Nächster Workaround wäre dann das schaffen einer nicht existieren Person nebst Smartcard oder die Smartcard eines Ruheständlers. Da diese Wege wahrscheinlich gegen Richtlinien verstoßen und weitere IDs unnötig generiert würden oder künstlich am Leben erhalten würden kann das nicht in unser aller Interesse sein.

@Stefanie_Herold 

Sehr geehrte Frau Herold,

gab es zu dem von mir aufgebrachten Punkt der Zwangsvereinigung aller Authentifizierungsmedien seitens der Entwicklung ein Feedback?

Mit freundlichen Grüßen,

Johannes Junker

Ich verstehe die obigen Bedenken, wobei das m.E. nur auf Kanzleiseite ein Problem werden könnte.

Bei Mandanten sehe ich da aktuell gar keine Probleme wenn eine Person mehrere Zugangsmedien nutzt - mit identischen Rechten.

Zum Ausgangsfall oben "Präsentation Mandant": Ich habe z.b.

1. einen mIDentity fest am PC
2. ein IPad mit Smartlogin
3. ein Smartphone mit Smartlogin
4. für alle Fälle noch einen mIDentity im Bespr.Raum

Mit Zugang 2) kann ich jederzeit auf jeden Mandanten zugreifen - das sehe standardmäßig nur ich. Ggf. auch an die Wand projizieren für alle Teilnehmer.

Zugang 3) ist standardmäßig auf unseren Musterfall freigeschaltet.

Ich kann mir also bei einer Präsentation schon aussuchen, ob ich jetzt mein Smartphone (= Musterfall) den QR-Code scannen lasse oder mein IPad. Oder auch den USB-Stick aus dem Bespr.Raum nutze.

Wenn ich ohne Smartphone (nur per IPad) im Besprechungsraum bin kann ich den darauf genutzten Smartlogin eben selbst administrieren und mir hierfür z.B. einen Mandanten freischalten/sperren (wir arbeiten primär mit globalen Freigaben und nicht den Einzelrechten die der Einrichtungsassistent produziert).

Ich kann auch schnell - ohne den Raum zu verlassen - über Zugang 2) auf dem IPad (sehe nur ich) den Zugang 3) administrieren und z.b. den grade betreuten Mandanten in die globale Freigabe mit reinnehmen.

Und ich gestehe: die drei Zugänge lauten nicht alle einheitlich auf meinen Vor- und Nachnahmen. (wir haben z.b. auch Mandanten die wollen einen USB-Stick/mIDentity auf den Namen "Abteilung Buchführung" etc. weil dort häufiger das Personal wechselt (ja, wir weisen auf die Berechtigungen und möglichen Risiken hin).

Falls DATEV das hier auf Personenebene zusammenfasse möchte: OK, dann gibt's halt einen Smartlogin "IPad Besprechungsraum" etc.

Solange wir hier für Smartlogin & Co. nicht auch so etwas wie die "Prüfung der postalischen Richtigkeit im RZ" als Zwang erhalten bin ich da ganz entspannt.

Jedes Authentifizierungsmedium egal ob Smartcard oder Smard Login ist zwangsläufig einer Person zugeordnet.

Oder haben Sie einfach Vorname: IPAD: Nachname Besprechungsraum erfassen können?

Beispiel1: Wir haben eine Scannerbox mit mIDentity. Der wurde bestellt auf Vorname = Scannerbox / Nachname = Standort. Kein Problem.

Beispiel2: Um Meine Steuern zu testen haben wir einen Mustermandanten (der heißt auch so) angelegt. Für den wurde der Zugang (Smartlogin) bestellt. Kein Problem.

Durch die gut gelöste Adressierung (z.B. Name + Zusatz "i. H. xxxxxx") ist hier bisher auch alles in Papierform angekommen.

Probieren Sie´s aus!

Ansonsten rechne ich hier eigentlich jeden Moment damit, von DATEV ermahnt zu werden dass das so nicht vorgesehen ist...

Zu dem Thema Rechteverwaltung online sind mehrere Punkte angesprochen worden:

1. Durch die Person als Rechteträger vereinfacht sich die Administration erheblich.
Beispielsweise möchte ich als Kanzlei bei meinen Mandanten die DATEV-Smartcards durch DATEV-SmartLogins ersetzen.
Oder ich als Admin, Kanzleichef, möchte wissen welche Berechtigung die Mitarbeiter oder meine Mandanten in der DATEV-Cloud haben.
Wir sind hier noch in der konzeptionellen Phase und werden Sie rechtzeitig informieren. Im Rahmen einer Umstellung auf die Person als Rechteträger müssen Ihre Prozesse natürlich berücksichtigt werden (Beispiel: Besprechungsräume für Präsentationen).

2. Wir sind ganz bei Ihnen, dass eine Kopierfunktion die Administration erleichtert und verstehen Ihre Anforderung. Aktuell modernisieren wir die Rechteverwaltung online. Das betrifft die Oberfläche, wie auch die technische Basis. Diese neue Version ist die Grundlage für Weiterentwicklungen. Im Moment sind hier v. a. Performanceverbesserung im Fokus.
Ich kann Ihnen, stand heute, keinen Termin für die Umsetzung einer Kopierfunktion in der Rechteverwaltung online nennen.
3. Die Ideen zum Thema Auswertungen werden wir in die Produktentwicklung mit aufnehmen.

---

@Rainer_Buchholz schrieb:

1. Durch die Person als Rechteträger vereinfacht sich die Administration erheblich.

---

Sehe ich nicht so, wenn man schon heute die technischen Mittel und Möglichkeiten denn nutzt und strukturiert das Ganze aufbaut und nicht nach gut dünken. 

---

@Rainer_Buchholz schrieb:

Beispielsweise möchte ich als Kanzlei bei meinen Mandanten die DATEV-Smartcards durch DATEV-SmartLogins ersetzen.

---

UO Gruppen. Done. 

---

@Rainer_Buchholz schrieb:

Oder ich als Admin, Kanzleichef, möchte wissen welche Berechtigung die Mitarbeiter oder meine Mandanten in der DATEV-Cloud haben.

---

UO Gruppen. Done. 

---

@Rainer_Buchholz schrieb:

Im Rahmen einer Umstellung auf die Person als Rechteträger müssen Ihre Prozesse natürlich berücksichtigt werden (Beispiel: Besprechungsräume für Präsentationen).

---

Und da hat man wie dran gedacht? Stand heute heißt: fiktive Personen ausdenken. 

---

@Rainer_Buchholz schrieb:

2. Wir sind ganz bei Ihnen, dass eine Kopierfunktion die Administration erleichtert und verstehen Ihre Anforderung.

---

Öh nein. Dann muss ich bei Rechteänderungen wieder alles x-fach manuell von Hand kopieren. UO Gruppen. Done.  

@Rainer_Buchholz: Stand 02/2020 hat DATEV also ein Problem gelöst, dass man nicht hat, wenn man richtig nach Standards und technischen Möglichkeiten (UO Gruppen) gearbeitet hätte.  

Bis heute kann man keine Rechte von harten Medien auf Gruppen kopieren, dass bei der Umstellung auf www.datev.de/par sehr zielführend wäre. Oder bis heute kann man keine Gruppen bei mitgliedschaftsübergreifenden Medien bauen. Auch das würde @nadimb sehr freuen. DATEV? Löst die aktuellen Probleme und nicht welche, die es heute in der Form gar nicht gibt. 

@Rainer_Buchholz 

Unsere Kanzlei schließt sich den Worten von @metalposaunist vollumfänglich an. 

Wir sehen außerdem viel dringendere Probleme als die Einführung der www.datev.de/par 
(Stabilität RZ, Weiterentwicklung UO, Apps, Kreditkarten, Zahlungsdienste, Schnittstellen, MeineSteuern, Freizeichnung Online, usw.)  

@Rainer_Buchholz das Argument, dass fremde Authentifizierungsmöglichkeiten (Google, Apple,...) auch nur die Person als Rechteträger kennen lasse ich auch nur bedingt gelten.

Vorschlag: Alle Medien einer Person nach außen (gegenüber Google,...) in eine Gruppe fassen, festlegen welches Medium das Primäre ist und in der Außenwirkung haben alle einzelnen Medien die Rechte des primären Mediums...

Wie geil wäre es Gruppen gruppieren zu können. Eine Gruppe trägt die Rechte "Sachbearbeiter" und man müsste der jeweiligen Gruppe des Mandanten nur noch die Ordnungsbegriffe zuordnen. Diese in die Gruppe Sachbearbeiter werfen fertig. 😇 Ist doch oft so, dass die Rechte eines Sachbearbeiters über die Mandanten hinweg nicht wesentlich unterscheiden... 

Zumindest die gröbsten Sorgen hinsichtlich Lizenzierung und fester Vergabe an eine Person wurden ja bis auf Weiteres zerstreut.

Das wäre auch eine lustige Geschichte geworden.

Neben der Präsentation fallen mir noch Telearbeitsplätze ein.

Ein Mitarbeiterin soll Zuhause nur die digitalen Mandate bearbeiten dürfen?

Aktuell kein Problem. Lege ich nun Frau Mustermann Home Office als zweite Person für sie an? 🤷

@Gelöschter Nutzer 😅😅😅 Made my day.