Beschreibung:

Dieses Dokument beschreibt die sicherheitsrelevanten Einstellungen der LANCOM Management Cloud (LMC). Es dient als Referenz für den sicheren Betrieb der LMC.

PDF-Dokument:

Account- und Rollenkonzept

Konzept der Auftraggeber, Mitgliedschaften und Konten

Begrifflichkeiten

Auftraggeber: Technische Vertretung von Personen, die auf LMC zugreifen können, nutzt E-Mail-Adresse, um sich beim Login zu identifizieren, sowie technische Referenz (UUID) für die interne LMC-Datenverarbeitung.
Konto: Entitäten, auf die authentifizierte und autorisierte Hauptbenutzer zugreifen können. Repräsentiert durch UUID und bestimmte vom Menschen lesbare Metadaten.
Autorität: Rechtegruppe (ACL), entspricht Rollenkonzept.
Mitgliedschaft: Zuordnung eines Prinzipals mit einer Berechtigung zu einem bestimmten Konto.

Begriff der Rechtevergabe

Im ersten Schritt werden von LMC verwaltete Prinzipale mit einer bestimmten Berechtigung von Administratoren der Kontoadministratoren zu einem Konto eingeladen. Von IdP verwaltete Prinzipale können sich ohne vorherige Einladung anmelden. Beide Prinzipaltypen müssen ein Formular ausfüllen und E-Mail-Adresse, Passwort, Anrede, Vor- und Nachname angeben, während die letzten drei fiktiv sein können. Beide Prinzipal-Typen müssen auch die aktuellen Prinzipal-Nutzungsbedingungen akzeptieren.
Bei der Anmeldung wird der Prinzipal anhand der zuvor für den Prinzipal registrierten E-Mail-Adresse identifiziert, die in LMC-Installationen einmalig ist.
Jede Kontoeinladung muss von dem Auftraggeber, der eingeladen wird, angenommen werden, bevor sie wirksam wird.

Es ist möglich, einen Prinzipal einzuladen und die Mitgliedschaft dann zu entfernen, bevor der Prinzipal sie annehmen konnte, was zu einem Prinzipalprofil ohne Mitgliedschaften führt. Dies ist nutzlos, aber ein gültiger Zustand (der Prinzipal kann sich anmelden, aber nur auf das Prinzipalprofil zugreifen).
Die Einladung ist ebenfalls zeitlich befristet und läuft ab, aber der Prinzipal kann sich nach Ablauf der Einladung noch anmelden (seinen Prinzipal anlegen) und in einem ähnlichen Zustand enden (was zu keiner gültigen Mitgliedschaft führt).
Für beide, verwaltete LMC- und authentifizierte IdP-Prinzipale, kann später eine Mitgliedschaft hinzugefügt werden, indem erneut in ein Konto eingeladen wird.
Für IdP-Autorisierte Prinzipale müssen entsprechende Zugriffsrechte im IdP gewährt werden (siehe auch Abschnitt „Alternative Authentifizierungsmethoden“)

Die Kombination aus einem Prinzipal plus einer bestimmten Konto-ID plus einer bestimmten Berechtigung, die für diesen Prinzipal für dieses Konto erteilt wurde, führt zu einer Mitgliedschaft, die schließlich den Zugriff auf ein Konto ermöglicht.
Prinzipale ohne direkte Mitgliedschaft oder Autorisierung über IdP-Autorisierung haben keinen Zugriff auf Konten und können nur Details in ihrem Prinzipal-Profilabschnitt anzeigen und bearbeiten.

Kontenstruktur und Mandantentrennung

Im LMC unterscheiden wir zwischen drei verschiedenen Kontotypen:

Distribution, mit ausgezeichneten Behörden für Zuständigkeiten auf Distributionsebene (übergreifendes Kundenmanagement; mehrere pro LMC-Instanz, mehrere pro großem Partner-Kunden möglich).
Organisation, mit ausgewiesenen Zuständigkeiten der Behörden auf Organisationsebene (übergreifendes Kundenmanagement; mehrere pro LMC-Instanz, in der Regel eine pro Partnerkunde).
Projekt, mit ausgezeichneten Behörden für das eigentliche Gerät, Netzwerk, Netzwerksicherheit, Lizenzmanagement usw. (mehrere pro LMC-Instanz, mehrere pro Partnerkunden, in der Regel eine pro Endkunden).

Die Daten sind pro Konto streng getrennt und können nur abgerufen werden, wenn einem einzelnen Prinzipal eine Mitgliedschaft für den Zugriff auf dieses Konto gewährt wurde.

Konten werden nach Hierarchie sortiert: Ein Projekt muss in einer Organisation erstellt werden, und Organisationen werden unterhalb von Verteilungen erstellt. Es gibt einige Funktionen, mit denen Projekte aus der übergeordneten Organisation verwaltet werden können (z. B. Administratorvererbung, Gerätepools, die zum Zuweisen von Geräten zu Projekten verwendet werden können), die weiter unten beschrieben werden.

Prinzip der geringsten Privilegien für Mitgliedschaften

Insgesamt ist es als bewährte Praxis bekannt, einem bestimmten Auftraggeber nur die geringsten Rechte zu gewähren, die dieser Auftraggeber zur Erfüllung einer bestimmten Aufgabe in der Anmeldung benötigt. Im LMC-Kontext bedeutet dies, dass nur sehr vorsichtig Projektadministratorrechte vergeben und eine Behörde mit weniger Rechten angewendet wird, wann immer dies möglich ist. Folgende Berechtigungen können pro Kontoebene erteilt werden:

Standard-Verteilungsebene Behörden:

Verteilungs-Administrator: ist berechtigt, Organisationen, Administratoren und Geräte zu verwalten. Hat uneingeschränkten Zugriff auf Verteilungsinformationen.

Standardberechtigungen auf Organisationsebene:

Organisations-Administrator: ist berechtigt, Projekte, Hauptbenutzer und Geräte zu verwalten. Hat uneingeschränkten Zugriff auf Organisationsinformationen.
Organisations-Viewer: ist berechtigt, organisationsbezogene Informationen anzuzeigen, aber nicht zu bearbeiten.

Standard-Projektverantwortliche:

Projektadministrator: ist berechtigt, Projekte, Prinzipale und Geräte zu verwalten. Hat uneingeschränkten Zugriff auf Projektinformationen.
Technischer Administrator: ist berechtigt, Standorte, Netzwerke und Geräte zu verwalten.Projektinformationen sind schreibgeschützt, und die Verwaltung von Prinzipalen ist nicht zulässig.
Projektmitglied: ist berechtigt, die Geräte des Projekts zu verwalten und zu überwachen. Hat nur Lesezugriff auf Projektinformationen.
Rollout-Assistent: Wird von der LMC-Rollout-Assistenten-App verwendet, um die Antragstellung für Geräte in diesem Projekt zu vereinfachen. Dieser Prinzipal darf Geräte hinzufügen und Geräteinformationen lesen.
Hotspot-Betreiber: ist nur zur Verwaltung des Hotspots berechtigt.
Projekt-Viewer: Darf nur anzeigen, aber keine geräte- und projektbezogenen Informationen bearbeiten.

Bei LMC-verwalteten Prinzipalen kann einem Benutzer für jedes Konto, auf das er Zugriff hat, eine andere Berechtigung gewährt werden. Dies gilt auch für authentifizierte IdP-Prinzipale.

Falls die IdP-Autorisierung auch für ein Konto konfiguriert und aktiviert wird, werden die Autoritäten und daraus resultierenden Rechte eines Prinzipals durch Anwendung der Rollen abgeleitet, die im IdP zugewiesen sind (siehe auch Abschnitt „IdP-Prinzipal-Verwaltung“). Dies führt dazu, dass pro Prinzipal pro Kontoebene die gleiche oder gar keine Berechtigung erteilt wird, kann aber nicht dazu führen, dass z. B. ein Projektadministrator in einem Projekt und ein Hotspot-Administrator in einem zweiten Projekt derselben Organisation ist. Bei der Verwendung der IdP-Prinzipalverwaltung wird empfohlen, den Einladungsmechanismus nicht zu verwenden, um den im Kontext dieses bestimmten Kontos autorisierten IdP-Prinzipalbehörden Berechtigungen zuzuweisen. Die explizite Einladung von Benutzern führt zu sogenannten „direkten Mitgliedschaften“, die die Zugriffskontrolle durch den IdP außer Kraft setzen.

Administratorvererbung

Mit der Administratorvererbung können die Sicherheit und die Verwaltungsfreundlichkeit für Anbieter von verwalteten Diensten erhöht werden, die in der Regel über eine Organisation verfügen und einzelne untergeordnete Projekte für ihre Kunden verwenden. Statt Prinzipale einzeln zu Projekten einzuladen und diese Prinzipale auch einzeln zu verwalten, ermöglicht die Administratorvererbung Mitgliedern der Organisation den Zugriff auf die untergeordneten Projekte, ohne explizit zu jedem einzelnen Projekt eingeladen zu werden. Dies vereinfacht die Zugriffskontrolle, da diese Prinzipale zentral in der Organisation verwaltet werden können (z. B. wenn ein Prinzipal das Unternehmen verlässt und nicht mehr auf LMC-Konten zugreifen darf). Die Erstellung direkter Mitgliedschaften pro Projekt für jeden der betroffenen Hauptbenutzer entfällt und der Aufwand für die Durchführung von Zugriffsbeschränkungen auf Projektebene wird reduziert.

Direkte Mitgliedschaften mit expliziten Einladungen und Administratorvererbung können in gemischten Szenarien pro Prinzipal und Konto verwendet werden. Dies führt dazu, dass einem einzelnen Prinzipal über Administratorvererbung Projektzugriff mit anderen Rechten gewährt wird als durch die Annahme einer Einladung und die Erstellung einer direkten Mitgliedschaft. In diesem Fall gewinnen Rechte, die über die direkte Mitgliedschaft gewährt werden, geerbte Rechte, was zu einem höheren Satz von Rechten aus der Projektmitgliedschaft führen kann, als sie über die Administratorvererbung gewährt werden. Deshalb empfehlen wir, Vererbungsszenarien für Direktmitgliedschaften nur sehr vorsichtig anzuwenden. Als sichere Standardeinstellung ist die Vererbung von LMC-Administratoren in Organisationen deaktiviert und muss von Organisationsadministratoren aktiviert werden. Bei der Aktivierung der LMC-Administratorvererbung muss eine Berechtigung auf Projektebene für diese Hauptbenutzer ausgewählt werden, die auf geerbte Hauptbenutzer für alle Projekte der Organisation angewendet wird.

Die IdP-Administratorvererbung kann separat von der LMC-Administratorvererbung auf Organisationsebene aktiviert werden. Im Zusammenhang mit der IdP-Authentifizierung funktioniert sie wie oben beschrieben als Vererbung des LMC-Administrators, ist jedoch auf die Prinzipale beschränkt, die über eine Konfiguration in dieser bestimmten Organisation IdP verwaltet werden. Wenn die IdP-Autorisierung in LMC zusätzlich aktiviert wird, erhalten LMC-Autoritäten Rechte gemäß den zurückgegebenen Werten von IDP und Gruppenzuordnungen, die beim IdP-Setup durchgeführt werden (weitere Details finden Sie im Abschnitt "IdP-Prinzipal-Verwaltung")

Projektadministratoren können sich sowohl von der Vererbung des LMC-Administrators als auch von der Vererbung des IdP-Administrators getrennt abmelden, indem sie die entsprechende Einstellung in den Projekteinstellungen aktivieren. Jede Änderung des Vererbungsstatus wird im Organisationsprotokoll angezeigt. Beide Varianten, sich von der Administrator-Vererbung abzumelden, sind in der Telekom Schwestercloud vertraglich nicht vorgesehen.

Kontosicherheit

Passwortsicherheit

Allgemeine Empfehlungen

Für den LMC passen wir allgemeine Empfehlungen an, wie man sichere, einprägsame Passwörter wählt und was zu vermeiden ist, wie sie z.B. vom Bundesamt für Sicherheit in der Informationstechnik bereitgestellt werden:

Kreativität ist unbegrenzt, aber eine Person muss sich das Passwort gut merken können. Zu den hilfreichen Strategien gehören:
- Verwenden eines Satzes und nur den ersten (oder zweiten oder letzten) Buchstaben eines jeden Worts.
- Umwandlung einiger Buchstaben in Zahlen oder Sonderzeichen.
Verwendung eines ganzen Satzes als Passwort:
- Aneinanderreihung mehrerer durch Sonderzeichen getrennter Wörter.
- Zufällige Auswahl von 5–6 Wörtern aus einem Wörterbuch und deren Trennung durch Leerzeichen, wodurch sich das Passwort leicht merken und eingeben lässt, aber schwer zu knacken ist.
Generell gilt: je länger, desto besser. Für ein gutes Passwort sind Länge und Komplexität entscheidend.
- Ein kurzes, komplexes Passwort sollte mindestens 8 Zeichen lang sein und vier Arten von Zeichen enthalten (Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen).
- Ein langes, weniger komplexes Passwort sollte mindestens 25 Zeichen lang sein.
- Bei Wi-Fi-Verschlüsselungsverfahren wie WPA2 oder WPA3 sollte das Passwort mindestens 20 Zeichen lang sein, da dort Offline-Angriffe möglich sind.
Grundsätzlich können alle verfügbaren Zeichen verwendet werden (Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen wie Leerzeichen, ?!%+...).
Nicht geeignet als Passwörter sind Namen von Familienmitgliedern, Haustieren, besten Freunden, Lieblingssternen, Geburtsdaten und so weiter. Passwörter sollten auch nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern wie „asdfgh“ oder „1234abcd“ bestehen.
Es ist zu vermeiden, dass am Ende eines Passworts einfach ein paar Ziffern hinzugefügt werden oder eines der üblichen Sonderzeichen „$, !, ?, #“ am Anfang oder Ende eines ansonsten einfachen Passworts steht.
Es wird empfohlen, einen Passwort-Manager zu verwenden, um verschiedene Passwörter gut zu verwalten, und den Manager mit einem starken Passwort zu schützen. Auf diese Weise muss sich nur der Prinzipal eines Password Manager Space ein gutes Passwort merken und kann immer noch überall sehr starke, eindeutige Passwörter verwenden.
Sprachspezifische Zeichen und Umlaute wie „ä, ö, ü, ß, €, ¢“ sollten vermieden werden, da sie bei nicht-deutschen Diensten und Tastaturen möglicherweise nicht verwendbar oder verfügbar sind oder unterschiedlich codiert sind.

Passwörter für Prinzipale

In der Standardkonfiguration erfordert LMC eine mindestens achtstellige Kennwortlänge, einschließlich mindestens einer Zahl und eines Sonderzeichens. Es wird dringend empfohlen, zumindest ein Passwort gemäß den oben genannten Richtlinien zu erstellen. Zusätzlich kann die entsprechende Umgebungsvariable angepasst werden, um stärkere Prinzipalkennwörter zu erzwingen. Dies wird für jede private LMC-Installation empfohlen. Es wird als gute Praxis angesehen, für jeden Prinzipal pro LMC-Instanz unterschiedliche Passwörter zu wählen, wobei jede der im obigen Abschnitt erwähnten übereinstimmenden Empfehlungen (siehe auch „Allgemeine Empfehlungen“).

Passwörter für Geräte, Wireless SSIDs, VPNs...

Im Allgemeinen wird dringend empfohlen, keine remote verwalteten Ressourcen ungeschützt zu lassen, d. h. nach Möglichkeit einen Kennwortschutz anzuwenden. Wenden Sie dabei nach Möglichkeit die oben genannten Passwort-Sicherheitsrichtlinien an (siehe auch „Allgemeine Empfehlungen“). In einigen Fällen kann ein projektweites Kennwort für die Gerätekonfiguration festgelegt werden. Wir empfehlen, diese Option nicht zu wählen, und sie sollte nur verwendet werden, wenn es wirklich erforderlich ist. Viel sicherer ist es, ein anderes Passwort pro Gerät zu haben. Wenn ein gemeinsames Kennwort für die Gerätekonfiguration pro Konto nicht vermieden werden kann, wird dringend empfohlen, für diese Option mindestens ein hochsicheres Kennwort zu wählen.

2FA

Um eine zusätzliche Schicht der Zugriffskontrolle und Sicherheit hinzuzufügen, können von LMC verwaltete Prinzipale die Zweitfaktor-Authentifizierung (2FA) für ihre Prinzipale aktivieren. Das zusätzlich bereitgestellte Geheimnis wird als zeitbasiertes Einmalpasswort (TOTP) generiert. Der gemeinsame geheime Schlüssel, der von der Authentifikator-App für die TOTP-Erstellung verwendet wird, wird von LMC generiert. Dieser gemeinsame geheime Schlüssel kann entweder in einer Authentifizierer-App auf einem mobilen Gerät oder in einer Passwort-Manager-Erweiterung eines Browsers auf einem beliebigen Computer enthalten sein. Die zweite Option wird nur empfohlen, wenn ein LMC-Prinzipal sicherstellen kann, dass nur er auf die Passwort-Manager-Erweiterung dieses bestimmten Browsers zugreift. Sicherheitsmaßnahmen zum Schutz von Browser-Passwort-Manager-Erweiterungen oder mobilen Geräten sind nicht Teil dieser Dokumentation.

Einige besonders sicherheitsempfindliche Kunden können eine Option für ihr Projekt aktivieren, was in der Folge die Bereitstellung einer 2FA vor dem Eintritt in das Projekt erfordert. Das Aktivieren oder Deaktivieren von 2FA-Einschränkungen für ein Projekt wird im Projektprotokoll angezeigt. LMC-verwaltete Prinzipale, die keinen zweiten Faktor bereitstellen können oder deren gemeinsamer geheimer Schlüssel von einer anderen Software erstellt wurde, können diese Projekte nicht eingeben. Prinzipale müssen für jede LMC-Instanz, auf die sie Zugriff haben, einen eigenen TOTP-Generator erstellen, da jede LMC-Instanz für jeden Prinzipal unterschiedliche gemeinsame geheime Schlüssel bereitstellt.

Für IdP-verwaltete Prinzipale muss der IdP gemäß den Sicherheitsrichtlinien des Unternehmens konfiguriert werden. Die Richtlinien für die Konfiguration sicherer IdP sind nicht Teil dieser Dokumentation. Der LMC überprüft die MFA-bezogenen Werte im bereitgestellten ID-Token nicht, da nach bewährter Praxis in der Industrie von IdP verwaltete Prinzipale als ausreichend gesichert betrachtet werden, um auch die meisten eingeschränkten 2FA-Ressourcen zu betreten. Bei LMC 2FA-eingeschränkten Ressourcen können Projektadministratoren wählen, ob a) keine Zugriffsbeschränkungen für ein Projekt festgelegt werden sollen, b) nur von LMC verwaltete Hauptbenutzer nach der Ausgabe ihres persönlichen zweiten Faktors in das Projekt eintreten dürfen, oder c) ein IdP-Login erforderlich ist oder der persönliche zweite Faktor eines Hauptbenutzers für den Zugriff auf das Konto angegeben werden soll. Die dritte Option ermöglicht die Eingabe des Projekts in Prinzipale aller IdPs, die in der jeweiligen LMC-Instanz konfiguriert sind, wenn diese zusätzlich Zugriffsberechtigungen entweder durch direkte Mitgliedschaft oder IdP-Autorisierung haben. Weitere Informationen zur IdP-Benutzerverwaltung finden Sie im Abschnitt „Alternative Authentifizierungsmethoden“.

Um eine weitere Schicht der Zugriffskontrolle auf Ressourcen mit hoher Kritikalität anzuwenden, müssen auch modernere Sicherheitsmaßnahmen außerhalb des LMC berücksichtigt werden. Diese sind nicht Gegenstand dieser Dokumentation.

Alternative Authentifizierungsmethoden

API-Schlüssel

In LMC gibt es mehrere Typen von API-Schlüsseln, jeder Typ wendet einen anderen Umfang und Zweck an.

	SIEM-API-Schlüssel	Prinzipal-gebundene Einzelkontoschlüssel	Prinzipal-gebundene Kontoübergreifende Schlüssel
Kontenumfang	Einzelkonto	Ein Konto, einschließlich direkter Kinderkonten.	Auswahl eines, mehrerer oder aller Konten eines Prinzipals, auch für Geschwisterkonten möglich.
Berechtigungen	SIEM-relevante APIs	Alle APIs, die gemäß Mitgliedschaftsangabe pro Konto zulässig sind, einschließlich Schreiboptionen.	Alle APIs, die gemäß Mitgliedschaftsangabe pro Konto zulässig sind, einschließlich Schreiboptionen.
Maximale Lebensdauer	Unbegrenzte, aber regelmäßige Rotation empfohlen	1 - 3560 Tage, Kurzzeitschlüssel und regelmäßiger Wechsel empfohlen.	1 - 356 Tage, kurzlebige Schlüssel und regelmäßiger Wechsel empfohlen.
Maximale Anzahl	Eine pro Projekt	Fünf pro Konto pro Kapital, insgesamt 100 pro Kapital.	Fünf pro Konto pro Kapital, insgesamt 100 pro Kapital.
Anwendungsfälle	Abrufen von Geräteprotokollen eines einzelnen Kontos zur Nutzungsüberwachung, wobei ein bestimmter Satz von SIEM-relevanten APIs abgefragt wird.	z. B. Abrufen von Überwachungsdaten mehrerer untergeordneter Konten; Zuweisung von Netzwerken an mehrere Standorte über API-Skript; Anspruch, Lizenzierung und Zuweisung von Geräten an Standorte über API-Skript; Massengerätekonfiguration über API-Skript.	z. B. Abrufen von Überwachungsdaten mehrerer untergeordneter Konten; Zuweisung von Netzwerken an mehrere Standorte über API-Skript; Anspruch, Lizenzierung und Zuweisung von Geräten an Standorte über API-Skript; Massengerätekonfiguration über API-Skript

SIEM-API-Schlüssel (Secure Information and Event Management) können an bestimmte Endpunkte des LMC ausgegeben werden und dienen nur dazu, Informationen zu bestimmten Ereignissen innerhalb eines einzigen Kontos zu sammeln. Jeder andere Endpunkt gibt einen sprechenden HTTP-Fehler zurück, wenn versucht wird, mit einem SIEM-API-Schlüssel darauf zuzugreifen. Diese Schlüssel können auch nicht für Schreib- oder Löschvorgänge verwendet werden. Nur Projektadministratoren können SIEM-API-Schlüssel erstellen oder widerrufen. Projektadministratoren müssen sicherstellen, dass die SIEM-API-Schlüssel eines Projekts gedreht werden, wenn ein Prinzipal mit Zugriff auf die SIEM-API-Schlüssel eines Projekts keinen Zugriff mehr auf dieses Projekt hat (siehe Abschnitt „Offboarding“).

Prinzipal-gebundene API-Schlüssel sind an einen einzelnen Prinzipal gebunden und erben oder spiegeln die Berechtigungen dieses Prinzipals innerhalb des LMC-Kontos, auf das ein Prinzipal mit diesem bestimmten API-Schlüssel zugreifen wird. Sie eignen sich ideal, wenn Aktionen einer bestimmten Person zuzuordnen sind (für Audit, Limits pro Prinzipal oder feinkörnige Autorisierung) oder für persönliche Automatisierungen, die Skripte wie Skripte, die eine API mit den LMC-Kontorechten eines bestimmten Prinzipals aufrufen, verwenden. Jeder Prinzipal verfügt in der Regel über eigene Schlüssel, die nur von diesem Prinzipal sichtbar und verwaltbar sind. Dies unterstützt Prüfpfade pro Prinzipal und erleichtert die Reaktion auf Vorfälle, indem einzelne Prinzipalschlüssel widerrufen werden, anstatt einen gemeinsamen SIEM-API-Schlüssel zu drehen.

Der Umfang eines prinzipiell gebundenen API-Schlüssels kann bei der Erstellung ausgewählt werden und entweder auf nur ein Konto (Organisation oder Projekt, „Single Account API Key“) beschränkt sein oder für den kontoübergreifenden Zugriff ausgewählt werden. Einzelne Kontoschlüssel können nur ein Projekt oder eine Organisation enthalten, auf das bzw. die sie Zugriff gewähren. Wenn Sie einen prinzipal-gebundenen API-Schlüssel besitzen, für den der Zugriff auf eine Organisation mit aktivierter LMC-Administratorvererbung aktiviert ist, können Prinzipale, die von einer Organisation an untergeordnete Projekte vererbt werden, auch auf alle untergeordneten Projekte mit einem API-Schlüssel zugreifen, wenn sich Projektadministratoren nicht aus der Administratorvererbung ausgeschlossen haben. Kontoübergreifende Zugriffsschlüssel können eine Auswahl von Geschwisterkonten oder allen Konten, denen ein Prinzipal angehört, unabhängig von ihrer Beziehung zu einem bestimmten Elternkonto enthalten. Aufgrund ihres potenziellen Umfangs müssen Cross-Account-Schlüssel sehr sorgfältig erstellt und sicher gespeichert werden.

Die Standardanzahl von prinzipal-gebundenen API-Schlüsseln ist auf 100 Schlüssel pro Prinzipal begrenzt, während die Anzahl von API-Schlüsseln pro Prinzipal pro Projekt auf fünf begrenzt ist.

Jede Prinzipal-gebundene oder SIEM-API-Schlüsselerzeugung oder -sperrung wird in den Konten protokolliert, auf die der Schlüssel zugreifen kann. Im Falle einer Administratorvererbung wird sie nur in der Organisation protokolliert, für die sie erstellt oder widerrufen wurde, aber noch in den untergeordneten Konten. Bei jeder API-Schlüsselerzeugung wird der Schlüsselwert selbst nur einmal angezeigt, sodass die Hauptbenutzer sicherstellen müssen, dass der Schlüssel sofort kopiert wird. Wenn dies vergessen wird, können Prinzipale nur diesen bestimmten Schlüssel widerrufen und einen neuen erstellen. Für jeden erstellten API-Schlüssel müssen Prinzipale je nach Umfang und Nutzung eine Ablaufoption für den Schlüssel auswählen:

Aufgrund des begrenzten Satzes von Rechten, die für diesen Zweck gewährt werden, sind LMC-SIEM-API-Schlüssel nicht dazu bestimmt, abzulaufen. Sie können von einem Projektadministrator jederzeit widerrufen werden. Dennoch empfehlen wir dringend, regelmäßig auch SIEM-API-Schlüssel zu entziehen, neu zu erstellen und bereitzustellen, um mögliche Sicherheitsprobleme nicht zu beheben.
Prinzipal gebundene API-Schlüssel mit einem Kontoumfang auf Projektebene können eine Gültigkeit zwischen 1 und 365 Tagen haben oder unbegrenzt bleiben, während die Option „unbegrenzt“ durch das LMC-Backend auf 3650 Tage der Schlüssellebensdauer beschränkt ist. Es wird dringend empfohlen, für alle API-Schlüssel eines einzelnen Kontos immer die zeitbasierte Ablaufoption zu verwenden. Beispiele für bewährte Verfahren sind kurzlebige Tasten und regelmäßige Drehungen.
Prinzipal gebundene API-Schlüssel mit kontoübergreifendem Umfang werden immer mit einem zeitbasierten automatisierten Ablauf erstellt, der bei jeder API-Schlüsselerstellung ausgewählt werden muss und zwischen 1 und 365 Tagen variieren kann. Beispiele für bewährte Verfahren sind kurzlebige Tasten und regelmäßige Drehungen.

Projektadministratoren können die Verwendung von API-Schlüsseln in dem jeweiligen Konto, für das sie verantwortlich sind, generell untersagen. API-Schlüssel können nicht neu für Konten erstellt werden, deren Administrator den Zugriff auf API-Schlüssel verweigert hat. Der Versuch, mit einem Schlüssel, der vor der Einschränkung erstellt wurde, auf diese Konten zuzugreifen, führt zu einer HTTP-Status-403-Fehlermeldung (nicht autorisiert). Jeder Kontozugriff mit einem beliebigen API-Schlüssel wird im entsprechenden Kontoprotokoll protokolliert. Jede Verwaltungsaktion, die in der Regel im Kontext eines Kontos protokolliert wird, wird als von einem API-Schlüssel ausgeführt angezeigt.

Seit Dezember 2025 können API-Schlüssel nicht mehr von IdP-verwalteten Prinzipalen in LMC erstellt und verwendet werden. Wenn dies nicht durch Compliance-Anforderungen verboten ist, ist eine Mischung aus IdP- und LMC-verwalteten Prinzipalen pro Konto durch die LMC-Technologie zulässig. In diesem Szenario können LMC-verwaltete Prinzipale mit persönlichen API-Schlüsseln für die Automatisierung verwendet werden. Die Verwendung von API-Schlüsseln muss dann von den Kontoadministratoren genau überwacht werden, ebenso wie ggf. das potenzielle manuelle Prinzipal-Offboarding (siehe auch Abschnitt „Manuelles Offboarding“). Weitere Sicherheitsverbesserungen für die Verwendung von API-Schlüsseln in LMC-IdP-Benutzerverwaltungsszenarien werden derzeit erforscht.

IdP-Prinzipalverwaltung

Das Identity Provisioning Tool (IdP) basierte Prinzipal-Management wurde in LMC eingeführt, um die rechtlichen Anforderungen der EU zu erfüllen und die LMC-Prinzipal-Verwaltung selbst zu vereinfachen. Um besonders geforderte Kriterien für die Zugriffskontrolle zu erfüllen, delegiert der LMC im ersten Schritt den Identitätsnachweis vollständig über OpenID Connect (OIDC) Auth Code Flow mit Proof Key for Code Exchange (PKCE) an den IdP. Der IdP überprüft die Anmeldeinformationen (E-Mail und Kennwort, wie in IdP gespeichert) und gibt dann ein signiertes ID-Token aus, das der LMC validiert und verwendet, um eine lokale Sitzung für eine bestimmte Prinzipalidentität einzurichten. Nach der Überprüfung der Identität eines Prinzipals wird die Inbuild-Sitzungsverwaltung von LMC angewendet.

Derzeit hat sich Microsoft EntraID mit OIDC V2 Endpunkten, Keycloak, Okta/ Auth0 und OpenTextAccess bewährt, und wir erwarten, dass jedes andere IdP-Tool auch funktioniert, wann immer der OIDC-Standard korrekt implementiert ist. In diesem Szenario

Die Anmeldung bei LMC erfolgt über den IdP des Kunden.
LMC vertraut nur signierten, validierten Antworten und sieht oder speichert niemals die primären Anmeldeinformationen des Prinzipals.
Kennwörter, persönliche 2FA-Schlüssel und persönliche API-Schlüssel von Prinzipalen mit einer bestimmten E-Mail-Domäne werden entfernt, wenn eine IdP-Konfiguration für diese Domäne aktiviert wird, um die Sicherheit zu erhöhen.
Ein nicht reagierender IdP führt zu typischen HTTP-Fehlern. Nur wenn die entsprechende IdP-Konfiguration von einem Kontoadministrator deaktiviert wird, können Prinzipale der betroffenen Domain die Funktion „Passwort vergessen“ auf dem LMC-Login-Bildschirm verwenden, um wieder Zugriff zu erhalten. Dies funktioniert nur, solange die IdP-Konfiguration für diese Domäne nicht erneut aktiviert wird. Anschließend entfernt der LMC erneut Kennwörter, zweite Faktoren und prinzipgebundene API-Schlüssel, die diese Prinzipale möglicherweise in der Zwischenzeit festgelegt oder erstellt haben.

Um die IdP-Prinzipal-Authentifizierung für Prinzipale einer bestimmten Domäne zu aktivieren, kann die entsprechende IdP-Konfiguration in einem beliebigen Konto des LMC durchgeführt werden. Jede Änderung der Konfiguration wird im Kontoprotokoll dieses Kontos angezeigt.

Wenn die Verwaltung und Authentifizierung von IdP-Prinzipalen für eine bestimmte Domäne aktiviert ist, können Prinzipale dieser Domäne LMC-Konten selbst erstellen, indem sie

Zugriff auf die LMC-Anmeldeseite,
die entsprechende IdP-Authentifizierung durchführen,
und bei der ersten Rückkehr zum LMC und der Annahme des Dokuments mit den wichtigsten Nutzungsbedingungen.
Wenn die IdP-Konfiguration für diese Domäne nur für die Authentifizierung eingerichtet ist, müssen Kontoadministratoren Kontoeinladungen für diese Prinzipale bereitstellen, damit sie mit der durch diese Einladung gewährten Rolle auf das Konto zugreifen können.

Darüber hinaus kann LMC konfiguriert werden, um auf Grundlage der vom IdP bereitgestellten Autorisierungsdaten und der in LMC durchgeführten Mappings zu bewerten, welche Autorisierung einem bestimmten Prinzipal erteilt wird. Der IdP muss dann Identitäts- und grobkörnige Signale (Gruppen/Rollen) liefern, woraus sich eine bestimmte LMC-Hauptrolle ergibt. Feinkörnige Prüfungen werden mit den eigenen RBAC-Regeln des LMC für jede UI- oder API-Operation durchgeführt, wobei die etablierte Prinzipalidentität und der Kontenkontext verwendet werden. LMC-Mitgliedschaften werden für diese Prinzipale nicht wirksam, und es werden keine Mitgliedschaften für einen Prinzipal gespeichert, um sicherzustellen, dass einem Prinzipal immer nur die Rechte gewährt werden, die aus den ID-Tokendaten der aktuellen Sitzung abgerufen werden. Es wird nicht empfohlen, diesen Prinzipalen zusätzliche direkte Mitgliedschaften im autorisierten IdP-Konto (oder in der Kontohierarchie) bereitzustellen, um von der IdP gewährte Rechte nicht außer Kraft zu setzen. Direkte Mitgliedschaften für autorisierte IdP-Prinzipale können jederzeit in einem gleichgeordneten Konto erstellt werden, um Zugriff auf das autorisierte IdP-Konto (oder die Kontohierarchie) zu gewähren.

Ab Januar 2026

Pro Prinzipal kann einer IdP-Gruppen-/App-Rollenzuordnung nur eine LMC-Autorität zugewiesen werden, was zu einer einzelnen Rolle, z. B. einer Projektrolle, in allen Projekten führt, auf die ein bestimmter Prinzipal Zugriff hat.
Mehrere IdP-Gruppen können einer LMC-Behörde zugeordnet werden.
Eine IdP-Gruppe/-Rolle kann für die Organisations- oder Projektzuordnung leer gelassen werden, was dazu führt, dass Prinzipale mit dieser IdP-Gruppe/-App-Rolle keinen Zugriff auf die Kontenebene haben, die für die LMC-Autoritätszuordnung leer gelassen wurde.

Wenn ein IdP-Benutzerkonto deaktiviert wird oder sich die entsprechende Gruppenmitgliedschaft/App-Rolle im IdP ändert, führt die nächste LMC-Anmeldung oder Sitzungsvalidierung mit dem IdP zu aktualisierten Berechtigungen oder sogar zu einer Zugriffssperrung in LMC.

Sitzungssicherheit

Die Authentifizierung und Autorisierung in LMC basiert auf signierten JSON Web Tokens (JWTs). Mit dem Signaturmechanismus können andere Mikrodienste die Integrität aller im Token gesendeten Informationen validieren. Browser-Instanzen, die von Prinzipalen (Clients) verwendet werden, können einen dedizierten Endpunkt anfordern, um neue Zugriffstoken entweder auf Basis von Benutzername und Kennwort oder auf Basis vorhandener Token zu erstellen. Einmal ausgestellt, kann der Client mit diesem Token (innerhalb des vordefinierten Zeitrahmens) nachweisen, dass er sowohl authentifiziert als auch zum Zugriff auf den angeforderten Teil der Geschäftslogik berechtigt ist. Dazu wird das Token als Teil jeder Anforderung in ihrem Header angewendet.

Es gibt einige Konsequenzen für das Benutzererlebnis, die durch das obige Konzept verursacht werden:

Um eine flüssige Benutzererfahrung zu ermöglichen, kann eine einzelne LMC-UI-Sitzung auf mehrere Browser-Registerkarten derselben Browser-Instanz verteilt werden.
Das Schließen einer Browserinstanz führt nicht zum Beenden der LMC-Sitzung, es sei denn, die Sitzung wird in der Zwischenzeit beendet.
Das Öffnen einer zweiten Instanz desselben Browsers führt nicht zu einer erneuten Anmeldung.
Das Öffnen eines anderen Browsers (z.B. Mozilla-Typ zusätzlich zum ursprünglich verwendeten Chrome/Edge-Typ-Browser) oder des ersten Inkognito-Modus-Reiters einer Browser-Instanz erfordert vom Prinzipal, dass er eine neue gültige LMC-Sitzung erstellt, indem er sich beim LMC anmeldet.
Aktive LMC-Sitzungen werden auch auf die Incognito-Modus-Tabs derselben Incognito-Modus-Browser-Instanz verteilt.
Alle oben aufgeführten Aufzählungspunkte gelten auch für verwaltete IdP-Prinzipale.
In Umgebungen mit gemeinsam genutzten Geräten wird dringend empfohlen, sich vom LMC abzumelden und alle LMC-Browser-Tabs zu schließen, bevor ein Gerät unbeaufsichtigt gelassen wird. Sicherheitsmaßnahmen zum Schutz des Geräts oder des Betriebssystemzugriffs selbst sind nicht Teil dieser Dokumentation.
Um sicherzustellen, dass keine LMC-Prinzipal-Sitzung zu lange verlängert werden kann, können Prinzipale in ihrem persönlichen Profilabschnitt auswählen, wie lange eine aktive LMC-Sitzung von der LMC-Benutzeroberfläche am Leben erhalten werden soll. Der Standardwert ist auf 30 Minuten festgelegt, kann aber um 5 Minuten reduziert werden, z. B. um 5 Minuten, oder auf maximal 12 Stunden erweitert werden. In typischen Geschäftsfällen empfehlen wir, den Standardwert von 30 Minuten beizubehalten.

Die IdP-Sitzungsbehandlung folgt den oben beschriebenen Prinzipien.

Datenaufzeichnung

Die Protokollierung in LMC erfolgt an mehreren Stellen, und der Protokollzugriff ist auf bestimmte Hauptrollen beschränkt (Organisationsadministrator auf Organisationsebene, Projektadministrator und technischer Administrator auf Projektebene). Jeder Log-Eintrag wird bei der Verarbeitung der entsprechenden Aktionen im LMC-Backend zusammengestellt. Protokollnachrichten haben unterschiedliche Vorlagen pro Typ sowie für die englische und deutsche Sprache. Jeder Service stellt seine eigenen Übersetzungsvorlagen für die entsprechenden Nachrichtentypen zur Verfügung. Protokolleinträge selbst können von keinem LMC-Prinzipal, Automatisierungsprinzipal oder Dienst, der einen Eintrag erstellt hat, geändert werden. Der Schutz von Protokolleinträgen auf Datenbankebene ist nicht Gegenstand dieser Dokumentation.

Audit-Protokollierung

Kontoüberwachungsprotokolle auf Verteilungs-, Organisations- und Projektebene werden 365 Tage lang gespeichert. Anschließend werden die entsprechenden Datenbankeinträge durch automatisierte Datenbasis-Jobs gelöscht. Nur Kontoadministratoren oder technische Administratoren eines Projekts können auf Kontoüberwachungsprotokolle zugreifen. Üblicherweise werden Aktionen, die auf den Projekteinstellungen oder Verwaltungsseiten ausgeführt werden, protokolliert, z. B.:

Erstellung oder Löschung von Hauptkonten,
Erstellung oder Widerruf von API-Schlüsseln,
Prinzipalanmeldungen am Konto, auch für IdP-verwaltete Prinzipale,
Änderungen der Mitgliedschaften eines Prinzipals innerhalb eines Kontos,
die Aktivierung oder Aufhebung der 2FA-Einschränkung eines Kontos oder einer anderen kontosicherheitsrelevanten Änderung,
Netzwerkerstellung oder Änderungsereignisse,
Geräteantrag, Entfernung oder Änderung des Lizenzstatus.

Jeder Kontoüberwachungsprotokolleintrag enthält mindestens einen Übersichtsabschnitt, der auf den ersten Blick und ohne weitere Interaktion lesbar ist:

Protokollebene und Zeitstempel der protokollierten Aktion,
Vom Benutzer lesbarer Protokollaktionstyp
E-Mail-Adresse des Prinzipals, der die Aktion ausgeführt hat, die zu diesem Protokolleintrag geführt hat,

Bei expliziter Erweiterung des Protokolleintrags werden zusätzliche Informationen angezeigt:

der Dienst, der den Eintrag erstellt hat,
Ein Bezeichner für die erstellte Entität (in der Regel der Name, der ihr vom Prinzipal, der sie erstellt hat, gegeben wurde) und die Quelle der ausgeführten Aktion. Die Quelle kann der Browser sein, den ein Prinzipal für den Zugriff auf die LMC-UI verwendet. In diesem Fall werden der Browsertyp, das Betriebssystem und die aktuelle LMC-UI-Version aufgezeichnet.
Wenn eine Aktion mithilfe einer Automatisierung ausgeführt wird, wird die IP-Adresse, die die Anforderung ausgegeben hat, sowie das Tool zum Auslösen der Aktion, sofern bekannt, aufgezeichnet.

Der Zugriff auf das Prüfprotokoll mit API-Schlüsseln ist auf prinzipal-gebundene Schlüssel von LMC-verwalteten Kontoadministratoren und technischen Administratoren eines Projekts beschränkt (siehe auch Abschnitt „Alternative Authentifizierungsmethoden“).

Device Logging

Auf Geräteprotokolle können nur Projektadministratoren, technische Administratoren und Projektmitglieder auf Projektebene zugreifen. Zum Anzeigen eines Geräteprotokolls muss die jeweilige Geräteentität ausgewählt und die Konfigurationsseiten eingegeben werden. Jeder Device Log Eintrag enthält mindestens einen Übersichtsausschnitt, der auf den ersten Blick und ohne weitere Interaktion lesbar ist:

Protokollebene und Zeitstempel der protokollierten Aktion,
Vom Benutzer lesbarer Protokollaktionstyp,
E-Mail-Adresse des Prinzipals, der die Aktion ausgeführt hat, die zu diesem Protokolleintrag geführt hat. Wurde eine Aktion über die Konfigurationsschnittstelle am Gerät selbst durchgeführt, so wird statt der E-Mail-Adresse des LMC-Prinzipals der Wert „system“ gesetzt.

Bei expliziter Erweiterung des Protokolleintrags werden zusätzliche Informationen angezeigt:

der Dienst, der den Eintrag erstellt hat,
die Geräte-ID,
Gerätename, geänderte Werte der Gerätekonfiguration (falls zutreffend).

Geräteprotokolle können automatisiert abgerufen werden, indem entweder SIEM- oder prinzipal-gebundene API-Schlüssel verwendet werden (siehe auch Abschnitt „Alternative Authentifizierungsmethoden“).

Offboarding

Um sicherzustellen, dass ein LMC-Prinzipal nicht mehr auf Ressourcen zugreifen kann, die einem bestimmten Kunden gehören, nachdem ein Mitarbeiter die Arbeit für dieses bestimmte Unternehmen beendet hat, gibt es in diesem Fall meist zwei Möglichkeiten, Bedenken zu trennen.

Manuelles Offboarding

Prinzipal-Offboarding für von LMC verwaltete Prinzipale erfordert manuelle Schritte, die von einem Kontoadministrator durchgeführt werden (Verteilung, Organisation und Projekt, falls zutreffend). Diese Aktionen müssen für jeden Prinzipal durchgeführt werden, der keinen Zugriff mehr auf den LMC haben soll und die folgenden Schritte umfassen:

Entfernen Sie alle Mitgliedschaften für alle Konten, auf die der Prinzipal Zugriff hat.
Entfernen Sie direkte Mitgliedschaften auch für alle untergeordneten Konten von Organisationen, für die die Vererbung aktiviert ist, auf die der Prinzipal aufgrund der Administratorvererbung möglicherweise Zugriff hat und zu der er eine Einladung erhalten hat.
Die persönlichen API-Schlüssel dieses Prinzipals widerrufen.
Drehen von SIEM-API-Schlüsseln von Projekten, auf die der Prinzipal Zugriff hat.
Ändern Sie Kennwörter von Geräten und Hotspots von Konten, auf die der Prinzipal Zugriff hat.
Es wird auch empfohlen, den LMC-Prinzipal selbst zu löschen. Dies kann nur entweder von der Person, die einen bestimmten LMC-Prinzipal besitzt, über dessen Hauptprofilabschnitt erfolgen, oder mit einer speziellen und dokumentierten Anfrage muss das Unternehmen, das ein Konto besitzt, ein Gespräch mit unserem LMC-Support-Kompetenzteam aufnehmen (Anforderung und Dokumentation in der Support-Jira erforderlich).

Offboarding für IdP-verwaltete Prinzipale

Das Offboarding für IdP-verwaltete Prinzipale erfordert weniger manuelle Arbeit als das Offboarding von LMC-verwalteten Prinzipalen, muss jedoch mit der gleichen Aufmerksamkeit durchgeführt werden.

Für jede Person mit LMC-Zugriff, die a) nicht mehr für ein bestimmtes Unternehmen arbeitet oder b) Zuständigkeiten innerhalb dieses Unternehmens ändert, müssen IdP-Administratoren dieses Unternehmens die IdP-Konfiguration dieses Prinzipals so ändern, dass bei einem Anmeldeversuch keine positiven Prüfergebnisse mehr an das LMC zurückgegeben werden.
Bei jedem Anmeldeversuch prüft der LMC mit dem für Prinzipale einer bestimmten Domäne konfigurierten IdP, ob ein bestimmter Prinzipal in diesem IdP noch aktiv, gültig oder vorhanden ist.

Solange diese Prüfung erfolgreich ist, darf ein Prinzipal in den LMC eindringen.
Ist diese Prüfung negativ, wird kein Zugriff auf den LMC gewährt.

Zusätzlich empfehlen wir dringend, regelmäßig zu prüfen und anzupassen

alle vom Auftraggeber gewährten LMC-Zugriffsrechte und -Rechte, egal ob im LMC selbst oder im IdP.
Wenn die Vererbung eines Administrators für eine Organisation oder einen bestimmten Prinzipal weiterhin erforderlich ist, und falls zutreffend, direkte Projektmitgliedschaften von anfänglich geerbten Administratoren.

Für authentifizierte IdP-Prinzipale speichert der LMC direkte Mitgliedschaften.

Beachten Sie Folgendes: Entfernen Sie die Mitgliedschaften eines Prinzipals immer manuell, auch wenn die IDp-Prinzipalauthentifizierung aktiviert ist, um zu verhindern, dass das Kennwort zurückgesetzt wird, wenn ein IdP von einem Kontoadministrator deaktiviert wird.

Für zusätzlich IdP-autorisierte Prinzipale werden auch Zugriffsrechte über zurückgegebene Werte aus dem IdP gewährt. Die LMC speichert in diesem Fall keine Mitgliedschaften, sodass das Deaktivieren oder Entfernen eines Prinzipals oder seiner Rechte aus dem zuständigen IdP ausreicht, um den LMC-Zugriff für einen Prinzipal effektiv zu blockieren.

Dennoch müssen direkte Mitgliedschaften von IdP-autorisierten Prinzipalen auch manuell entfernt werden. Das Entfernen des LMC-Prinzipals selbst ist optional und muss wie oben beschrieben erfolgen.

Vielen Dank für Ihr Feedback! Konstruktive Vorschläge zur Verbesserung unserer Knowledge Base oder Anregungen zu neuen Artikeln können Sie uns auch per E-Mail an knowledgebase@lancom.de senden.