Passwort-Vergessen-Funktion

Per Standard sieht der Anmeldedialog von Lobster Data Platform / Orchestration eine Verknüpfung "Passwort vergessen?" (1) vor, über die ein berechtigter Benutzer, der sein Passwort vergessen hat, ohne die Unterstützung eines Administrators wieder Zugang zum System erlangen kann.

Das folgende Verfahren ermöglichst dies, sofern das betreffende Benutzerkonto aktiv und nicht für die LDAP-Authentifizierung konfiguriert ist:

  1. Der Benutzer klick auf die Verknüpfung "Passwort vergessen?" im Anmeldedialog.

  2. Er legitimiert sich durch die Eingabe seines Benutzernamens und einer als Kommunikationsinformation in seinem Benutzerkonto hinterlegten E-Mail-Adresse.

  3. Eine vom Administrator konfigurierte Ereignisbehandlung versendet eine E-Mail an die hinterlegte Adresse, die neben Informationen zur Passwortänderung einen Token (s. Abschnitt "Neues Passwort vergeben") bereitstellt.

  4. Der Benutzer verwendet diesen Token, um selbst ein neues Passwort setzen zu können, ohne das vorherige angeben zu müssen.

Details zum Verfahren beschreiben die folgenden Abschnitte. Zur Konfiguration der Ereignisbehandlung s. Passwort-Vergessen-Funktion konfigurieren.

Die Funktionalität (bzw. die Anzeige des Links im Anmeldedialog) kann bei Bedarf global deaktiviert werden (s. Passwort-Vergessen-Funktion ausschalten)

Passwortänderung beantragen

images/download/attachments/91130954/image2017-5-22_15_17_25-version-1-modificationdate-1642092299831-api-v2.png

Nach einem Klick auf den Link wird der Benutzer aufgefordert seinen Benutzernamen und eine E-Mail-Adresse anzugeben.

images/download/attachments/91130954/image2017-5-22_15_20_23-version-1-modificationdate-1642092299828-api-v2.png

Der Button Senden (3) wird erst aktiviert, wenn der Benutzername angeben ist, und das Feld E-Mail eine formal gültige E-Mail-Adresse enthält.

Ein Klick auf "Senden" löst folgende Überprüfungen aus:

Überprüfung

Verhalten im Fehlerfall

Ein Benutzerkonto mit dem angegeben Benutzernamen ist vorhanden?

Meldung "Benutzername und E-Mail-Adresse können nicht zugeordnet werden", wenn Benutzername nicht vorhanden

Dieses Benutzerkonto ist aktiv?

Meldung "Der Benutzer ist nicht aktiv" erscheint, wenn nicht aktiv.

Die angegebene E-Mail-Adresse ist als Kommunikationsinformation im Benutzerkonto hinterlegt?
WICHTIG◄ Die Schreibweise muss inkl. Groß-/Kleinschreibung übereinstimmen.

Meldung "Benutzername und E-Mail-Adresse können nicht zugeordnet werden", wenn die angegebene E-Mail-Adresse nicht hinterlegt ist.

Das Benutzerkonto ist NICHT für LDAP-Authentifizierung konfiguriert?

Meldung "Der angegebene Benutzer ist einen LDAP Service authentifiziert. (...)", wenn das Benutzerkonto für LDAP konfiguriert ist.

Falls alle Prüfungen positiv ausfallen, wird das Ereignis "Passwort / Reset angefordert" ausgelöst, für das eine spezifische Ereignisbehandlung (s. Passwort-Vergessen-Funktion konfigurieren) hinterlegt sein muss, die dafür sorgt, dass der Benutzer eine E-Mail mit einem Token für die Passwortänderung erhält.

Neues Passwort vergeben

Der Zugang zur Passwortänderung per Token erfolgt, indem die für den Zugriff auf Lobster Data Platform / Orchestration verwendete URL um den Parameter pwdRequestToken mit der Zeichenfolge des Tokens erweitert wird. Der Link mit dieser Kombination kann im versendeten E-Mail bereits als Verknüpfung zum Anklicken bereitgestellt werden.

Beispiel: https://scm_portal.[...].com?pwdRequestToken=MTY4amZyZHhqa2x5ayMxNTM2NTY8QTg3MDA0I0tJTExNRTI%3D Ein Link wie dieser kann in der E-Mail per HTML auch ansprechender aufbereitet werden:

images/download/attachments/91130954/image2022-1-13_17-47-9-version-1-modificationdate-1642092429344-api-v2.png

Beim Klick auf den Link (im Beispiel als beschrifteter Button formatiert) startet der Lobster Data Platform / Orchestration-Client mit dem Parameter pwdRequestToken und der Token wird auf Gültigkeit geprüft.

Ein für die Passwortänderung ausgestellter Token wird ungültig, ...

  • ... sobald er zum Ändern des Passworts verwendet wird.

  • ... wenn er nicht innerhalb 24 Stunden nach Ausstellung verwendet wird.

  • ... sofern für dasselbe Benutzerkonto erneut ein Token beantragt wird.

Ist ein Token ungültig oder nicht mehr gültig, dann wird dies per Popup (1) und als Meldung (2) mitgeteilt.

images/download/attachments/91130954/image2017-5-23_8_8_21-version-1-modificationdate-1642092299802-api-v2.png

Mit einem gültigen Token erscheint sofort die Aufforderung zur Passwortänderung:

images/download/attachments/91130954/image2017-5-23_8_3_42-version-1-modificationdate-1642092299812-api-v2.png

Der Benutzer muss sein neues Passwort (1) zur Sicherheit vor Tippfehlern wiederholen (2).


images/download/attachments/91130954/image2017-5-23_8_5_27-version-1-modificationdate-1642092299805-api-v2.png

Sind beide Werte übereinstimmend gefüllt, wird der Senden-Button (1) aktiv, mit dem die Passwortänderung abgeschlossen werden kann.

images/download/attachments/91130954/image2017-5-23_9_27_15-version-1-modificationdate-1642092299797-api-v2.png

Nach dem Setzen des Passwortes wird eine Erfolgsmeldung angezeigt, und der Benutzer kann sich nun mit dem neuen Passwort anmelden.

WICHTIG◄ Falls die Passwortänderung abgebrochen wird, bleibt der Token gültig und der Link kann später erneut verwendet werden, solange er nicht durch andere der eingangs genannten Faktoren ungültig wird. Insofern kann der Abbruch der Passwortänderung an einem gemeinsam mit anderen Benutzern verwendeten Arbeitsplatz ein Sicherheitsrisiko darstellen, falls der Link mit dem Token z. B. über den Browserverlauf anderen zugänglich wird.