Book a Meeting
Sign In
View Categories

Identitäten verwalten in Attrian

Geschätzte Lesezeit: 11 min read

Identitäten-Management in der Attrian Plattform #

Stand: 08. Mai 2025

Sobald Sie ein zahlungspflichtiges Business-Konto in Attrian haben, können Sie Identitäten verwalten.

In diesem Artikel wird das Management der Identitäten dargestellt.

In Attrian haben Sie momentan 3 Arten von Identitäten, die Sie verwalten können:

  • Kontakte: Diese sind natürliche Personen, mit denen Sie und Ihr Betrieb in Kontakt sind. Diese Personen können Kunden, Patienten etc. sein.
  • Organisationen: Diese sind juristische Personen, mit denen Sie in Kontakt sind. Juristische Personen können Lieferanten, Kunden, Partner, Subunternehmer etc. sein.
  • Nutzer (Mitarbeiter): Diese sind natürliche Personen, die Sie innerhalb Ihres Unternehmens einladen und die in der Attrian Plattform zusammen mit Ihnen arbeiten.

Attrian, bietet ein umfassendes Identitäten-Management, um Authentifizierung, Autorisierung und Zugriffskontrolle für diese Identitäten sicherzustellen. Dieser Artikel beschreibt die Funktionsweise, technischen Mechanismen, Importmöglichkeiten für Mitarbeiter, Sicherheitsmaßnahmen und Datenschutzaspekte.

Überblick über das Identitäten-Management #

Das Identitäten-Management der Attrian Plattform ermöglicht Unternehmen mit einem zahlungspflichtigen Business-Konto, Identitäten effizient zu verwalten, um:

  • Identifizierung zu ermöglichen.
  • Authentifizierung sicherzustellen (z. B. via Single Sign-On, SSO, oder sektoralem Identity Provider, IDP).
  • Zugriffsrechte zu definieren (z. B. via Role-Based Access Control, RBAC, oder Group-Based Access Control, GBAC).
  • Interoperabilität mit externen Systemen zu gewährleisten (z. B. Telematikinfrastruktur, TI, für Gesundheitssoftware).
  • Sicherheit und Datenschutz gemäß DSGVO und gematik-Vorgaben zu garantieren.

Identitätskategorien #

Die Attrian Plattform unterstützt die Verwaltung der folgenden Identitätskategorien, die jeweils spezifische Anforderungen und Anwendungsfälle abdecken.

Kontakte (Natürliche Personen) #

Kontakte sind natürliche Personen, mit denen Ihr Unternehmen in Kontakt steht, wie Kunden, Patienten, Klienten oder andere externe Stakeholder.

  • Verwaltung:
    • Registrierung: Kontakte werden in der Plattform mit Name, E-Mail-Adresse und optional weiteren Daten (z. B. Telefonnummer, Adresse) erfasst. Diese Daten können manuell eingegeben oder über Importmechanismen (z. B. CSV) hinzugefügt werden.
    • Authentifizierung: Kontakte können sich über SSO authentifizieren, um auf Software oder Plattform-Dienste zuzugreifen. Für Gesundheitssoftware wird die sektorale IDP-Authentisierung gemäß gematik-Vorgaben unterstützt (z. B. via Gesundheitskarte, Heilberufsausweis, HBA).
    • Identifikationslösungen: Für Dienste wie qualifizierte elektronische Signaturen (QES) oder Identitätsprüfungen (z. B. KYC) können zusätzliche Daten wie Ausweisnummer oder Geburtsdatum erforderlich sein, basierend auf Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
  • Zugriffsrechte: RBAC und GBAC definieren, welche Ressourcen (z. B. Software, Dateien, Formulare) für den Kontakt zugänglich sind. Beispielsweise kann ein Patient nur auf seine eigenen Gesundheitsdaten zugreifen.
  • Anwendungsfälle:
    • Ein Patient authentifiziert sich über den sektoralen IDP, um auf eine Gesundheits-App zuzugreifen und ein Rezept mit QES zu signieren.
    • Ein Kunde nutzt SSO, um sich in eine Unternehmenssoftware einzuloggen und ein Formular über Filesharing zu bearbeiten.
  • Datenschutz: Die Verarbeitung der Daten von Kontakten erfolgt gemäß DSGVO, mit klaren Rechtsgrundlagen (z. B. Vertragserfüllung, Einwilligung). Softwareanbieter sind für die Datenverarbeitung in ihrer Software verantwortlich und müssen dies in ihrer Datenschutzerklärung angeben.

Organisationen (Juristische Personen) #

Organisationen sind juristische Personen, mit denen Ihr Unternehmen interagiert, wie Lieferanten, Kunden, Partner oder Subunternehmer.

  • Verwaltung:
    • Registrierung: Organisationen werden mit Unternehmensdaten (z. B. Firmenname, Adresse, Handelsregisternummer, Steuernummer) und einem Ansprechpartner registriert. Die Registrierung erfolgt manuell oder über Importmechanismen (z. B. CSV).
    • Unternehmensidentifikation: Für Dienste wie eSeal, Zahlungsabwicklung oder vertragliche Vereinbarungen wird eine verifizierte Unternehmensidentität erstellt, z. B. durch den Abruf des aktuellen Handelsregisterauszugs, Wir arbeiten daran den LEI (Legal Entity Identifier) oder D-U-N-S-Nummer.
    • Authentifizierung: Organisationen nutzen SSO, API-Schlüssel oder digitale Zertifikate, um auf Plattform-Dienste (z. B. Attrian API, Stripe-Zahlungen) zuzugreifen.
  • Zugriffsrechte: Organisationen können Zugriffsrechte für ihre Mitarbeiter oder Abteilungen definieren (z. B. „Vertrieb“ darf auf Filesharing zugreifen, „Buchhaltung“ auf Zahlungsdaten). RBAC und GBAC regeln die Zugriffe.
  • Anwendungsfälle:
    • Ein Lieferant authentifiziert sich, um einen Vertrag mit eSeal zu signieren und Zahlungen über Stripe abzuwickeln.
    • Ein Kundenunternehmen weist seinen Mitarbeitern Rollen zu, um auf eine Softwarelösung zuzugreifen, die über die Attrian Plattform bereitgestellt wird.
  • Datenschutz: Die Verarbeitung von Organisationsdaten erfolgt gemäß Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Zusätzliche personenbezogene Daten (z. B. Ansprechpartner) unterliegen den gleichen Datenschutzvorgaben wie Kontakte.

Nutzer (Mitarbeiter) #

Nutzer sind natürliche Personen, die Sie als Mitarbeiter in Ihr Unternehmen einladen, um in der Attrian Plattform mit Ihnen zusammenzuarbeiten.

  • Verwaltung:
    • Einladung: Mitarbeiter werden per E-Mail eingeladen, sich in der Plattform zu registrieren, und erhalten einen Benutzernamen sowie ein temporäres Passwort (verschlüsselt gespeichert).
    • Authentifizierung: Mitarbeiter nutzen SSO für den Zugriff auf die Plattform und verknüpfte Software. Für Gesundheitssoftware wird die sektorale IDP-Authentisierung unterstützt.
    • Rollenzuweisung: Mitarbeitern werden Rollen (z. B. „Administrator“, „Support“, „Nutzer“) über RBAC zugewiesen, die ihre Zugriffsrechte definieren.
  • Zugriffsrechte: Mitarbeiter können auf Plattform-Dienste (z. B. Signaturdienste, Filesharing, Attrian API) zugreifen, abhängig von ihrer Rolle. GBAC ermöglicht die Zuweisung von Rechten an Gruppen (z. B. „Entwicklerteam“).
  • Anwendungsfälle:
    • Ein Mitarbeiter authentifiziert sich, um die Attrian API zu nutzen und Signaturdienste in eine Software zu integrieren.
    • Ein Administrator verwaltet die Zugriffsrechte anderer Mitarbeiter und lädt neue Nutzer ein.
  • Datenschutz: Mitarbeiterdaten werden gemäß Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) verarbeitet. Die Einladung und Verwaltung erfolgt durch das Unternehmen, das die Verantwortung für die rechtmäßige Verarbeitung trägt.

3. Import von Mitarbeitern #

Das Importieren von Mitarbeitern in die Attrian Plattform ist ein sehr wichtiger Schritt. Abhängig von der Größe und IT-Konstellation Ihres Unternehmens können folgende Optionen genutzt werden, um Mitarbeiter effizient einzubinden.

Active Directory Import #

Der Active Directory (AD) Import ermöglicht die Synchronisation von Mitarbeiterdaten aus Ihrem bestehenden Active Directory mit der Attrian Plattform.

  • Funktionsweise:
    • Verbindung: Die Plattform wird über einen sicheren LDAP- oder LDAPS-Endpunkt mit Ihrem Active Directory verbunden. Die Konfiguration erfolgt über das Attrian Admin-Portal (URL des Admin-Portals).
    • Datenmapping: Mitarbeiterattribute wie Name, E-Mail-Adresse, Abteilung und Rolle werden den Attrian-Nutzerfeldern zugeordnet. Standardattribute (z. B. sAMAccountName, mail) werden unterstützt, und benutzerdefinierte Mappings sind möglich (bitte spezifische Mapping-Optionen bestätigen).
    • Synchronisation: Die Synchronisation kann manuell oder automatisiert (z. B. täglich, wöchentlich) erfolgen. Neue Mitarbeiter werden hinzugefügt, gelöschte Konten deaktiviert.
  • Voraussetzungen:
    • Ein Active Directory mit LDAP/LDAPS-Zugang.
    • Administrative Berechtigungen für die Konfiguration.
    • Eine sichere Verbindung (z. B. VPN oder IP-Whitelisting) zwischen Ihrem AD und der Plattform.
  • Vorteile:
    • Automatisierte Verwaltung großer Mitarbeiterzahlen.
    • Konsistenz zwischen AD und Attrian Plattform.
    • Unterstützung für Single Sign-On über AD-basierte Authentifizierung (z. B. Kerberos, SAML).
  • Sicherheit: Die Datenübertragung erfolgt verschlüsselt (TLS/SSL), und Zugriffsrechte für den Importprozess sind streng geregelt (RBAC).
  • Anwendungsfall: Ein Krankenhaus mit 500 Mitarbeitern synchronisiert täglich sein AD, um Ärzte und Verwaltungspersonal als Nutzer in Attrian zu verwalten.

OIDC (OpenID Connect) #

Der OIDC-Import ermöglicht die Integration von Mitarbeiterdaten über einen externen Identity Provider (IdP), der OpenID Connect unterstützt (z. B. Azure AD, Okta, Keycloak).

  • Funktionsweise:
    • Konfiguration: Im Attrian Admin-Portal (URL des Admin-Portals) wird der OIDC-Provider eingerichtet, indem Client-ID, Client-Secret und Endpunkte (z. B. Authorization Endpoint, Token Endpoint) angegeben werden.
    • Authentifizierung: Mitarbeiter authentifizieren sich über den OIDC-Provider, und ihre Daten (z. B. Name, E-Mail, Rollen) werden bei der ersten Anmeldung in Attrian importiert.
    • Synchronisation: Benutzerdaten werden bei jeder Anmeldung aktualisiert, oder eine periodische Synchronisation kann konfiguriert werden (bitte spezifische Synchronisationsoptionen bestätigen).
  • Voraussetzungen:
    • Ein OIDC-kompatibler IdP.
    • Unterstützung für Standard-Claims (z. B. sub, email, name) und optional benutzerdefinierte Claims.
    • Administrative Zugriffsrechte für die IdP-Konfiguration.
  • Vorteile:
    • Nahtlose Integration mit bestehenden SSO-Lösungen.
    • Unterstützung für moderne Authentifizierungsprotokolle.
    • Flexibilität für Unternehmen mit cloudbasierten IdPs.
  • Sicherheit: OIDC verwendet sichere Protokolle (OAuth 2.0, JWT), und die Plattform validiert Tokens, um unbefugten Zugriff zu verhindern.
  • Anwendungsfall: Ein Softwareanbieter mit Azure AD importiert Entwickler als Nutzer in Attrian, die sich über SSO anmelden.

CSV-Import #

Der CSV-Import ermöglicht die manuelle oder halbautomatische Übertragung von Mitarbeiterdaten über CSV-Dateien, mit Unterstützung eines benutzerfreundlichen CSV Mappers, der die Anpassung an die Plattform-Vorlage vereinfacht.

  • Funktionsweise:
    • CSV-Vorlage: Attrian stellt eine CSV-Vorlage bereit, die Felder wie Name, E-Mail-Adresse, Rolle und Abteilung enthält (URL zur CSV-Vorlage).
    • CSV Mapper: Der CSV Mapper ist ein grafisches Tool im Attrian Admin-Portal (URL des Admin-Portals), das es ermöglicht, Ihre CSV-Dateien mit einfachen Klicks an die Attrian-Vorlage anzupassen. Sie können Spalten Ihrer CSV-Datei (z. B. „Vorname“, „Nachname“) den erforderlichen Feldern der Plattform (z. B. „Name“, „E-Mail“) zuordnen, indem Sie Drag-and-Drop oder Dropdown-Menüs verwenden (bitte spezifische Funktionen des CSV Mappers bestätigen, z. B. Unterstützung für benutzerdefinierte Felder, automatische Validierung).
    • Upload und Validierung: Nach dem Mapping wird die CSV-Datei hochgeladen. Ein Validierungsprozess prüft die Datenintegrität (z. B. korrekte E-Mail-Formate, keine Duplikate). Fehlerhafte oder fehlende Einträge werden hervorgehoben, und Sie können Korrekturen vor dem Import vornehmen.
    • ACHTUNG: eMail Adressen sind Unique Identifier!
    • Import: Mitarbeiter werden als Nutzer erstellt oder aktualisiert. Sie können wählen.
  • Voraussetzungen:
    • Eine CSV-Datei mit Mitarbeiterdaten (z. B. aus einem HR-System oder Excel).
    • Zugriff auf das Attrian Admin-Portal mit administrativen Rechten.
  • Vorteile:
    • Benutzerfreundliche Anpassung durch den CSV Mapper, ideal für Unternehmen ohne standardisierte CSV-Formate.
    • Geeignet für kleinere Unternehmen oder einmalige Imports.
    • Flexibilität bei der Datenquelle, da unterschiedliche CSV-Formate unterstützt werden.
  • Sicherheit: Die hochgeladene CSV-Datei wird verschlüsselt übertragen (TLS/SSL) und nach dem Import gelöscht, um Datenlecks zu vermeiden. Der Zugriff auf den CSV Mapper ist durch RBAC auf Administratoren beschränkt.
  • Anwendungsfall: Ein mittelständisches Unternehmen exportiert Mitarbeiterdaten aus einem HR-System als CSV, passt die Spalten mit dem CSV Mapper an die Attrian-Vorlage an und importiert 50 Mitarbeiter in die Plattform.

Technische Umsetzung #

Das Identitäten-Management der Attrian Plattform basiert auf modernen Technologien und Standards, um Sicherheit, Skalierbarkeit und Interoperabilität zu gewährleisten:

  • Single Sign-On (SSO): Unterstützt OAuth 2.0, OpenID Connect (OIDC) und SAML für nahtlosen Zugriff auf Plattform-Dienste und verknüpfte Software.
  • Sektoraler Identity Provider (IDP): Für Gesundheitssoftware ermöglicht die Integration mit dem sektoralen IDP gemäß gematik-Vorgaben (z. B. Authentisierung via Gesundheitskarte).
  • Zugriffskontrollen:
    • RBAC: Rollen wie „Administrator“, „Nutzer“, „Support“ definieren spezifische Zugriffsrechte.
    • GBAC: Gruppen wie „Vertrieb“, „Entwicklerteam“ ermöglichen kollektive Zugriffssteuerung.
  • Signaturdienste: Unterstützung von Einfacher Elektronischer Signatur (EES), Fortgeschrittener Elektronischer Signatur (AES), Qualifizierter Elektronischer Signatur (QES), eSeal und eTimestamp, konform mit der eIDAS-Verordnung.
  • Identifikationslösungen:
    • Kontakte: Identifikation via Ausweisdaten, externe IDP (z. B. BundID) oder biometrische Daten (falls gesetzlich zulässig).
    • Organisationen: Identifikation via Handelsregisterauszug, LEI oder D-U-N-S-Nummer.
  • API-Integration: Die Attrian API ermöglicht Softwareanbietern, Identitäten-Management-Funktionen (z. B. SSO, Signaturdienste) in ihre Software zu integrieren (URL der API-Dokumentation).
  • Infrastruktur: Die Plattform wird von der Concat AG in einem ISO 27001-zertifizierten C5-Cluster gehostet, der die gematik-Anforderungen erfüllt.

Sicherheitsmaßnahmen #

Das Identitäten-Management ist durch umfassende technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO geschützt:

  • Verschlüsselung: Datenübertragungen erfolgen über TLS/SSL, und gespeicherte Daten (z. B. Passwörter, Identitätsdaten) werden verschlüsselt.
  • Zugriffskontrollen: RBAC und GBAC verhindern unbefugten Zugriff. Administrative Aktionen (z. B. Mitarbeiter-Import) erfordern zusätzliche Authentifizierung.
  • Protokollierung: Authentifizierungs- und Zugriffsereignisse werden für maximal 6 Monate protokolliert, um Sicherheitsvorfälle nachzuverfolgen (bitte spezifische Speicherdauer bestätigen).
  • Sicherheitsüberprüfungen: Regelmäßige Penetrationstests und Schwachstellen-Scans durch die Concat AG.
  • TI-Konformität: Für Gesundheitssoftware wird die Einhaltung der gematik-Sicherheitsvorgaben (z. B. sektoraler IDP, FHIR) sichergestellt.

Datenschutz #

Das Identitäten-Management entspricht den Anforderungen der DSGVO und, für Gesundheitssoftware, den Vorgaben des SGB V und der gematik:

  • Rechtsgrundlagen:
    • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Für die Verwaltung von Kontakten, Organisationen und Mitarbeitern im Rahmen der Plattformnutzung.
    • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für Identifikationslösungen, die zusätzliche Daten erfordern (z. B. QES, biometrische Daten).
    • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Für Sicherheitsprotokollierung und Plattformoptimierung.
  • Auftragsverarbeitung: Die Concat AG verarbeitet personenbezogene Daten als Auftragsverarbeiter im Auftrag von BrainWave, geregelt durch eine Auftragsverarbeitungsvereinbarung (AVV) (bitte spezifische AVV-Referenz angeben).
  • Softwareanbieter: Softwareanbieter sind für die Datenverarbeitung ihrer Kontakte und Mitarbeiter verantwortlich und müssen eine eigene Datenschutzerklärung bereitstellen, die die Nutzung von Plattform-Diensten erwähnt.
  • Drittlandtransfers: Bei Nutzung externer Dienste (z. B. Stripe für Zahlungen) können Daten in Drittländer übermittelt werden, unter Einhaltung von Standardvertragsklauseln (SCCs) (bitte spezifische SCC-Details angeben).
  • Speicherdauer: Identitätsdaten werden nur so lange gespeichert, wie es für die Vertragsabwicklung oder gesetzliche Vorgaben (z. B. eIDAS, gematik) erforderlich ist.

Weitere Details sind in der [Datenschutzerklärung der Attrian Plattform](URL der Datenschutzerklärung) und der [Datenschutzerklärung für Softwareanbieter](URL der Datenschutzerklärung für Softwareanbieter) beschrieben.

Best Practices für den Mitarbeiter-Import #

Um den Mitarbeiter-Import effizient und sicher zu gestalten, beachten Sie folgende Empfehlungen:

  • Active Directory:
    • Stellen Sie sicher, dass Ihr AD saubere und aktuelle Daten enthält, um Inkonsistenzen zu vermeiden.
    • Konfigurieren Sie automatische Synchronisationen, um manuelle Arbeit zu minimieren.
    • Nutzen Sie IP-Whitelisting oder VPN, um die Verbindung zwischen AD und Attrian zu sichern.
  • OIDC:
    • Verwenden Sie einen etablierten IdP (z. B. Azure AD), um Kompatibilitätsprobleme zu vermeiden.
    • Definieren Sie benutzerdefinierte Claims, um spezifische Rollen oder Abteilungen zu importieren.
    • Testen Sie die SSO-Integration vor dem Rollout, um eine reibungslose Nutzererfahrung zu gewährleisten.
  • CSV:
    • Verwenden Sie den CSV Mapper, um Ihre CSV-Datei schnell und präzise an die Attrian-Vorlage anzupassen.
    • Überprüfen Sie die Daten vor dem Upload, um Duplikate oder ungültige Einträge zu vermeiden.
    • Planen Sie regelmäßige Imports für Aktualisierungen, insbesondere bei wachsenden Teams.

Integration für Softwareanbieter #

Softwareanbieter mit einem Business-Konto können das Identitäten-Management über die Attrian API in ihre Software integrieren:

  • SSO-Integration: Ermöglicht Kunden und Mitarbeitern den Zugriff auf die Software mit Attrian-Anmeldeinformationen.
  • Signaturdienste: Integration von EES, AES, QES, eSeal und eTimestamp für rechtssichere Dokumente.
  • Zugriffskontrollen: Implementierung von RBAC und GBAC für die Verwaltung von Nutzerrechten innerhalb der Software.
  • Identifikationslösungen: Nutzung von Personen- oder Unternehmensidentifikation für KYC-Prozesse oder Verifizierungen.

Detaillierte Dokumentationen und Beispiele sind in der [Attrian API-Dokumentation](URL der API-Dokumentation) verfügbar.

BrainWave Software GmbH

Updated on 09/05/2025

What are your Feelings

  • Happy
  • Normal
  • Sad
  • Heilig Kreuz Strasse 24, 86152 Augsburg
    Deutschland
  • info@brainwave-software.de
Facebook-f Twitter Youtube

Kontakt aufnehmen

  • Attrian im eHealth
  • eIDAS
  • Attrian für Software Anbieter
  • Attrian für Software Entwickler
  • Partner

Rechtliches

© 2025 Attrian | All Rights Reserved | A Brainwave Software Company