Domain Governance
Überblick
Domain Governance ermöglicht Enterprise-Admins, eine E-Mail-Domain
(z.B. example.com) zu beanspruchen und organisationsweite
Kontorichtlinien auf jeden Uslimato-Benutzer anzuwenden, dessen E-Mail
auf @example.com endet. Die Funktion wird pro Tenant als
GLAD-lizenziertes Add-on aktiviert.
Kernfunktionen:
- Domain Claiming — Domain registrieren und Eigentum per DNS-TXT-Record nachweisen.
- Account Governance — steuern, ob verwaltete Benutzer anderen Tenants beitreten, sich eigenständig registrieren oder Profilfelder bearbeiten können.
- Session Management — verwaltete Benutzer per Fernzugriff abmelden.
- Grace Period — 30-tägige Übergangsfrist nach Domain-Verifizierung, damit bestehende Benutzer sich auf die neuen Richtlinien einstellen können.
Lizenzierung
Domain Governance ist ein Add-on, das im GLAD-Portal verwaltet wird (ähnlich wie ITSM). Ein GLAD-Super-Admin aktiviert es pro Tenant mit folgenden Feature-Toggles:
| Feature | Beschreibung |
|---|---|
domain_claiming | Domains beanspruchen und verifizieren |
account_governance | Beitritts-, Registrierungs- und Profilrichtlinien durchsetzen |
session_management | Verwaltete Benutzer zwangsabmelden |
auto_provisioning | Platzhalter für zukünftige SCIM-Provisionierung |
Ohne aktive Lizenz zeigt die Einstellungsseite einen Hinweis anstelle von Steuerungselementen.
Domain beanspruchen
- Navigieren Sie zu Einstellungen → Domain Governance.
- Geben Sie Ihre E-Mail-Domain ein (z.B.
example.com) und klicken Sie Hinzufügen. - Ein DNS-TXT-Record wird generiert — fügen Sie ihn in Ihrem
DNS-Management hinzu:
hge_uslimato_verify=<token> - Klicken Sie Verifizieren. Ein Echtzeit-DNS-Lookup prüft den Record.
- Bei Erfolg wechselt der Status auf Verifiziert und die 30-tägige Grace Period startet automatisch.
Falls die Verifizierung fehlschlägt, prüfen Sie die DNS-Propagation (kann bis zu 48 Stunden dauern) und versuchen es erneut. Ein täglicher Konsistenz-Job re-verifiziert alle verifizierten Domains automatisch.
Grace Period
Nach der Domain-Verifizierung beginnt eine 30-tägige Übergangsfrist. In diesem Zeitraum sehen verwaltete Benutzer einen Banner, werden aber noch nicht durch Richtlinien eingeschränkt. So haben bestehende Benutzer Zeit, sich auf die neuen Governance-Regeln einzustellen.
Benutzer, die bei der Verifizierung entdeckt werden, erhalten den
Status grace_period. Nach Ablauf der Frist erfolgt die
Statusumstellung gemäß der existing_membership_policy:
| Richtlinie | Verhalten nach Grace Period |
|---|---|
allow | Bestehende Mitgliedschaften bleiben unberührt |
freeze_after_grace | Bestehende Mitgliedschaften werden eingefroren (nur Lesen) |
block_after_grace | Tenant-übergreifende Mitgliedschaften werden widerrufen |
Governance-Richtlinien
Nach der Domain-Verifizierung kann der Admin Durchsetzungsrichtlinien konfigurieren:
Tenant-übergreifenden Beitritt blockieren
Wenn aktiviert, können verwaltete Benutzer keine Einladungen zu
anderen Tenants annehmen. Einladungen zum verwaltenden Tenant selbst
sind immer erlaubt. Sowohl der Token-basierte als auch der
In-App-Einladungsfluss setzen diese Richtlinie durch. Fehlercode:
GOVERNANCE_CROSS_TENANT_BLOCKED.
Externe Registrierung blockieren
Wenn aktiviert, können Benutzer mit einer E-Mail der verwalteten
Domain keinen neuen Tenant eigenständig registrieren. Sie können dem
verwaltenden Tenant nur per Einladung beitreten. Fehlercode:
GOVERNANCE_REGISTRATION_BLOCKED.
Profilbearbeitung einschränken
Wenn aktiviert, können verwaltete Benutzer bestimmte Profilfelder
nicht ändern. Der Admin wählt die gesperrten Felder aus (z.B.
first_name, last_name, display_name). Fehlercode:
GOVERNANCE_PROFILE_RESTRICTED.
Kontolöschung verhindern
Wenn deaktiviert, können verwaltete Benutzer ihr Konto nicht über die Profilseite selbst löschen.
Erzwungene Abmeldung
Admins mit aktiviertem session_management-Feature können eine
Zwangsabmeldung für jeden verwalteten Benutzer auslösen. Die aktuelle
Sitzung des Benutzers wird innerhalb von 24 Stunden ungültig.
Verwaltete Benutzer
Nach der Domain-Verifizierung werden alle bestehenden Benutzer im verwaltenden Tenant, deren E-Mail mit der Domain übereinstimmt, automatisch zur Liste der verwalteten Benutzer hinzugefügt. Die Liste ist unter Einstellungen → Domain Governance → Verwaltete Benutzer einsehbar und zeigt:
- E-Mail und Anzeigename des Benutzers
- Governance-Status (active / grace_period / frozen)
- Aktionen (Zwangsabmeldung)
GLAD-Administration
GLAD-Super-Admins verwalten Domain-Governance-Lizenzen unter GLAD → Domain Governance. Das Dashboard zeigt:
- Alle Tenants mit Lizenzstatus
- Feature-Flags pro Tenant
- Domain- und Verifizierungsstatistiken
- Aktivierungs-/Deaktivierungssteuerung
API-Endpunkte
Alle Endpunkte erfordern Authentifizierung und die Domain-Governance-Add-on-Lizenz.
| Methode | Pfad | Beschreibung |
|---|---|---|
GET | /api/domain-governance/domains | Beanspruchte Domains auflisten |
POST | /api/domain-governance/domains | Neue Domain beanspruchen |
DELETE | /api/domain-governance/domains/:id | Beanspruchung entfernen |
POST | /api/domain-governance/domains/:id/verify | DNS-Verifizierung auslösen |
GET | /api/domain-governance/domains/:id/policy | Governance-Richtlinie abrufen |
PUT | /api/domain-governance/domains/:id/policy | Richtlinie aktualisieren |
GET | /api/domain-governance/domains/:id/users | Verwaltete Benutzer auflisten |
POST | /api/domain-governance/users/:id/force-logout | Zwangsabmeldung |