Zugriffskontrolle ist ein zentrales Thema in jedem ERP-System. In Odoo geht es dabei nicht nur um die Frage, wer sich anmelden darf, sondern auch darum, welche Daten sichtbar sind und welche Aktionen erlaubt sind.
Wenn im Laufe der Zeit die Zahl der Nutzer steigt – sei es durch neue Abteilungen, Standorte oder Tochtergesellschaften –, wird es auch immer wichtiger hier eine klare Grundstruktur zu haben.
Von einfachen Passwort-Logins bis hin zu erweiterten Setups mit Single Sign-On (SSO) oder Zwei-Faktor-Authentifizierung (2FA) – Odoo liefert die Werkzeuge für einen sicheren und skalierbaren Zugang in Ihrem gesamten Unternehmen.
Inhaltsverzeichnis
Odoo schützt Geschäftsdaten durch Login-basierte Identitätskontrolle
Two-factor authentication is a default for secure Odoo logins
Odoo-Authentifizierung integriert sich mit externen Identitätsanbietern
Odoo weist Zugriffsrechte über Nutzerrollen und Berechtigungen zu
Best Practices für die Sicherheit Ihrer Odoo-Authentifizierung
Odoo schützt Geschäftsdaten durch Login-basierte Identitätskontrolle
Da Odoo-Systeme oft sensible Daten aus den Bereichen Buchhaltung, Personalwesen und Kundenakten enthalten, ist die Nutzerauthentifizierung eine kritische Schutzebene gegen unbefugte Zugriffe und Datenschutzverletzungen.
Jeder interne Login ist mit einem Odoo-Nutzer und einer Lizenz verknüpft. Das macht die Identitätskontrolle sowohl für Sicherheitsaspekte als auch für die Budgetplanung relevant.
Odoo erlaubt die Einrichtung von Logins für individuelle Nutzer oder für geteilte Rollen. Geteilte Nutzer, etwa an Terminals oder Scannern, sind möglich, sollten aber nur für bestimmte Zwecke und unter genauer Aufsicht genutzt werden.
Odoo-Login-Fenster für Backend- und Portalzugang.
Zwei-Faktor-Authentifizierung als Standard für sichere Odoo-Logins
Die Standard-Authentifizierung von Odoo erfolgt über E-Mail und Passwort. Für Konten mit höheren Zugriffsrechten bietet die Zwei-Faktor-Authentifizierung (2FA) eine zusätzliche Sicherheitsebene. Diese kann über native Funktionen oder Drittanbieter-Module aktiviert werden.
Native 2FA-Methoden in Odoo
In unterstützten Odoo-Versionen funktioniert die Zwei-Faktor-Authentifizierung (2FA) mit einer Authenticator-App, die auf dem Smartphone des Nutzers installiert ist, beispielsweise Google Authenticator oder Microsoft Authenticator:
- Der Nutzer loggt sich am Computer in Odoo ein und navigiert zu seinen Kontoeinstellungen..
- Dort aktiviert er die 2FA, woraufhin ein eindeutiger QR-Code auf dem Bildschirm erscheint.
- Der Nutzer öffnet auf seinem Smartphone eine Authenticator-App.
- Er scannt den QR-Code mit der App, wodurch das Gerät mit dem Odoo-Konto verknüpft wird.
- Die App generiert ab diesem Zeitpunkt einen sechsstelligen Code, der alle 30 Sekunden erneuert wird.
- Bei jedem künftigen Login in Odoo gibt der Nutzer zuerst sein Passwort ein, öffnet dann die App für den aktuellen Code und schließt damit die Anmeldung ab.
Diese Einmal-Codes sind an das Gerät des Nutzers gebunden, was bedeutet, dass nur Personen mit physischem Zugang zum Smartphone sich anmelden können, selbst wenn sie das Passwort kennen.
Andere Methoden wie SMS- oder E-Mail-basierte 2FA sind mithilfe von Drittanbieter-Modulen realisierbar.
Was 2FA in Odoo nicht abdeckt
Die 2FA gilt nicht für alle Systemfunktionen gleichermaßen. Einige Module verwenden eigene Methoden zur Identitätsprüfung:
- Die eSign-Funktion unterstützt SMS, E-Mail, GeoIP oder die handschriftliche elektronische Signatur zur Identitätsbestätigung.
- Die Attendance-App nutzt für den Check-in Badge-Nummern und nicht den Login-Prozess.
Odoo-Authentifizierung integriert sich mit externen Identitätsanbietern
Odoo kann über OAuth2, SAML oder LDAP mit Single Sign-On (SSO) integriert werden. Dies ist für Unternehmen relevant, die zentrale Identitätsanbieter nutzen, wie zum Beispiel:
- Microsoft Azure AD
- Google Workspace
- Okta
- Keycloak.
Die Implementierung dieser Integrationen erfolgt über Drittanbieter-Konnektoren oder individuelle Entwicklungen. Nach der Einrichtung melden sich Nutzer mit ihren bereits existierenden Anmeldedaten an.
Wichtig: Jeder interne Nutzer benötigt eine Odoo-Lizenz, unabhängig von der verwendeten Authentifizierungsmethode.
Odoo weist Zugriffsrechte über Nutzerrollen und Berechtigungen zu
Nach dem erfolgreichen Login erhalten Nutzer Zugang basierend auf vordefinierten Rollen. Odoo unterstützt eine feingranulare Kontrolle sowohl der Sichtbarkeit als auch der Funktionalität.
Nutzer-Typen
- Interne Nutzer: Haben vollen Zugriff auf die Backend-Anwendungen.
- Portal-Nutzer: Haben begrenzten Zugriff auf geteilte Datensätze.
- Öffentliche Nutzer: Haben nur Website-Zugriff; kein Login erforderlich.
Zugriffsebenen in Odoo
Odoo ermöglicht die Definition von Zugriffsrechten pro Nutzer über zentrale Systembereiche. In den Nutzereinstellungen können Sie rollenbasierte Zugriffsebenen für spezifische Apps wie Vertrieb, Helpdesk oder Website zuweisen.
Dadurch können Sie schnell konfigurieren, was jede Person sehen und tun darf, ohne jede Berechtigung einzeln verwalten zu müssen.
Sie können diese Einstellungen auf App-Ebene mit Gruppen, Datensatzregeln (Record Rules) und Zugriffskontrolllisten (ACLs) kombinieren, um erweiterte Berechtigungsstrukturen zu erstellen.
Zugriffsrechte in Odoo werden pro App und Rolle zugewiesen und sind in den Nutzereinstellungen sichtbar.
Architektur der Zugriffskontrolle
Odoo wendet ein geschichtetes Berechtigungssystem an:
- Access Control Lists (ACLs): Definieren Rechte auf Modellebene, wie Erstellen, Lesen, Schreiben oder Löschen.
- Datensatzregeln (Record Rules): Filtern den Zugriff auf spezifische Datensätze.
- Gruppensteuerung (Group controls): Legt fest, welche Menüs und Funktionen Nutzer sehen oder verwenden können.
Odoo enthält über 50 vorkonfigurierte Gruppen. Diese können nach Bedarf angepasst oder kombiniert werden. Das System ist skalierbar von kleinen Teams bis hin zu Multi-Company-Setups mit Tausenden von Nutzern.
Zugriffsrechte in Odoo werden pro App und Rolle zugewiesen und sind in den Nutzereinstellungen sichtbar.
Lizenzen und geteilte Logins
Odoo zählt jeden Login als einen Nutzer. Dies umfasst:
- Namentliche Logins: Dienen der Nachvollziehbarkeit.
- Geteilte Logins: Für Scanner oder Kioske.
Zur Information: Inaktive Odoo-Nutzer können archiviert werden. Dadurch wird ihr Login deaktiviert und sie werden aus der Lizenzanzahl entfernt. Der Zugriff bleibt über App und Datenbank eingeschränkt. Dies ermöglicht die Beibehaltung der vollständigen Historie, ohne für ungenutzte Konten zu bezahlen oder Daten dieser Nutzer zu verlieren.
Best Practices für die Sicherheit Ihrer Odoo-Authentifizierung
Ein gutes Zugriffsmanagement basiert nicht nur auf Einstellungen. Die tägliche Wartung spielt eine Schlüsselrolle für die Systemsicherheit und Prüffähigkeit (Audit-Ready).
Empfohlene Praktiken umfassen:
- Aktivieren Sie die 2FA überall dort, wo sie unterstützt wird.
- Verwenden Sie namentliche Nutzer für alle Mitarbeiterrollen.
- Überprüfen Sie die Zugriffsrechte regelmäßig.
- Archivieren oder entfernen Sie Konten, die nicht mehr benötigt werden.
- Beschränken Sie den Zugriff nach Rolle, Abteilung oder Unternehmen.
- Überprüfen Sie die externen Identitätseinstellungen, wenn SSO aktiviert ist.
In Multi-Company-Setups wird der Zugriff zusätzlich nach Unternehmen gefiltert. Das System stellt sicher, dass Nutzer nur Datensätze sehen, die den ihnen zugewiesenen Unternehmen zugeordnet sind. In Kombination mit Gruppenrechten und Datensatzregeln gewährleistet dies eine saubere und sichere Sichtbarkeit.
Odoo-Gruppen legen fest, wer auf Apps, Modelle und Menüs zugreifen kann.
Ist Ihr Odoo bereit für sicheres Identitätsmanagement ?
Die Einrichtung von Zugriffen in Odoo bedeutet, Berechtigungen zu strukturieren, Richtlinien durchzusetzen und die Compliance auf dem Laufenden zu halten, während Ihr Unternehmen wächst.
Möchten Sie Ihr aktuelles Setup bewerten oder die Skalierbarkeit planen? Sprechen Sie mit unseren Experten und stellen Sie sicher, dass Ihr Odoo für sicheren Zugriff, SSO und Identitätsmanagement jetzt und in Zukunft gerüstet ist.