Dieser Leitfaden erklärt, welche persönlich identifizierbaren Informationen (PII) Discourse standardmäßig speichert, wo sie gespeichert werden, wer darauf zugreifen kann und wie Sie die Erfassung von PII mithilfe von DiscourseConnect minimieren können.
Erforderliche Benutzerrolle: Administrator
Discourse speichert bestimmte persönlich identifizierbare Informationen (PII), um Kernfunktionen wie Moderation, Kontoverwaltung und Benutzerauthentifizierung zu unterstützen. Das Verständnis davon, welche Daten erfasst und wie sie gespeichert werden, hilft Ihnen, fundierte Entscheidungen über Datenschutz und Compliance zu treffen.
Zusammenfassung
Discourse speichert verschiedene Arten von PII, darunter IP-Adressen, E-Mail-Adressen und Anmeldedaten für soziale Netzwerke. Diese Informationen werden hauptsächlich für Moderation, die Erkennung von Duplikaten und die Benutzerauthentifizierung verwendet. Site-Administratoren können die Speicherung von PII minimieren, indem sie DiscourseConnect (SSO) implementieren, was es Ihnen ermöglicht, zu steuern, welche Informationen an Discourse weitergegeben werden.
Welche PII speichert Discourse?
IP-Adressen
Discourse speichert die folgenden IP-Adressen für jeden Benutzer, um Ihrem Moderationsteam bei der Erkennung von Duplikaten zu helfen:
- Registrierungs-IP-Adresse – Die IP-Adresse, die bei der Erstellung des Kontos verwendet wurde
- Zuletzt verwendete IP-Adresse – Die IP-Adresse, von der aus der Benutzer zuletzt auf die Site zugegriffen hat
Beispiel: Wenn Sie Ihre Site um 11:00 Uhr auf Ihrem mobilen Gerät und um 12:00 Uhr auf Ihrem Tablet besuchen, wird nur die IP-Adresse des Tablets als „zuletzt verwendete" IP-Adresse gespeichert.
Wer kann auf IP-Adressen zugreifen
- Administratoren – Vollzugriff auf alle IP-Informationen
- Moderatoren – Können standardmäßig IP-Adressen einsehen (kann mit der Site-Einstellung
moderators_view_ipsdeaktiviert werden) - Das System – Verwendet IP-Adressen intern zur Spam-Erkennung und Identifizierung von Duplikaten
E-Mail-Adressen
E-Mail-Adressen werden als Klartext in der Datenbank gespeichert und sind für jeden mit Datenbankzugriff sichtbar. Dazu gehören:
Wer kann auf E-Mail-Adressen zugreifen
- Administratoren – Vollzugriff auf alle E-Mail-Adressen
- Moderatoren – Können standardmäßig keine E-Mail-Adressen einsehen (kann mit der Site-Einstellung
moderators_view_emailsaktiviert werden) - Datenbankadministratoren – Jeder mit direktem Datenbankzugriff
Vollständige Namen (echte Namen)
Discourse kann die vollständigen Namen der Benutzer erfassen und speichern (auch als „echte Namen" bezeichnet), die sich von ihren Benutzernamen unterscheiden. Vollständige Namen werden als Klartext in der Datenbank zusammen mit anderen Benutzerinformationen gespeichert.
Wie vollständige Namen erfasst werden
Vollständige Namen können auf verschiedene Weise bereitgestellt werden:
- Während der Registrierung – Benutzer können ihren vollständigen Namen während des Anmeldeprozesses eingeben (abhängig von der Konfiguration)
- Über SSO/DiscourseConnect – Der externe Authentifizierungsanbieter kann den vollständigen Namen (
name-Feld) beim Erstellen oder Aktualisieren eines Benutzers übergeben und den lokalen Namen bei entsprechender Konfiguration überschreiben. - Durch Profilbearbeitung – Benutzer können ihren vollständigen Namen in ihren Profileinstellungen hinzufügen oder aktualisieren
- Von sozialen Anmeldungen – Wenn Benutzer sich über soziale Anbieter anmelden, wird ihr Anzeigename oft als vollständiger Name verwendet
Wer kann auf vollständige Namen zugreifen
Vollständige Namen werden als Klartext in der Spalte name der Tabelle users in der Datenbank gespeichert und können von folgenden Personen abgerufen werden:
- Administratoren – Vollzugriff auf alle vollständigen Namen
- Moderatoren – Können standardmäßig vollständige Namen einsehen (gesteuert durch dieselben Berechtigungen wie der Zugriff auf E-Mails)
- Datenbankadministratoren – Jeder mit direktem Datenbankzugriff.
- Öffentliche Benutzer – Können vollständige Namen sehen, abhängig von den Einstellungen
enable_namesund verwandten Anzeigeeinstellungen
Konfigurationsoptionen
Administratoren können steuern, wie vollständige Namen erfasst und angezeigt werden, indem sie diese Site-Einstellungen verwenden:
-
full_name_requirement– Steuert, ob das Feld für den vollständigen Namen während der Registrierung angezeigt wird und ob es erforderlich ist -
auth_overrides_name– Wenn aktiviert, kann der Name Ihres externen Authentifizierungsanbieters (einschließlich SSO/DiscourseConnect und sozialer Anmeldungen) nicht von Benutzern geändert werden- Nützlich zur Aufrechterhaltung einer konsistenten Identität über Ihre Systeme hinweg
-
use_name_for_username_suggestions– Wenn aktiviert, verwendet Discourse den vollständigen Namen, um Benutzernamen während der Registrierung vorzuschlagen -
enable_names– Hauptschalter, der den vollständigen Namen des Benutzers auf seinem Profil, der Benutzerkarte und in E-Mails anzeigt. Deaktivieren, um den vollständigen Namen überall auszublenden- Standard: aktiviert
Die folgenden Anzeigeeinstellungen treten nur in Kraft, wenn enable_names aktiviert ist:
display_name_on_posts– Zeigt den vollständigen Namen eines Benutzers zusätzlich zu seinem @Benutzernamen in seinen Beiträgen anprioritize_username_in_ux– Steuert, ob der Benutzername oder der vollständige Name in der Benutzeroberfläche prominenter angezeigt wird- Standard: aktiviert (der Benutzername hat Vorrang)
display_name_on_email_from– Verwendet den vollständigen Namen in „Von"-Feldern in E-Mail-Benachrichtigungen, falls aktiviert.
Discourse verfügt über eine intelligente Deduplizierung. Wenn der vollständige Name und der Benutzername eines Benutzers sehr ähnlich sind (unter Ignorierung von Leerzeichen, Unterstrichen und Groß-/Kleinschreibung), wird nur einer angezeigt, um Redundanzen zu vermeiden. Sie können dieses Verhalten mit der Theme-Komponente „Name-Suppression in Beiträgen entfernen" deaktivieren, die erzwingt, dass sowohl der vollständige Name als auch der Benutzername immer in Beiträgen angezeigt werden.
Informationen zu föderierten sozialen Anmeldungen
Wenn Benutzer sich über soziale Anmeldeanbieter (Google, Facebook, GitHub usw.) anmelden, speichert Discourse verschiedene Informationen:
- Anbieter-Konto-ID
- Name
- Avatar
- [Diese Liste kann sich je nach Anbieter oder im Laufe der Zeit ändern]
Die spezifisch gespeicherten Daten hängen vom Anbieter und den von ihm geteilten Informationen ab.
Beispiel: Google OAuth2
Wenn sich ein Benutzer mit Google anmeldet, behält Discourse die folgenden Informationen in der Datenbank:
provider_name: "google_oauth2",
provider_uid: "11791234567812345",
info: {
"name" => "Bilbo Baggins",
"email" => "bilbo.baggins@gmail.com",
"image" => "https://lh3.googleusercontent.com/a/ACg8ocJD5vR-JuZZ16mGf51uYH0KyKGoKXF36U3inbh4Bzne0CpuTlH23g=s96-c",
"last_name" => "Baggins",
"first_name" => "Bilbo",
"email_verified" => true,
"unverified_email" => "bilbo.baggins@gmail.com"
}
Beispiel: Facebook OAuth
Ein anonymisiertes Beispiel für eine Facebook-Anmeldung zeigt:
provider_name: "facebook",
provider_uid: "123456789",
info: {
"name" => "Bilbo Baggins",
"email" => "bbaggins@shire.net",
"image" => "https://graph.facebook.com/v5.0/123456789/picture?access_token=swordfish&width=480&height=480",
"last_name" => "Baggins",
"first_name" => "Bilbo"
}
Die spezifisch gespeicherten Felder können sich je nach Anbieter oder im Laufe der Zeit ändern, da sich Authentifizierungsprotokolle weiterentwickeln.
Wer kann auf Informationen zu sozialen Anmeldungen zugreifen
- Administratoren – Vollzugriff auf zugehörige Kontoinformationen über das Admin-Panel und die Datenbank
- Moderatoren – Je nach Site-Konfiguration möglicherweise eingeschränkter Zugriff
- Einzelne Benutzer – Können ihre eigenen zugehörigen Konten in ihren Benutzereinstellungen einsehen und verwalten
Minimierung der PII-Speicherung mit DiscourseConnect
Um zu vermeiden, dass bestimmte persönlich identifizierbare Informationen in Discourse gespeichert werden, können Sie DiscourseConnect verwenden, um den Anmeldeprozess für Ihre Benutzer vollständig zu übernehmen.
Wie DiscourseConnect die PII-Exposition reduziert
Mit DiscourseConnect haben Sie die vollständige Kontrolle über die an Discourse zurückgegebenen Benutzerinformationen. Da Sie die Implementierung verwalten, können Sie datenschutzfreundliche Alternativen zu traditionellen Identifikatoren erstellen.
Beispielansatz: Anstatt Discourse die echte E-Mail-Adresse des Benutzers zu geben, können Sie eine eindeutige, aber PII-freie E-Mail-Adresse erstellen.
Beispiel: Wenn die interne eindeutige ID eines Benutzers U123456 ist, könnten Sie eine E-Mail-Adresse wie folgende übergeben:
user-U123456@example.com
Zusätzliche Datenschutzvorteile
Die Verwendung von DiscourseConnect verbirgt auch jegliche Verbindung zu föderierten sozialen Anmeldungen vor Discourse. Aus Sicht von Discourse ist die Art der Anmeldung, die der Benutzer verwendet (sozial, mobil usw.), irrelevant, da dies auf Ihrer Seite gehandhabt wird. Discourse weiß nur das, was der Anmeldeanbieter ihm mitteilt.
MFA und externe Authentifizierung
Kann MFA über externer Authentifizierung durchgesetzt werden?
Diese Kombination wird derzeit nicht auf die erwartete Weise unterstützt.
Discourse verfügt über die Site-Einstellung enforce_second_factor_on_external_auth, die verhindert, dass Benutzer mit aktivierter MFA externe Authentifizierungsmethoden wie soziale Anmeldungen verwenden. Wenn diese aktiviert ist, wird verhindert, dass Benutzer sich mit externen Authentifizierungsmethoden anmelden, wenn sie die Zwei-Faktor-Authentifizierung aktiviert haben.
Diese Einstellung zwingt Benutzer effektiv dazu, sich zwischen folgenden Optionen zu entscheiden:
- Verwendung externer Authentifizierung (soziale Anmeldungen) ohne 2FA in Discourse
- Verwendung der Anmeldung mit Benutzername/Passwort mit 2FA in Discourse
Für das sicherste Setup mit SSO implementieren Sie MFA in Ihrem Identitätsanbieter und nicht in Discourse.