Dieser Leitfaden erklärt, welche personenbezogenen Daten (PII) Discourse standardmäßig speichert, wo sie gespeichert werden, wer darauf zugreifen kann und wie Sie die Erfassung von PII mithilfe von DiscourseConnect minimieren können.
Erforderliche Benutzerebene: Administrator
Discourse speichert bestimmte personenbezogene Daten (PII), um Kernfunktionen wie Moderation, Kontoverwaltung und Benutzerauthentifizierung zu unterstützen. Zu verstehen, welche Daten erfasst und wie sie gespeichert werden, hilft Ihnen, fundierte Entscheidungen über Datenschutz und Compliance zu treffen.
Zusammenfassung
Discourse speichert verschiedene Arten von PII, darunter IP-Adressen, E-Mail-Adressen und Anmeldeinformationen für soziale Netzwerke. Diese Informationen werden hauptsächlich zur Moderation, zur Erkennung doppelter Konten und zur Benutzerauthentifizierung verwendet. Site-Administratoren können die Speicherung von PII minimieren, indem sie DiscourseConnect (SSO) implementieren, mit dem Sie steuern können, welche Informationen an Discourse übermittelt werden.
Welche PII speichert Discourse?
IP-Adressen
Discourse speichert die folgenden IP-Adressen für jeden Benutzer, um Ihr Moderationsteam bei der Erkennung doppelter Konten zu unterstützen:
- Registrierungs-IP-Adresse – Die IP-Adresse, die bei der Erstellung des Kontos verwendet wurde
- Zuletzt verwendete IP-Adresse – Die aktuellste IP-Adresse, von der aus der Benutzer auf die Website zugegriffen hat
Wenn Sie beispielsweise Ihre Website um 11:00 Uhr mit Ihrem Mobilgerät und um 12:00 Uhr mit Ihrem Tablet besuchen, wird nur die IP-Adresse des Tablets als „zuletzt verwendete“ IP-Adresse gespeichert.
Wer kann auf IP-Adressen zugreifen
- Administratoren – Voller Zugriff auf alle IP-Informationen
- Moderatoren – Können standardmäßig IP-Adressen anzeigen (kann mit der Site-Einstellung
moderators_view_ipsdeaktiviert werden) - Das System – Verwendet IP-Adressen intern zur Spam-Erkennung und zur Identifizierung doppelter Konten
E-Mail-Adressen
E-Mail-Adressen werden als Klartext in der Datenbank gespeichert und sind für jeden mit Datenbankzugriff sichtbar. Dies umfasst:
Wer kann auf E-Mail-Adressen zugreifen
- Administratoren – Voller Zugriff auf alle E-Mail-Adressen
- Moderatoren – Können standardmäßig E-Mail-Adressen anzeigen (kann mit der Site-Einstellung
moderators_view_emailsdeaktiviert werden) - Datenbankadministratoren – Jeder mit direktem Datenbankzugriff
Vollständige Namen (Echte Namen)
Discourse kann die vollständigen Namen der Benutzer erfassen und speichern (auch als „echte Namen“ bezeichnet), die von ihren Benutzernamen getrennt sind. Vollständige Namen werden zusammen mit anderen Benutzerinformationen als Klartext in der Datenbank gespeichert.
Wie vollständige Namen erfasst werden
Vollständige Namen können auf verschiedene Arten angegeben werden:
- Während der Registrierung – Benutzer können ihren vollständigen Namen während des Anmeldevorgangs eingeben (abhängig von der Konfiguration)
- Über SSO/DiscourseConnect – Der externe Authentifizierungsanbieter kann den vollständigen Namen (
name-Feld) beim Erstellen oder Aktualisieren eines Benutzers übergeben und den lokalen Namen überschreiben, wenn er konfiguriert ist. - Durch Profilbearbeitung – Benutzer können ihren vollständigen Namen über ihre Profileinstellungen hinzufügen oder aktualisieren
- Von Social-Logins – Wenn Benutzer sich über soziale Anbieter authentifizieren, wird deren Anzeigename oft als vollständiger Name verwendet
Wer kann auf vollständige Namen zugreifen
Vollständige Namen werden als Klartext in der Spalte name der Tabelle users in der Datenbank gespeichert und können von folgenden Personen abgerufen werden:
- Administratoren – Voller Zugriff auf alle vollständigen Namen
- Moderatoren – Können standardmäßig vollständige Namen anzeigen (gesteuert durch dieselben Berechtigungen wie der E-Mail-Zugriff)
- Datenbankadministratoren – Jeder mit direktem Datenbankzugriff.
- Öffentliche Benutzer – Können vollständige Namen anzeigen, abhängig von den Einstellungen
enable_namesund den zugehörigen Anzeigeeinstellungen
Konfigurationsoptionen
Administratoren können steuern, wie vollständige Namen erfasst und angezeigt werden, indem sie diese Site-Einstellungen verwenden:
-
full_name_requirement– Steuert, ob das Feld für den vollständigen Namen bei der Anmeldung angezeigt wird und ob es erforderlich ist -
auth_overrides_name– Wenn aktiviert, kann der Name Ihres SSO/DiscourseConnect-Anbieters nicht von Benutzern geändert werden- Nützlich für die Aufrechterhaltung einer konsistenten Identität über Ihre Systeme hinweg
-
use_name_for_username_suggestions– Wenn aktiviert, verwendet Discourse den vollständigen Namen, wenn Benutzernamen während der Registrierung vorgeschlagen werden -
enable_names– Hauptschalter, der den vollständigen Namen des Benutzers auf seinem Profil, seiner Benutzerkarte und in E-Mails anzeigt. Deaktivieren, um den vollständigen Namen überall auszublenden- Standard: aktiviert
Die folgenden Anzeigeeinstellungen werden nur wirksam, wenn enable_names aktiviert ist:
display_name_on_posts– Zeigt zusätzlich zum @Benutzernamen den vollständigen Namen eines Benutzers in seinen Beiträgen anprioritize_username_in_ux– Steuert, ob der Benutzername oder der vollständige Name in der Benutzeroberfläche prominenter angezeigt wird- Standard: aktiviert (Benutzername hat Vorrang)
display_name_on_email_from– Verwendet den vollständigen Namen in „Von“-Feldern in E-Mail-Benachrichtigungen, wenn aktiviert.
Discourse verfügt über eine intelligente Deduplizierung. Wenn der vollständige Name und der Benutzername eines Benutzers sehr ähnlich sind (Leerzeichen, Unterstriche und Groß-/Kleinschreibung werden ignoriert), wird nur einer angezeigt, um Redundanz zu vermeiden. Sie können dieses Verhalten deaktivieren, indem Sie die Theme-Komponente Remove Name Suppression on Posts verwenden, die erzwingt, dass sowohl der vollständige Name als auch der Benutzername immer in Beiträgen angezeigt werden.
Informationen zur föderierten sozialen Anmeldung
Wenn sich Benutzer über Anbieter für soziale Anmeldungen (Google, Facebook, GitHub usw.) authentifizieren, speichert Discourse verschiedene Informationen:
- Anbieter-Konto-ID
- Name
- Avatar
- [Diese Liste kann je nach Anbieter oder im Laufe der Zeit geändert werden]
Die spezifischen gespeicherten Daten hängen vom Anbieter und den von ihm freigegebenen Informationen ab.
Beispiel: Google OAuth2
Wenn sich ein Benutzer mit Google anmeldet, speichert Discourse die folgenden Informationen in der Datenbank:
provider_name: "google_oauth2",
provider_uid: "11791234567812345",
info: {
"name"=>"Bilbo Baggins",
"email"=>"bilbo.baggins@gmail.com",
"image"=>"https://lh3.googleusercontent.com/a/ACg8ocJD5vR-JuZZ16mGf51uYH0KyKGoKXF36U3inbh4Bzne0CpuTlH23g=s96-c",
"last_name"=>"Baggins",
"first_name"=>"Bilbo",
"email_verified"=>true,
"unverified_email"=>"bilbo.baggins@gmail.com"
}
Beispiel: Facebook OAuth
Ein geschwärztes Beispiel für die Facebook-Anmeldung zeigt:
provider_name: "facebook",
provider_uid: "123456789",
info: {
"name"=>"Bilbo Baggins",
"email"=>"bbaggins@shire.net",
"image"=>"https://graph.facebook.com/v5.0/123456789/picture?access_token=swordfish&width=480&height=480",
"last_name"=>"Baggins",
"first_name"=>"Bilbo"
}
Die spezifischen gespeicherten Felder können je nach Anbieter oder im Laufe der Zeit variieren, wenn sich Authentifizierungsprotokolle weiterentwickeln.
Wer kann auf Informationen zur sozialen Anmeldung zugreifen
- Administratoren – Voller Zugriff auf zugehörige Kontoinformationen über das Admin-Panel und die Datenbank
- Moderatoren – Können je nach Site-Konfiguration eingeschränkten Zugriff haben
- Einzelne Benutzer – Können ihre eigenen zugehörigen Konten über ihre Benutzereinstellungen anzeigen und verwalten
Minimierung der PII-Speicherung mit DiscourseConnect
Um die Speicherung bestimmter personenbezogener Daten in Discourse zu vermeiden, können Sie DiscourseConnect verwenden, um den Anmeldevorgang für Ihre Benutzer vollständig zu übernehmen.
Wie DiscourseConnect die PII-Exposition reduziert
Mit DiscourseConnect steuern Sie vollständig die Benutzerinformationen, die an Discourse zurückgegeben werden. Da Sie die Implementierung verwalten, können Sie datenschutzorientierte Alternativen zu herkömmlichen Identifikatoren erstellen.
Beispielansatz: Anstatt Discourse die echte E-Mail-Adresse des Benutzers zu geben, können Sie eine eindeutige, aber PII-freie E-Mail-Adresse erstellen.
Wenn die interne eindeutige ID für einen Benutzer beispielsweise U123456 lautet, könnten Sie eine E-Mail-Adresse wie diese zurückgeben:
user-U123456@example.com
Zusätzliche Datenschutzvorteile
Die Verwendung von DiscourseConnect verbirgt auch jegliche Verbindung zu föderierten sozialen Anmeldungen vor Discourse. Aus Sicht von Discourse ist die Art der Anmeldung, die der Benutzer verwendet (sozial, mobil usw.), irrelevant, da dies auf Ihrer Seite gehandhabt wird. Discourse weiß nur, was der Anmeldeanbieter ihm mitteilt.
MFA und externe Authentifizierung
Kann MFA bei externer Authentifizierung erzwungen werden?
Diese Kombination wird derzeit nicht wie erwartet unterstützt.
Discourse verfügt über die Site-Einstellung enforce_second_factor_on_external_auth, die verhindert, dass Benutzer mit aktivierter MFA externe Authentifizierungsmethoden wie soziale Anmeldungen verwenden. Wenn diese Einstellung aktiviert ist, wird verhindert, dass Benutzer sich mit externen Authentifizierungsmethoden anmelden, wenn sie die Zwei-Faktor-Authentifizierung aktiviert haben.
Diese Einstellung zwingt Benutzer effektiv dazu, sich zwischen Folgendem zu entscheiden:
- Verwendung externer Authentifizierung (soziale Anmeldungen) ohne 2FA bei Discourse
- Verwendung der Anmeldung mit Benutzername/Passwort mit 2FA bei Discourse
Für das sicherste Setup mit SSO implementieren Sie MFA in Ihrem Identitätsanbieter und nicht innerhalb von Discourse.