Guten Tag,
ich würde gerne ein Funktion erbitten.
Kurz zu dem Hintergrund.
Der Verein den ich verwalte möchte, bei dem es Aufgrund sensibler Daten sehr auf Datenschutz geachtet wird. Ich möchte hier zum einen, die Last bei Neuerstellung des Systems ein wenig reduzieren, zum anderen aber auch mögliche Schlupflöcher/Fehler garnicht erst aufkommen lassen.
Mögliche Schwachstellen die ich sehen würde:
- von Admin eingegebene Passwörter nicht sicher genug (werden womöglich 1:1 übernommen, bsp. der Klassiker <wort><Jahreszahl>
- mehrfache Passwörte für die selben Accounts (möglicher Missbrauch durch eingabe einer fremden EMailadresse)
- fälschliche Freischaltung von Accounts mit Fake-Adressen
Aktuell wäre mein Work-Around, die Mitglieder mit einer CSV Datei zu importieren und dabei mit einem einfachen Script die Passwörter zufällig zu generieren. Die Mitglieder müssen sich dann über "Passwort vergessen" einloggen.
Das Problem wäre, dass mir als Admin die Passwörter bekannt wären, bis zu dem Zeitpunkt wo sich die Mitglieder erfolgreich eingeloggt haben. Hier könnte ich etwas kompliziert, über ein Datenbank Script die Passwörter aus der CSV mit der Datenbank überprüfen und mögliche "Karteileichen" identifizieren.
Die "freie" Registrierung, möchte ich von Anfang an ausschließen wenn es möglich ist. Die Mitglieder sollen mit einer Email eingetragen und durch das System "eingeladen" werden.
Eine Lösung wie ich sie mir vorstellen würde:
Ich stelle mir hier ein Menüpunkt vor, unter dem man als Admin eine Einladung versenden kann.
Der Admin soll Benutzernamen und Rolle definieren sowie eine Emailadresse eingeben. Das System versendet einen Einladungslink, das Mitglied wird auf der Webseite aufgefordert sein Passwort abzuändern und danach seine Profildaten zu vervollständigen.
Am besten auch so, dass bestimmte Daten wie Geburtsdatum/Adresse etc. eingegeben werden MÜSSEN.
Desweiteren listet das System in dem Menü alle Einladungen auf, die verschickt aber nicht aufgerufen/geändert wurden.
Darauf hin soll es dann die Option geben, dass der Admin das Mitglied direkt freischaltet und die Daten einpflegt (für den seltenen Fall dass Mitglieder sich nicht in der Lage sehen dieses System zu bedienen).
Feature Request: Einladung/Registrierung
Re: Feature Request: Einladung/Registrierung
Ich habe es bei uns so gemacht: die Vereinsmitglieder ohne Login (und daher auch ohne Passwort) anlegen. Dann den Link zur Registrierung herumschicken. Die Mitglieder registrieren sich unter Angabe von Name und Email-Adresse sowie Nutzername und Passwort. Admidio „bemerkt“, dass es schon eine(n) Nutzer*in mit den entsprechenden Angaben gibt und schlägt unter „Neue Registrierungen“ vor, die Accounts zu verknüpfen.
Re: Feature Request: Einladung/Registrierung
Ich muss allerdings zugeben, dass der Prozess eine Schwachstelle hat: ich muss als neuer Nutzer nicht „beweisen“, dass ich Zugriff auf die Email-Adresse habe, die ich angebe. D.h. mit der derzeitigen Registrierung kann ich leicht die Admins hereinlegen, indem ich Mitglieder registriere, die noch keinen Login haben.