Termin buchen
Sign In
View Categories

Identitäten verwalten in Attrian

Geschätzte Lesezeit: 10 min read

Identitäten-Management in der Attrian Plattform #

Stand: 26.06.2025

Sobald Sie ein zahlungspflichtiges Business-Konto in Attrian haben, können Sie Identitäten verwalten.

In diesem Artikel wird das Management der Identitäten dargestellt.

In Attrian haben Sie momentan 3 Arten von Identitäten, die Sie verwalten können:

  • Kontakte: Diese sind natürliche Personen, mit denen Sie und Ihr Betrieb in Kontakt sind. Diese Personen können Kund:innen, Patient:innen etc. sein.
  • Organisationen: Diese sind juristische Personen, mit denen Sie in Kontakt sind. Juristische Personen können Lieferant:innen, Kund:innen, Partner:innen, Subunternehmer:innen etc. sein.
  • Nutzer:innen (Mitarbeiter:innen): Diese sind natürliche Personen, die Sie innerhalb Ihres Unternehmens einladen und die in der Attrian Plattform zusammen mit Ihnen arbeiten.

Attrian, bietet ein umfassendes Identitäten-Management, um Authentifizierung, Autorisierung und Zugriffskontrolle für diese Identitäten sicherzustellen. Dieser Artikel beschreibt die Funktionsweise, technischen Mechanismen, Importmöglichkeiten für Mitarbeiter, Sicherheitsmaßnahmen und Datenschutzaspekte.

Überblick über das Identitäten-Management #

Das Identitäten-Management der Attrian Plattform ermöglicht Unternehmen mit einem zahlungspflichtigen Business-Konto, Identitäten effizient zu verwalten, um:

  • Identifizierung zu ermöglichen.
  • Authentifizierung sicherzustellen (z. B. via Single Sign-On, SSO, oder sektoralem Identity Provider, IDP).
  • Zugriffsrechte zu definieren (z. B. via Role-Based Access Control, RBAC, oder Group-Based Access Control, GBAC).
  • Interoperabilität mit externen Systemen zu gewährleisten (z. B. Telematikinfrastruktur, TI, für Gesundheitssoftware).
  • Sicherheit und Datenschutz gemäß DSGVO und gematik-Vorgaben zu garantieren.

Identitätskategorien #

Die Attrian Plattform unterstützt die Verwaltung der folgenden Identitätskategorien, die jeweils spezifische Anforderungen und Anwendungsfälle abdecken.

Kontakte (Natürliche Personen) #

Kontakte sind natürliche Personen, mit denen Ihr Unternehmen in Kontakt steht, wie Kund:innen, Patient:innen, Klient:innen oder andere externe Stakeholder.

  • Verwaltung:
    • Registrierung: Kontakte werden in der Plattform mit Name, E-Mail-Adresse und optional weiteren Daten (z. B. Telefonnummer, Adresse) erfasst. Diese Daten können manuell eingegeben oder über Importmechanismen (z. B. CSV) hinzugefügt werden.
    • Authentifizierung: Kontakte können sich über SSO authentifizieren, um auf Software oder Plattform-Dienste zuzugreifen. Für Gesundheitssoftware wird die sektorale IDP-Authentisierung gemäß gematik-Vorgaben unterstützt (z. B. via Gesundheitskarte, Heilberufsausweis, HBA).
    • Identifikationslösungen: Für Dienste wie qualifizierte elektronische Signaturen (QES) oder Identitätsprüfungen (z. B. KYC) können zusätzliche Daten wie Ausweisnummer oder Geburtsdatum erforderlich sein, basierend auf Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
  • Zugriffsrechte: RBAC und GBAC definieren, welche Ressourcen (z. B. Software, Dateien, Formulare) für den Kontakt zugänglich sind. Beispielsweise kann ein:e Patient:in nur auf die eigenen Gesundheitsdaten zugreifen.
  • Anwendungsfälle:
    • Ein:e Patient:in authentifiziert sich über den sektoralen IDP, um auf eine Gesundheits-App zuzugreifen und ein Rezept mit QES zu signieren.
    • Ein:e Kund:in nutzt SSO, um sich in eine Unternehmenssoftware einzuloggen und ein Formular über Filesharing zu bearbeiten.
  • Datenschutz: Die Verarbeitung der Daten von Kontakten erfolgt gemäß DSGVO, mit klaren Rechtsgrundlagen (z. B. Vertragserfüllung, Einwilligung). Softwareanbieter:innen sind für die Datenverarbeitung in ihrer Software verantwortlich und müssen dies in ihrer Datenschutzerklärung angeben.

Organisationen (Juristische Personen) #

Organisationen sind juristische Personen, mit denen Ihr Unternehmen interagiert, wie Lieferant:innen, Kund:innen, Partner:innen oder Subunternehmer:innen.

  • Verwaltung:
    • Registrierung: Organisationen werden mit Unternehmensdaten (z. B. Firmenname, Adresse, Handelsregisternummer, Steuernummer) und einer Ansprechpartner:in registriert. Die Registrierung erfolgt manuell oder über Importmechanismen (z. B. CSV).
    • Unternehmensidentifikation: Für Dienste wie eSeal, Zahlungsabwicklung oder vertragliche Vereinbarungen wird eine verifizierte Unternehmensidentität erstellt, z. B. durch den Abruf des aktuellen Handelsregisterauszugs, wir arbeiten daran den LEI (Legal Entity Identifier) oder D-U-N-S-Nummer.
    • Authentifizierung: Organisationen nutzen SSO, API-Schlüssel oder digitale Zertifikate, um auf Plattform-Dienste (z. B. Attrian API, Stripe-Zahlungen) zuzugreifen.
  • Zugriffsrechte: Organisationen können Zugriffsrechte für ihre Mitarbeiter:innen oder Abteilungen definieren (z. B. „Vertrieb“ darf auf Filesharing zugreifen, „Buchhaltung“ auf Zahlungsdaten). RBAC und GBAC regeln die Zugriffe.
  • Anwendungsfälle:
    • Lieferant:innen authentifizieren sich, um einen Vertrag mit eSeal zu signieren und Zahlungen über Stripe abzuwickeln.
    • Ein Kund:innenunternehmen weist seinen Mitarbeiter:innen Rollen zu, um auf eine Softwarelösung zuzugreifen, die über die Attrian Plattform bereitgestellt wird.
  • Datenschutz: Die Verarbeitung von Organisationsdaten erfolgt gemäß Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Zusätzliche personenbezogene Daten (z. B. Ansprechpartner) unterliegen den gleichen Datenschutzvorgaben wie Kontakte.

Nutzer:innen (Mitarbeiter:innen) #

Nutzer:innen sind natürliche Personen, die Sie als Mitarbeiter:innen in Ihr Unternehmen einladen, um in der Attrian Plattform mit Ihnen zusammenzuarbeiten.

  • Verwaltung:
    • Einladung: Mitarbeiter:innen werden per E-Mail eingeladen, sich in der Plattform zu registrieren, und erhalten einen Benutzer:innennamen sowie ein temporäres Passwort (verschlüsselt gespeichert).
    • Authentifizierung: Mitarbeiter:innen nutzen SSO für den Zugriff auf die Plattform und verknüpfte Software. Für Gesundheitssoftware wird die sektorale IDP-Authentisierung unterstützt.
    • Rollenzuweisung: Mitarbeiter:innen werden Rollen (z. B. „Administrator“, „Support“, „Nutzer:innen“) über RBAC zugewiesen, die ihre Zugriffsrechte definieren.
  • Zugriffsrechte: Mitarbeiter:innen können auf Plattform-Dienste (z. B. Signaturdienste, Filesharing, Attrian API) zugreifen, abhängig von ihrer Rolle. GBAC ermöglicht die Zuweisung von Rechten an Gruppen (z. B. „Entwickler:innenteam“).
  • Anwendungsfälle:
    • Ein:e Mitarbeiter:in authentifiziert sich, um die Attrian API zu nutzen und Signaturdienste in eine Software zu integrieren.
    • Ein:e Administrator:in verwaltet die Zugriffsrechte anderer Mitarbeitenden und lädt neue Nutzer:innen ein.
  • Datenschutz: Mitarbeiter:innendaten werden gemäß Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) verarbeitet. Die Einladung und Verwaltung erfolgt durch das Unternehmen, das die Verantwortung für die rechtmäßige Verarbeitung trägt.

3. Import von Mitarbeiter:innen #

Das Importieren von Mitarbeiter:innen in die Attrian Plattform ist ein sehr wichtiger Schritt. Abhängig von der Größe und IT-Konstellation Ihres Unternehmens können folgende Optionen genutzt werden, um Mitarbeiter:innen effizient einzubinden.

Active Directory Import #

Der Active Directory (AD) Import ermöglicht die Synchronisation von Mitarbeiter:innendaten aus Ihrem bestehenden Active Directory mit der Attrian Plattform.

  • Funktionsweise:
    • Verbindung: Die Plattform wird über einen sicheren LDAP- oder LDAPS-Endpunkt mit Ihrem Active Directory verbunden. Die Konfiguration erfolgt über das Attrian Admin-Portal (URL des Admin-Portals).
    • Datenmapping: Mitarbeiter:innenattribute wie Name, E-Mail-Adresse, Abteilung und Rolle werden den Attrian-Nutzer:innenfeldern zugeordnet. Standardattribute (z. B. sAMAccountName, mail) werden unterstützt, und benutzerdefinierte Mappings sind möglich (bitte spezifische Mapping-Optionen bestätigen).
    • Synchronisation: Die Synchronisation kann manuell oder automatisiert (z. B. täglich, wöchentlich) erfolgen. Neue Mitarbeiter:innen werden hinzugefügt, gelöschte Konten deaktiviert.
  • Voraussetzungen:
    • Ein Active Directory mit LDAP/LDAPS-Zugang.
    • Administrative Berechtigungen für die Konfiguration.
    • Eine sichere Verbindung (z. B. VPN oder IP-Whitelisting) zwischen Ihrem AD und der Plattform.
  • Vorteile:
    • Automatisierte Verwaltung großer Mitarbeiter:innenzahlen.
    • Konsistenz zwischen AD und Attrian Plattform.
    • Unterstützung für Single Sign-On über AD-basierte Authentifizierung (z. B. Kerberos, SAML).
  • Sicherheit: Die Datenübertragung erfolgt verschlüsselt (TLS/SSL), und Zugriffsrechte für den Importprozess sind streng geregelt (RBAC).
  • Anwendungsfall: Ein Krankenhaus mit 500 Mitarbeiter:innen synchronisiert täglich sein AD, um Ärzt:innen und Verwaltungspersonal als Nutzer:innen in Attrian zu verwalten.

OIDC (OpenID Connect) #

Der OIDC-Import ermöglicht die Integration von Mitarbeiter:innendaten über einen externen Identity Provider (IdP), der OpenID Connect unterstützt (z. B. Azure AD, Okta, Keycloak).

  • Funktionsweise:
    • Konfiguration: Im Attrian Admin-Portal (URL des Admin-Portals) wird der OIDC-Provider eingerichtet, indem Client-ID, Client-Secret und Endpunkte (z. B. Authorization Endpoint, Token Endpoint) angegeben werden.
    • Authentifizierung: Mitarbeiter:innen authentifizieren sich über den OIDC-Provider, und ihre Daten (z. B. Name, E-Mail, Rollen) werden bei der ersten Anmeldung in Attrian importiert.
    • Synchronisation: Benutzer:innendaten werden bei jeder Anmeldung aktualisiert, oder eine periodische Synchronisation kann konfiguriert werden (bitte spezifische Synchronisationsoptionen bestätigen).
  • Voraussetzungen:
    • Ein OIDC-kompatibler IdP.
    • Unterstützung für Standard-Claims (z. B. sub, email, name) und optional benutzerdefinierte Claims.
    • Administrative Zugriffsrechte für die IdP-Konfiguration.
  • Vorteile:
    • Nahtlose Integration mit bestehenden SSO-Lösungen.
    • Unterstützung für moderne Authentifizierungsprotokolle.
    • Flexibilität für Unternehmen mit cloudbasierten IdPs.
  • Sicherheit: OIDC verwendet sichere Protokolle (OAuth 2.0, JWT), und die Plattform validiert Tokens, um unbefugten Zugriff zu verhindern.
  • Anwendungsfall: Ein:e Softwareanbieter:in mit Azure AD importiert Entwickler:innen als Nutzer:innen in Attrian, die sich über SSO anmelden.

CSV-Import #

Der CSV-Import ermöglicht die manuelle oder halbautomatische Übertragung von Mitarbeiter:innendaten über CSV-Dateien, mit Unterstützung eines benutzer:innenfreundlichen CSV Mappers, der die Anpassung an die Plattform-Vorlage vereinfacht.

  • Funktionsweise:
    • CSV-Vorlage: Attrian stellt eine CSV-Vorlage bereit, die Felder wie Name, E-Mail-Adresse, Rolle und Abteilung enthält (URL zur CSV-Vorlage).
    • CSV Mapper: Der CSV Mapper ist ein grafisches Tool im Attrian Admin-Portal (URL des Admin-Portals), das es ermöglicht, Ihre CSV-Dateien mit einfachen Klicks an die Attrian-Vorlage anzupassen. Sie können Spalten Ihrer CSV-Datei (z. B. „Vorname“, „Nachname“) den erforderlichen Feldern der Plattform (z. B. „Name“, „E-Mail“) zuordnen, indem Sie Drag-and-Drop oder Dropdown-Menüs verwenden (bitte spezifische Funktionen des CSV Mappers bestätigen, z. B. Unterstützung für benutzerdefinierte Felder, automatische Validierung).
    • Upload und Validierung: Nach dem Mapping wird die CSV-Datei hochgeladen. Ein Validierungsprozess prüft die Datenintegrität (z. B. korrekte E-Mail-Formate, keine Duplikate). Fehlerhafte oder fehlende Einträge werden hervorgehoben, und Sie können Korrekturen vor dem Import vornehmen.
    • ACHTUNG: eMail Adressen sind Unique Identifier!
    • Import: Mitarbeiter:innen werden als Nutzer:innen erstellt oder aktualisiert. Sie können wählen.
  • Voraussetzungen:
    • Eine CSV-Datei mit Mitarbeiter:innendaten (z. B. aus einem HR-System oder Excel).
    • Zugriff auf das Attrian Admin-Portal mit administrativen Rechten.
  • Vorteile:
    • Benutzer:innenfreundliche Anpassung durch den CSV Mapper, ideal für Unternehmen ohne standardisierte CSV-Formate.
    • Geeignet für kleinere Unternehmen oder einmalige Imports.
    • Flexibilität bei der Datenquelle, da unterschiedliche CSV-Formate unterstützt werden.
  • Sicherheit: Die hochgeladene CSV-Datei wird verschlüsselt übertragen (TLS/SSL) und nach dem Import gelöscht, um Datenlecks zu vermeiden. Der Zugriff auf den CSV Mapper ist durch RBAC auf Administrator:innen beschränkt.
  • Anwendungsfall: Ein mittelständisches Unternehmen exportiert Mitarbeiter:innendaten aus einem HR-System als CSV, passt die Spalten mit dem CSV Mapper an die Attrian-Vorlage an und importiert 50 Mitarbeiter:innen in die Plattform.

Technische Umsetzung #

Das Identitäten-Management der Attrian Plattform basiert auf modernen Technologien und Standards, um Sicherheit, Skalierbarkeit und Interoperabilität zu gewährleisten:

  • Single Sign-On (SSO): Unterstützt OAuth 2.0, OpenID Connect (OIDC) und SAML für nahtlosen Zugriff auf Plattform-Dienste und verknüpfte Software.
  • Sektoraler Identity Provider (IDP): Für Gesundheitssoftware ermöglicht die Integration mit dem sektoralen IDP gemäß gematik-Vorgaben (z. B. Authentisierung via Gesundheitskarte).
  • Zugriffskontrollen:
    • RBAC: Rollen wie „Administrator:in“, „Nutzer:in“, „Support“ definieren spezifische Zugriffsrechte.
    • GBAC: Gruppen wie „Vertrieb“, „Entwickler:inteam“ ermöglichen kollektive Zugriffssteuerung.
  • Signaturdienste: Unterstützung von Einfacher Elektronischer Signatur (EES), Fortgeschrittener Elektronischer Signatur (AES), Qualifizierter Elektronischer Signatur (QES), eSeal und eTimestamp, konform mit der eIDAS-Verordnung.
  • Identifikationslösungen:
    • Kontakte: Identifikation via Ausweisdaten, externe IDP (z. B. BundID) oder biometrische Daten (falls gesetzlich zulässig).
    • Organisationen: Identifikation via Handelsregisterauszug, LEI oder D-U-N-S-Nummer.
  • API-Integration: Die Attrian API ermöglicht Softwareanbietern, Identitäten-Management-Funktionen (z. B. SSO, Signaturdienste) in ihre Software zu integrieren (URL der API-Dokumentation).
  • Infrastruktur: Die Plattform wird von der Concat AG in einem ISO 27001-zertifizierten C5-Cluster gehostet, der die gematik-Anforderungen erfüllt.

Sicherheitsmaßnahmen #

Das Identitäten-Management ist durch umfassende technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO geschützt:

  • Verschlüsselung: Datenübertragungen erfolgen über TLS/SSL, und gespeicherte Daten (z. B. Passwörter, Identitätsdaten) werden verschlüsselt.
  • Zugriffskontrollen: RBAC und GBAC verhindern unbefugten Zugriff. Administrative Aktionen (z. B. Mitarbeiter:innen-Import) erfordern zusätzliche Authentifizierung.
  • Protokollierung: Authentifizierungs- und Zugriffsereignisse werden für maximal 6 Monate protokolliert, um Sicherheitsvorfälle nachzuverfolgen (bitte spezifische Speicherdauer bestätigen).
  • Sicherheitsüberprüfungen: Regelmäßige Penetrationstests und Schwachstellen-Scans durch die Concat AG.
  • TI-Konformität: Für Gesundheitssoftware wird die Einhaltung der gematik-Sicherheitsvorgaben (z. B. sektoraler IDP, FHIR) sichergestellt.

Datenschutz #

Das Identitäten-Management entspricht den Anforderungen der DSGVO und, für Gesundheitssoftware, den Vorgaben des SGB V und der gematik:

  • Rechtsgrundlagen:
    • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Für die Verwaltung von Kontakten, Organisationen und Mitarbeiter:innen im Rahmen der Plattformnutzung.
    • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für Identifikationslösungen, die zusätzliche Daten erfordern (z. B. QES, biometrische Daten).
    • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Für Sicherheitsprotokollierung und Plattformoptimierung.
  • Auftragsverarbeitung: Die Concat AG verarbeitet personenbezogene Daten als Auftragsverarbeiter im Auftrag von BrainWave, geregelt durch eine Auftragsverarbeitungsvereinbarung (AVV) (bitte spezifische AVV-Referenz angeben).
  • Softwareanbieter: Softwareanbieter sind für die Datenverarbeitung ihrer Kontakte und Mitarbeiter:innen verantwortlich und müssen eine eigene Datenschutzerklärung bereitstellen, die die Nutzung von Plattform-Diensten erwähnt.
  • Drittlandtransfers: Bei Nutzung externer Dienste (z. B. Stripe für Zahlungen) können Daten in Drittländer übermittelt werden, unter Einhaltung von Standardvertragsklauseln (SCCs) (bitte spezifische SCC-Details angeben).
  • Speicherdauer: Identitätsdaten werden nur so lange gespeichert, wie es für die Vertragsabwicklung oder gesetzliche Vorgaben (z. B. eIDAS, gematik) erforderlich ist.

Weitere Details sind in der [Datenschutzerklärung der Attrian Plattform](URL der Datenschutzerklärung) und der [Datenschutzerklärung für Softwareanbieter:innen](URL der Datenschutzerklärung für Softwareanbieter:innen) beschrieben.

Best Practices für den Mitarbeiter:innen-Import #

Um den Mitarbeiter:innen-Import effizient und sicher zu gestalten, beachten Sie folgende Empfehlungen:

  • Active Directory:
    • Stellen Sie sicher, dass Ihr AD saubere und aktuelle Daten enthält, um Inkonsistenzen zu vermeiden.
    • Konfigurieren Sie automatische Synchronisationen, um manuelle Arbeit zu minimieren.
    • Nutzen Sie IP-Whitelisting oder VPN, um die Verbindung zwischen AD und Attrian zu sichern.
  • OIDC:
    • Verwenden Sie einen etablierten IdP (z. B. Azure AD), um Kompatibilitätsprobleme zu vermeiden.
    • Definieren Sie benutzer:innendefinierte Claims, um spezifische Rollen oder Abteilungen zu importieren.
    • Testen Sie die SSO-Integration vor dem Rollout, um eine reibungslose Nutzer:innenerfahrung zu gewährleisten.
  • CSV:
    • Verwenden Sie den CSV Mapper, um Ihre CSV-Datei schnell und präzise an die Attrian-Vorlage anzupassen.
    • Überprüfen Sie die Daten vor dem Upload, um Duplikate oder ungültige Einträge zu vermeiden.
    • Planen Sie regelmäßige Imports für Aktualisierungen, insbesondere bei wachsenden Teams.

Integration für Softwareanbieter:innen #

Softwareanbieter:innen mit einem Business-Konto können das Identitäten-Management über die Attrian API in ihre Software integrieren:

  • SSO-Integration: Ermöglicht Kund:innen und Mitarbeiter:innen den Zugriff auf die Software mit Attrian-Anmeldeinformationen.
  • Signaturdienste: Integration von EES, AES, QES, eSeal und eTimestamp für rechtssichere Dokumente.
  • Zugriffskontrollen: Implementierung von RBAC und GBAC für die Verwaltung von Nutzerrechten innerhalb der Software.
  • Identifikationslösungen: Nutzung von Personen- oder Unternehmensidentifikation für KYC-Prozesse oder Verifizierungen.

Detaillierte Dokumentationen und Beispiele sind in der [Attrian API-Dokumentation](URL der API-Dokumentation) verfügbar.

BrainWave Software GmbH

Updated on 26/06/2025

What are your Feelings

  • Happy
  • Normal
  • Sad
  • Kontaktieren Sie uns:
    Heilig-Kreuz-Strasse 24, 86152
    Augsburg, Deutschland
  • info@brainwave-software.de
Facebook-f Twitter Youtube

Kontakt aufnehmen

  • Attrian im eHealth
  • eIDAS
  • Attrian für Software Anbieter
  • Attrian für Software Entwickler
  • Partner

Rechtliches

© 2025 Attrian | All Rights Reserved | A Brainwave Software Company