Sicherheit
Zugriffskontrolle
IP-Whitelist und Anmeldemethoden (OAuth/SSO) — Konfiguration und Wirkungsweise
Enneo bietet zwei unabhängige Mechanismen zur Kontrolle des Systemzugangs: eine netzwerkbasierte IP-Whitelist und eine identitätsbasierte Konfiguration der erlaubten Anmeldemethoden. Beide Mechanismen greifen auf unterschiedlichen Ebenen und lassen sich kombinieren.
IP-Whitelist
Die IP-Whitelist beschränkt den Zugriff auf Enneo auf Basis der Netzwerkadresse des anfragenden Clients. Ist die Einstellung aktiv, werden alle Anfragen von Benutzern abgewiesen, deren IP-Adresse nicht in der Liste enthalten ist.
Die Konfiguration findest du unter
Erweiterte Einstellungen → Datenschutz → Zugriffssteuerung - IP Whitelist.
Die Einstellung nimmt eine Liste von IP-Adressen oder CIDR-Bereichen entgegen. Sowohl IPv4 als auch IPv6 werden unterstützt.
["192.168.1.0/24", "10.0.0.5", "2001:db8::/32"]Ist die Liste leer, ist der Zugriff ohne IP-Beschränkung möglich. Sobald mindestens ein Eintrag gesetzt ist, wird jede Anfrage geprüft — bei einem Treffer wird der Zugriff gewährt, andernfalls verweigert.
Tip
Beim Setzen der IP-Whitelist prüft das System, ob die eigene IP-Adresse des konfigurierenden Benutzers ebenfalls in der Liste enthalten ist. Ist das nicht der Fall, wird die Speicherung abgelehnt — als Schutz vor versehentlicher Selbstsperrung.
Anmeldemethoden (OAuth / SSO)
Enneo unterstützt mehrere Anmeldemethoden, die pro Mandant konfiguriert werden.
Die SSO-Konfiguration findest du unter Erweiterte Einstellungen → Single-Sign-On.
Erlaubte Anmeldemethoden
Die Einstellung legt fest, welche Login-Typen aktiv sind:
| Wert | Beschreibung |
|---|---|
microsoft | Microsoft Azure AD / Entra ID (OAuth2/OIDC) |
google | Google OAuth2 |
oauth | Generischer OAuth2-Anbieter (konfigurierbar) |
local | Lokale Anmeldung mit E-Mail und Passwort |
Note
Benutzer, die ausschließlich über SSO angelegt wurden, können sich nicht über
die lokale Anmeldung einloggen — auch wenn local aktiviert ist.
Erlaubte E-Mail-Domains
Ist diese Einstellung gesetzt, werden neue Benutzer nur dann angelegt, wenn ihre E-Mail-Adresse zu einer der konfigurierten Domains gehört.
["example.com", "partner.org"]Info
Bestehende Benutzer sind nicht betroffen — die Prüfung erfolgt ausschließlich bei der erstmaligen Anlage eines Accounts via SSO. Ist die Liste leer oder nicht gesetzt, gibt es keine Domain-Einschränkung.