- DATEV-Community
- :
- Programm-Bereiche
- :
- Unternehmen online
- :
- Single Sign-On mit Microsoft Active Directory
- RSS-Feed abonnieren
- Thema als neu kennzeichnen
- Thema als gelesen kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- Drucker-Anzeigeseite
Single Sign-On mit Microsoft Active Directory
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Beitragslink
- Als unangemessen melden
Wie ist die Realisierung des Zugriffs auf DATEV Unternehmen online mittels Single Sign-On (SSO) von/zu Microsoft Active Directory (AD) möglich? Wie lässt sich das "einmalige Anmelden" i.V.m. Microsoft AD konfigurieren?
Gelöst! Gehe zu Lösung.
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Beitragslink
- Als unangemessen melden
Ich wüsste nicht, wie das gehen soll. Den DATEV mIDentity comfort, der eine Anmeldung unter Windows (statt Passwort) unterstützte, hat DATEV eingestellt.
Prinzipiell kann man sich ja nur mit DATEV SmartCard oder DATEV SmartLogin anmelden. Da das SmartLogin auf ein Smartphone setzt inkl. QR-Code, wüsste ich hier keine Verbindung zu einem MS AD zu ziehen. Selbst wenn man per MDM das Smartphone an einen AD User koppeln könnte, muss man noch immer den QR-Code abscannen. Und das alle 15min nach Inaktivität neu.
Vielleicht geht das noch mit der SmartCard etwas besser, die aber auch täglich nach einem PIN fragt und diesen nur im RAM zwischenspeichert und so auch weg ist, wenn sich der Benutzer ab- und wieder anmeldet. Heißt, man müsste wohl die Anmeldung mit der SmartCard konfigurieren, sodass man hier 1x die PIN eingibt und dem Browser per GPO mitteilen, er solle nur die SmartCard zwecks Authentifizierung bei DATEV nutzen.
Wobei DATEV ganz langfristig meiner Meinung nach von den SmartCards allgemein weg will und das zu Recht, weil es meistens SmartCards sind, die öfter Ärger machen als eine Smartphone App, weil die Probleme von Hard- (z.B. Stick defekt) bis über Software (z.B. Treiber, SiPa doch rot, obwohl mIDentity am System steckt, SiPa veraltet, durch Windows Updates "defekt", ...) sich verteilen.
Und ist SSO im Sinne von "Du musst nur Dein AD Passwort eingeben und kannst dann DUO nutzen" gemeint, wird DATEV hier meiner Meinung nach aufgrund von Sicherheitsbedenken nicht weiter unterstützen, weil DATEV das Prinzip Wissen & Besitz verfolgt: entweder SmartCard dabei + PIN oder das Smartphone + PIN. Das "ins MS AD" zu verlagern halte ich auch für keine gute Idee.
Was schwebt Ihnen denn vor? Nur mehr Komfort? Komfort und Sicherheit geht leider nie gut zusammen.
www.metalposaunist.de
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Beitragslink
- Als unangemessen melden
Vielen Dank @metalposaunist für deinen ausführlichen Beitrag. Wir nutzen selbst DATEV SmartLogin. Ich hatte jedoch gehofft, dass ein Anmeldeverfahren entweder über das Microsoft AD Login, oder aber über das MDM-/AD-Zertifikat auf den Macs/iPads/iPhones möglich wäre; ggf. durch eine Abfrage im Hintergrund. Zumindest auf Apple-Geräten lässt sich dann ein Zertifikat auswählen, mit dem das Login vorgenommen werden soll.
Alternativ wäre eine Hidden-URL, auf Basis von Microsoft AD, umsetzbar. Wenn jedoch DATEV hier für Unternehmen online keine Schnittstelle bereitstellt, wird die Umsetzung vermutlich scheitern.
Insgesamt sollte an der Kompatibilität von Unternehmen online zu insb. iPads und iPhones generell, aber auch zum Browser Safari, verbessert werden.
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Beitragslink
- Als unangemessen melden
@Gelöschter Nutzer schrieb:
Zumindest auf Apple-Geräten lässt sich dann ein Zertifikat auswählen, mit dem das Login vorgenommen werden soll.
Wobei das doch nur mit einer SmartCard geht und man dann das Zertifikat aus der SmartCard irgendwie per MDM verteilen müsste, oder? Weil eine SmartCard an ein Apple Gerät anschließen geht ja nun nicht. Und ein "einfaches Zertifikat" ist die SmartLogin App auch nicht, wenn die QR-Codes auslesen und verarbeiten muss. Da findet dann technisch doch mehr im Hintergrund statt?!
Und wenn's um das Thema Zertifikate geht: Das macht DATEV intern bereits im Fall von DATEVasp und PARTNERasp möglich (nicht für DUO, nicht fürs SmartLogin). Hier kommt auch ein Zertifikat statt mIDentity zum Einsatz aber technisch auch nicht dem Motto "Zertifikat einspielen, PIN und geht". Auch bei der Lösung geht DATEV den Hochsicherheitsweg und das Zertifikat muss mit dem DATEV RZ sprechen können.
Das SmartLogin bzw. DUO und dessen Authentifizierung kommt ja von außen übers freie Internet zur DATEV. Das ist genau der umgekehrte Weg.
@Gelöschter Nutzer schrieb:
Wenn jedoch DATEV hier für Unternehmen online keine Schnittstelle bereitstellt, wird die Umsetzung vermutlich scheitern.
Insgesamt sollte an der Kompatibilität von Unternehmen online zu insb. iPads und iPhones generell, aber auch zum Browser Safari, verbessert werden.
Da haben Sie sich ja eigentlich schon selbst die Antwort gegeben 😬.
Aber vielleicht mag die DATEV ja noch antworten und was dazu beitragen, wo es ggf. in Zukunft hingehen soll. Statt SmartCard und SmartLogin hatten wir hier auch schon über FIDO gesprochen.
www.metalposaunist.de
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Beitragslink
- Als unangemessen melden
Danke für deine Antwort, @metalposaunist.
Meine Idee wäre, dass eine Verbindung zum unternehmenseigenen Azure Active Directory hergestellt werden kann (innerhalb von M365), und auf der Anmeldeseite zu DATEV Unternehmen online entsprechend im Hintergrund nach einem MDM-Gerätezertifikat, bzw./i.V.m. einem AD-Authentifikationszertifikat bzw. -Identifikationszertifikat gesucht wird. Über die Rechteverwaltung soll, mittels entsprechender Anbindung an AD, der Nutzer anhand seines Geräte- und/oder Identifikationszertifikates eindeutig identifiziert werden und direkt in DATEV Unternehmen online weitergeleitet werden.
Alternativ könnte mit einer Hidden-URL das SSO angestoßen werden (deutlich einfacherer Weg) oder eben — am einfachsten — auf der Anmeldemaske von DUO eine Anmeldeoption mit Unternehmenszugangsdaten angeboten werden. Wir selbst nutzen für alle Mitarbeiter verpflichtend die Zwei-Faktor-Authentifizierung, und mit dem Zugang zu Microsoft Dynamics oder ins SAP Treasury (ebenfalls über die Microsoft AD Credentials) sind deutlich sensiblere Daten als diejenigen innerhalb von DATEV betroffen; nicht zuletzt, da m.W.n. DUO auch Daten ins Dynamics und Treasury einspielt.
Single Sign-On-Lösungen sind aktueller Stand der Technik und sind häufig, wenn der Zertifikatsaussteller oder Identitätsanbieter ein seriöses Unternehmen darstellt, auch sicherer als alternative oder „eigenbrötlerische“ Zugangslösungen.
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Beitragslink
- Als unangemessen melden
Krass, was technisch alles schönes möglich ist 😲. Da hört's dann auch bei mir irgendwann auf mit dem Verständnis aber klingt sehr gut - technisch 😍.
Jetzt kommt DATEV, Hochsicherheit und erst Sicherheit auf #1 und danach kommt Usability; immer und überall so. DATEV wägt jede Entscheidung, die weniger Sicherheit bietet, genau vorher ab und weil DATEV dem Berufsstand der StB/WP/RA angehört und diese gesetzlich zu Hochsicherheit verpflichtet sind, ist M365 für DATEV nicht Neuland aber sowohl gesetzlich als auch technisch nur schwer zu vereinen - aktuell (US Cloud Act und Co.). Für Testkunden gibt es M365 im DATEVasp inkl. der Verbindung zwischen DATEV MS AD und MS Azure AD mittels speziellen Connector für eine Hand voll Euros pro User pro Monat. Exchange Online ist dabei noch immer technisch ausgeklammert.
Wenn Sie Lust und Zeit haben zu lesen: Microsoft 365 Bis DATEV also Ihre technische Finesse umsetzt oder es überhaupt prüft, werden Jahre ins Land ziehen. DATEV ist in sich ein geschlossenes, hochsicheres und nach allen aktuell geltenden Datenschutzstandards eigenes Ökosystem, an das man - wenn es um Authentifizierung geht - von außen in Form von M365 nur sehr, sehr schwer andocken kann, weil DATEV nicht Tür und Tor für Microsoft öffnen will, damit Microsoft alles mitlesen kann oder noch mehr mitlesen kann als heute, damit die deutschen Gesetze gewahrt bleiben.
Vielleicht so wie Apple? Auch sehr abgeschottet aber dadurch auch sehr sicher. Dank MDM Möglichkeit gibt es hier aber Standards von Apple, die Externe einstellen können. Daher kann MDM A nicht mehr als MDM B im Fall von Apple, weil die Schnittstellen / Einstellungen auch von Apple vorgebeben werden. An das RZ von Apple kommt man meines Wissens nach auch nicht "mal eben" dran, oder?
Auch wenn in Ihrem Fall Ihre Daten noch sensibler sind als jene aus dem DUO: DATEV gehören > 40.000 Mitglieder an, die alle noch mehr Mandantendaten in deren Auftrag betreuen und es > 13,5 Mio. Gehaltsabrechnungen im DATEV RZ liegen, die den höchstens Schutzstandards unterliegen. Und nur für Sie wird DATEV nicht die gesamte Sicherheitsstruktur umbauen 😬 und dann ist es leider ein riesen großes Projekt.
www.metalposaunist.de
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Beitragslink
- Als unangemessen melden
„Für Testkunden gibt es M365 im DATEVasp inkl. der Verbindung zwischen DATEV MS AD und MS Azure AD mittels speziellen Connector für eine Hand voll Euros pro User pro Monat. Exchange Online ist dabei noch immer technisch ausgeklammert.“
Wie ist diese Funktion nutzbar? Ist die Funktionalität mit Unternehmen online kombinierbar?
„DATEV ist in sich ein geschlossenes, hochsicheres und nach allen aktuell geltenden Datenschutzstandards eigenes Ökosystem, an das man - wenn es um Authentifizierung geht - von außen in Form von M365 nur sehr, sehr schwer andocken kann, weil DATEV nicht Tür und Tor für Microsoft öffnen will, damit Microsoft alles mitlesen kann oder noch mehr mitlesen kann als heute, damit die deutschen Gesetze gewahrt bleiben.“
Hohe Sicherheit und Gesetzeskonformität ist heute wichtiger denn je zuvor. Die Anbindung an Microsoft Active Directory öffnet jedoch keineswegs „Tür und Tor“ für Microsoft. Im Falle einer Anbindung übernimmt Microsoft Azure AD nur die Prüfung, ob einerseits der Nutzer, der sich authentifizieren will, existiert, und andererseits, ob der Nutzer auf Unternehmen online, und insbesondere in welchem Umfang er auf Unternehmen online, zugreifen darf. Dabei ließt Microsoft AD keine Daten aus, sondern prüft nur gegen, ob und welche Rechte für den Nutzer/Anwender von Active Directory bestehen, und welche Rechte und Befugnisse diesen in der Rechteverwaltung von DATEV zugeordnet sind. Ein Zugriff auf das DATEV-Rechenzentrum im engeren Sinne findet dabei jedoch nicht statt, oder zumindest nur soweit, als dass die Rechte- und Benutzergruppen abgeglichen werden. Darüber hinaus bietet/bot Microsoft für M365 Cloudlösungen aus Deutschland mit der T-Systems als Datentreuhänder an.
„Und nur für Sie wird DATEV nicht die gesamte Sicherheitsstruktur umbauen 😬und dann ist es leider ein riesen großes Projekt.“
Tatsächlich würde es sich dabei lediglich um eine weitere Öffnung bzw. Verfügbarmachung einer Schnittstelle handeln, nicht jedoch um einen Umbau der gesamten Sicherheitsstruktur. Der Umfang kann auch bei sauberer und sicherer Umsetzung mit entsprechender Kompetenz recht überschaubar sein. Wir selbst haben für eine eigens entwickelte Software ebenfalls umgesetzt; dies unter Beachtung unserer rechtlichen Vorgaben an Datensicherheit innerhalb von drei Monaten.
Die Implementierung von Schnittstellen gewinnt nach wie vor rasend schnell an Wert; als Unternehmen, insbesondere mit einem recht großen Kundenkreis wie DATEV, kann die Ignoranz vor bzw. das Aufschieben von modernen Lösungen im Kundensinne auf langer Frist nur kontraproduktiv für die Kundenbindung sein. Vielleicht ließt tatsächlich ein DATEV-Mitarbeiter mit und möchte hierzu ggf. Updates geben?
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Beitragslink
- Als unangemessen melden
Zwecks Einbindung von Mehrfachzitaten: Tipp für Power-Zitierer zur Nutzung von Mehrfachzitaten
@Gelöschter Nutzer schrieb:
Wie ist diese Funktion nutzbar?
Nur im DATEVasp inkl. dort installierter DATEV Umgebung und auch nur für die Office Produkte: MS Teams, OneDrive und Co.. Für reine DUO Mandate / Unternehmen wenig sinnvoll.
@Gelöschter Nutzer schrieb:
Ist die Funktionalität mit Unternehmen online kombinierbar?
Nein, auch im DATEVasp nicht, weil DATEV hier auf SmartCard / SmartLogin ohne weitere Integration / SSO setzt. Auch im DATEVasp muss man sich mittels SmartCard und PIN jeden Tag extra anmelden. Nicht jeder Steuerberater / Unternehmen hat ein geschäftliches Smartphone mit der SmartLogin App geschweige denn Richtlinien für eine 2FA. Da sind Sie schon ganz weit vorne mit dabei.
@Gelöschter Nutzer schrieb:
ob und welche Rechte für den Nutzer/Anwender von Active Directory bestehen, und welche Rechte und Befugnisse diesen in der Rechteverwaltung von DATEV zugeordnet sind.
Sie meinen die Rechteverwaltung online? Aber auch diese kennt nur die im DATEV RZ liegenden Medien: SmartCard / SmartLogin / DATEV RZ Benutzer, ohne Anbindung an ein MS AD. Aber die Idee gefällt mir schon 🤓.
@Gelöschter Nutzer schrieb:
Darüber hinaus bietet/bot Microsoft für M365 Cloudlösungen aus Deutschland mit der T-Systems als Datentreuhänder an.
Bot ist meine ich hier besser angebracht. Und wenn man die Experten @agmü und @Michael-Renz hier liest, ist das aus DATEV-Sicht auch nicht die beste Lösung. Zumal sich ja DATEV selbst als "Treuhänder" bei Microsoft akquirieren lassen kann aber wenn es rechtlich so einfach wäre, hätte es die DATEV längst getan. So hinkt DATEV dem Thema M365 noch etwas sehr hinterher.
@Gelöschter Nutzer schrieb:
Tatsächlich würde es sich dabei lediglich um eine weitere Öffnung bzw. Verfügbarmachung einer Schnittstelle handeln, nicht jedoch um einen Umbau der gesamten Sicherheitsstruktur.
Und selbst die weitere Öffnung ist bei DATEV "nicht mal eben so" getan. Jede weitere Öffnung und sei sie technisch noch so gut abgesichert, ist eine Öffnung und damit persé ein mögliches Sicherheitsrisiko / ein Angriffspunkt, dem DATEV aus dem Weg gehen könnte, wenn man sich nicht öffnet. Da ist DATEV sehr konservativ und das ist mitunter ein Punkt, warum der Tanker noch nicht so agil wie andere Unternehmen ist. Auf der anderen Seite habe ich von DATEV noch nie gehört: Oh, da war ein Leck und da sind Daten abgeflossen. 👍 Was bei manch anderen Unternehmen abgeht und man aus der Presse erfährt (speziell auch bei Günter Born), darf bei DATEV niemals passieren.
Liegen die E-Mails des StBs bei DATEV und will man sie am iPhone / iPad lesen, muss am Gerät erst ein VPN hergestellt werden nach Nürnberg, damit Daten fließen. Früher musste dazu sogar dies per SMS als 2FA bestätigt werden. Das hat DATEV aber auch nur aufgegeben, weil es im Alltag einfach überhaupt nicht praktikabel ist. Aus Sicherheitsaspekten ist die aktuelle Lösung auf dem Papier nicht so sicher, wie sie anfangs gedacht war. Aber so war sie so sicher, dass sie auch niemand genutzt hat. Active Sync ohne VPN oder OWA? Gibt es beim Exchange bei DATEV nicht.
Das nur als Denkanstoß, wie hoch DATEV die Sicherheit von Daten allgemein hängt, wo andere Unternehmen mit OWA und ActiveSync kein Problem haben oder gar Port 443 ins Netz weiterleiten; ggf. ohne Firewall.
Bei DATEV ist alles, was nicht im DATEV RZ in Nürnberg liegt und wo DATEV nicht die Hand drauf hat, erstmal unter großen Vorsichtsmaßnahmen zu genießen, weil man nie weiß, was Microsoft mit der Cloud vor hat und eine Änderung sich gleich tausendfach auswirkt und ggf. dann auch nicht mehr mit deutschem / EU Gesetz vereinbar ist und dann steht man da. Einfach alle Daten von A nach B in der Masse geht bei DATEV nicht.
www.metalposaunist.de