Odoo-Sicherheit und Zugriffskontrolle: Schützen Sie Ihre Geschäftsdaten

Your ERP contains your most sensitive business data — financial records, customer information, employee details, pricing strategies, and operational metrics. Eine falsch konfigurierte Zugriffskontrolle kann diese Daten unbefugten Benutzern zugänglich machen oder versehentliche (oder böswillige) Änderungen ermöglichen. Odoo bietet ein mehrschichtiges Sicherheitsmodell, das bei richtiger Konfiguration Daten schützt und den Benutzern gleichzeitig den Zugriff ermöglicht, den sie für ihre Arbeit benötigen.

Der Security Layer Stack

Die Odoo-Sicherheit funktioniert auf vier Ebenen, von denen jede eine detailliertere Kontrolle bietet:

1. Benutzergruppen – breite Zugriffskategorien (Vertriebsbenutzer, Buchhaltungsleiter, Personalverantwortlicher)
2. Zugriffsrechte – CRUD-Berechtigungen (Erstellen, Lesen, Aktualisieren, Löschen) pro Modell und Gruppe
3. Datensatzregeln – Filterung auf Zeilenebene (Benutzer sehen nur ihre eigenen Datensätze, ihre Teamdatensätze oder alle Datensätze)
4. Zugriff auf Feldebene – individuelle Feldbeschränkungen (Gehaltsfelder werden vor Nicht-HR-Benutzern ausgeblendet)

Benutzergruppen

Vordefinierte Gruppen

Jedes Odoo-Modul definiert Benutzergruppen, die typischen Organisationsrollen entsprechen. Das Vertriebsmodul umfasst: Vertriebsbenutzer (Zugriff auf eigene Leads und Bestellungen), Vertriebsmanager (Zugriff auf alle Vertriebsdaten) und Administrator (vollständiger Konfigurationszugriff).

Benutzerdefinierte Gruppen

Erstellen Sie benutzerdefinierte Gruppen für Rollen, die für Ihre Organisation einzigartig sind. Bei einer Gruppe „Regionalmanager“ ist der Vertriebsmanagerzugriff möglicherweise auf Datensätze aus ihrer Region beschränkt.

Gruppenhierarchie

Gruppen können von anderen Gruppen erben. Der Vertriebsmanager erbt alle Vertriebsbenutzerberechtigungen und fügt Verwaltungsfunktionen hinzu. Diese Hierarchie reduziert Konfigurationsduplizierungen.

Zugriffsrechte (ACL)

Berechtigungen auf Modellebene

Definieren Sie für jede Gruppe Berechtigungen für jedes Modell (Datenbanktabelle): Lesen (Datensätze anzeigen), Erstellen (neue Datensätze erstellen), Schreiben (vorhandene Datensätze ändern), Löschen (Datensätze entfernen).

Ein Lagerarbeiter verfügt möglicherweise über Lese-/Schreibzugriff auf die Lagerkommissionierung (Fulfillment-Bestellungen), aber nur über Lese-/Schreibzugriff auf das Produkt (Produktinformationen können nicht geändert werden).

Allgemeine Konfigurationen

• Schreibgeschützter Zugriff: Benutzer, die Daten anzeigen, aber nicht ändern müssen
• Erstellen, aber nicht löschen: Benutzer, die Datensätze hinzufügen, diese aber nicht entfernen können
• Kein Zugriff: Gruppen, die bestimmte Modelle überhaupt nicht sehen sollen (HR-Daten werden für Nicht-HR-Mitarbeiter ausgeblendet)

Regeln aufzeichnen

Domänenbasierte Filterung

Datensatzregeln wenden Domänenfilter an, die einschränken, auf welche Datensätze eine Gruppe innerhalb eines Modells zugreifen kann. Beispiele:

– Vertriebsbenutzer sehen nur die ihnen zugewiesenen Leads: [('user_id', '=', user.id)]

• Abteilungsleiter sehen alle Datensätze in ihrer Abteilung: [('department_id', '=', user.department_id.id)]
• Isolation mehrerer Unternehmen: [('company_id', '=', user.company_id.id)]

Globale vs. gruppenspezifische Regeln

Globale Regeln gelten für alle (z. B. die Isolation mehrerer Unternehmen). Gruppenspezifische Regeln gelten nur für Mitglieder einer bestimmten Gruppe. Gruppenregeln sind additiv – wenn ein Benutzer mehreren Gruppen angehört, erhält er die Gesamtheit aller anwendbaren Regeln.

Sicherheit auf Feldebene

Sensibler Feldschutz

Markieren Sie einzelne Felder als auf bestimmte Gruppen beschränkt. Häufige Anwendungsfälle: Mitarbeitergehälter, die nur für die Personal- und Finanzabteilung sichtbar sind, Kreditbedingungen für Kunden, die nur für Vertriebsleiter sichtbar sind, Produktkostenpreise, die nur für den Einkauf und die Buchhaltung sichtbar sind, und Margenberechnungen, die nur für das Management sichtbar sind.

Sicherheit berechneter Felder

Stellen Sie bei berechneten Feldern (Gewinnspannen, Provisionen) sicher, dass auch die Quelldatenfelder gesichert sind. Ein Benutzer, der den Selbstkostenpreis nicht sehen kann, sollte kein Margenfeld sehen, das ihn indirekt offenlegt.

Authentifizierungssicherheit

Zwei-Faktor-Authentifizierung (2FA)

Aktivieren Sie 2FA für alle Benutzer, insbesondere für diejenigen mit administrativem oder vertraulichem Datenzugriff. Odoo unterstützt TOTP (zeitbasierte Einmalpasswörter), kompatibel mit Google Authenticator, Authy und ähnlichen Apps.

Passwortrichtlinien

Konfigurieren Sie Passwortanforderungen: Mindestlänge, Komplexitätsanforderungen (Großbuchstaben, Zahlen, Symbole) und Ablauffristen. Sperren Sie Konten nach wiederholten fehlgeschlagenen Anmeldeversuchen.

API-Schlüsselverwaltung

Verwenden Sie API-Schlüssel anstelle von Passwörtern für automatisierte Integrationen. Each key can be revoked independently, and key usage is logged.

Audit und Überwachung

Änderungsverfolgung

Aktivieren Sie die Änderungsverfolgung für sensible Modelle, um zu protokollieren: Wer hat was wann geändert, den alten und den neuen Wert. Dies ist für Finanzunterlagen, Personaldaten und alle Compliance-regulierten Informationen von entscheidender Bedeutung.

Login-Überwachung

Überwachen Sie die Anmeldeaktivität: erfolgreiche Anmeldungen, Fehlversuche, ungewöhnliche Muster (Anmeldung von neuen Standorten, außerhalb der Geschäftszeiten). Richten Sie Benachrichtigungen für verdächtige Aktivitäten ein.

Sitzungsverwaltung

Konfigurieren Sie Sitzungszeitlimits für inaktive Benutzer. Administratoren können bei Bedarf aktive Sitzungen anzeigen und beenden (z. B. wenn ein Gerät verloren geht).

Best Practices für die Produktionssicherheit

1. Prinzip der geringsten Rechte – beginnen Sie mit minimalem Zugriff und fügen Sie nach Bedarf Berechtigungen hinzu
2. Regelmäßige Zugriffsüberprüfungen – vierteljährliche Prüfung, wer Zugriff auf was hat
3. Getrennte Administratorkonten – verwenden Sie keine Administratorkonten für die tägliche Arbeit
4. Sichern Sie die Datenbank – beschränken Sie den direkten Datenbankzugriff nur auf DBAs
5. Odoo auf dem neuesten Stand halten – Sicherheitspatches beheben bekannte Schwachstellen
6. Verwenden Sie ausschließlich HTTPS – erlauben Sie niemals unverschlüsselte Verbindungen
7. Backup-Verschlüsselung – verschlüsseln Sie ruhende Backups, nicht nur die Live-Datenbank
8. Netzwerksegmentierung – Platzieren Sie den Odoo-Server hinter einer Firewall, wobei nur die erforderlichen Ports geöffnet sind
9. Nicht verwendete Funktionen deaktivieren – jedes aktivierte Modul stellt eine zusätzliche Angriffsfläche dar
10. Dokumentieren Sie Ihre Sicherheitskonfiguration – damit sie überprüft und repliziert werden kann

Unser Odoo-Support- und Wartungsservice umfasst laufende Sicherheitsüberprüfungen und Konfigurationsüberprüfungen.

Häufig gestellte Fragen

Kann ich die Menüsichtbarkeit basierend auf Benutzergruppen einschränken?

Ja. Menüpunkte sind mit Gruppen verknüpft. Benutzer sehen nur Menüs für Module und Funktionen, auf die sie Zugriff haben. Dies hält die Benutzeroberfläche sauber und verhindert Verwirrung.

Wie funktioniert unternehmensübergreifende Sicherheit?

In Odoo sind unternehmensübergreifende Datensatzregeln integriert. Benutzer, die bestimmten Unternehmen zugewiesen sind, sehen nur die Daten dieser Unternehmen. Administratoren können zwischen Unternehmen wechseln, auf die sie Zugriff haben.

Was passiert, wenn ein Mitarbeiter ausscheidet?

Deaktivieren (nicht löschen) Sie das Benutzerkonto. Dadurch bleiben Prüfpfade und historische Aufzeichnungen erhalten und gleichzeitig wird der Zugriff verhindert. Entfernen Sie den Benutzer aus allen Gruppen und setzen Sie sein Passwort zurück.

Kann ich überprüfen, wer auf bestimmte Datensätze zugegriffen hat?

Wenn die Änderungsverfolgung aktiviert ist, können Sie sehen, wer Datensätze geändert hat. Für die Überwachung des Lesezugriffs sind benutzerdefinierte Protokollierungsmodule oder Serverprotokollanalysen erforderlich, da Odoo standardmäßig keine Lesezugriffe verfolgt.