#Authentik

Postfächer für Maschinen sollten nicht denselben Login bekommen wie Menschen. Unsere Benachrichtigungs-Adressen leben als lokale Konten direkt im Mailserver Stalwart, während jeder Mitarbeiter zusätzlich einen Zugang im zentralen Verzeichnis Authentik hat. So hängt ein nächtlicher Versand nicht am persönlichen Konto eines Menschen, der morgen den Betrieb verlassen könnte. Was automatisch läuft, soll niemandem gehören außer dem Betrieb selbst.

Im Mailprogramm funktioniert das normale Passwort nicht, weil zentraler Login und Postfach zwei verschiedene Türen sind. Bei uns meldet sich der Mensch über Authentik per Single Sign-on an, doch unser Mailserver Stalwart lehnt genau dieses Passwort im Mailprogramm ab. Erst ein eigenes App-Passwort, das nur ein einziges Mal angezeigt wird, lässt das Programm durch. Ein Schlüssel für die Haustür ist eben kein Schlüssel für den Tresor.

Automatisch nur für die eigenen Leute zugänglich ist ein selbst gehosteter Dienst nicht, eine App ohne ausdrückliche Zugriffsregel steht jedem offen. Beim Aufbau unseres Matrix-Support-Systems fiel mir auf, dass vierzehn Anwendungen hinter Authentik ohne Richtlinien-Bindung liefen, und manche legten bei der ersten Anmeldung sogar selbst ein Konto an. Ich habe eine Gruppe externe gebaut und allen vierzehn bis auf eine eine Sperre verpasst. Was keine Regel hat, hat als Regel: alle dürfen herein.

Anmelden heißt noch nicht berechtigen, das sind zwei verschiedene Schritte. Bei uns synchronisiert Authentik die Gruppen sauber ins Dokumenten-Archiv, und trotzdem hatten 1.747 von 1.749 Dokumenten keinen Besitzer hinterlegt, also sah jeder Nutzer jedes Dokument. Die Stufen regelten nur, wer löschen darf, nicht, wer sehen darf. Eine Tür, die jeden hereinlässt, ist keine Tür, auch wenn das Schloss teuer war.

Als zweiter Faktor taugt ein Mailcode nichts, wenn man sich über genau dieselbe Anmeldung erst einloggen muss, um die Mail zu lesen. In Authentik geht der Code an die im Profil hinterlegte Firmenadresse, und auf die kommt unser Mitarbeiter erst nach dem Login, vor dem der Code ihn ja schützen soll. Wir bleiben deshalb bei einer App, die ohne Postfach auskommt. Ein Schlüssel, der hinter der Tür liegt, die er öffnen soll, ist keiner.

Ein Passkey, der nur im iPhone liegt, sperrt am Windows-PC aus, weil er das Apple-Ökosystem nie verlässt. Bei uns hatte ein Mitarbeiter in Authentik als einzige Anmeldemethode einen Apple-Passkey hinterlegt, und am Windows-Rechner bot ihm das System nur den QR-Code für den Geräte-Wechsel an, der zuverlässig nicht funktionierte. Ich habe den Schlüssel gelöscht und auf eine geräteunabhängige Methode umgestellt. Ein zweiter Faktor, der nur an einem Gerät lebt, ist kein Zugang, sondern eine Falle.

Ein zentraler, gut gesicherter Login mit zweitem Faktor. Wir haben unsere Dienste an einen einzigen Identitäts-Anbieter, Authentik, angebunden. Statt zwanzig Passwörtern auf Zetteln gibt es einen Schlüssel, dafür richtig geschützt. Bequemlichkeit und Sicherheit sind kein Gegensatz, wenn man sie zusammen plant.