Admin gebruikers en rollen beheren in Magento 2

Admin gebruikersbeheer

Beheer wie toegang heeft tot je Magento admin en wat ze mogen doen.

Admin gebruikers aanmaken

Navigatie

System > Permissions > All Users

Nieuwe gebruiker

Klik Add New User

User Info:

- User Name: unieke login

- First/Last Name

- Email: voor notificaties en wachtwoord reset

- Password: sterk wachtwoord

- Password Confirmation

- Interface Locale: Nederlands

- This account is: Active

User Role: Selecteer rol

Current User Identity Verification: Je eigen wachtwoord

Sla op

Gebruiker deactiveren

Open gebruiker

Zet "This account is" op Inactive

Sla op

Inactieve gebruikers kunnen niet inloggen maar blijven in het systeem.

Rollen aanmaken

Navigatie

System > Permissions > User Roles

Nieuwe rol

Klik Add New Role

Role Info:

- Role Name: "Order Beheerder"

Role Resources:

- Resource Access: Custom

- Vink specifieke rechten aan

Voorbeeld rollen

Order Beheerder:

• Sales > Operations (Orders, Invoices, Shipments)
• Customers (alleen lezen)

Product Beheerder:

• Catalog > Inventory > Products
• Catalog > Inventory > Categories

Marketing:

• Marketing (alle)
• Content > Pages
• Content > Blocks

Full Admin:

• Resource Access: All

Permissie structuur

Hiërarchie

``

Dashboard

├── Sales

│ ├── Operations

│ │ ├── Orders

│ │ ├── Invoices

│ │ ├── Shipments

│ │ └── Credit Memos

│ └── Archive

├── Catalog

│ ├── Inventory

│ │ ├── Products

│ │ └── Categories

│ └── Attributes

├── Customers

│ ├── All Customers

│ └── Customer Groups

├── Marketing

│ ├── Promotions

│ └── Communications

├── Content

│ ├── Pages

│ ├── Blocks

│ └── Media Gallery

├── Reports

│ └── (diverse rapporten)

├── Stores

│ ├── All Stores

│ └── Configuration

└── System

├── Import/Export

├── Cache Management

└── Permissions

`

Principle of Least Privilege

Geef gebruikers alleen de rechten die ze nodig hebben. Niet iedereen hoeft Full Admin te zijn.

Two-Factor Authentication (2FA)

Wat is 2FA?

Extra beveiligingslaag naast wachtwoord. Vereist code van authenticator app.

Verplicht in Magento 2.4+

2FA is standaard verplicht voor alle admin gebruikers.

Configuratie

Stores > Configuration > Security > 2FA

• Enable 2FA: Yes
• Providers: Selecteer toegestane providers

- Google Authenticator (aanbevolen)

- Duo Security

- Authy

- U2F Keys

Instellen als gebruiker

Eerste login na 2FA activatie

Scan QR code met authenticator app

Voer verificatiecode in

Voortaan: code vereist bij elke login

2FA resetten

Als gebruiker toegang verliest tot authenticator:

`bash

bin/magento security:tfa:reset

`

Of via admin als je zelf toegang hebt.

Wachtwoordbeleid

Configuratie

Stores > Configuration > Customers > Customer Configuration > Password Options

Geldt ook voor admin wachtwoorden.

Admin specifiek

Stores > Configuration > Advanced > Admin > Security

• Admin Session Lifetime (seconds): 900 (15 min)
• Password Lifetime (days): 90
• Password Change Frequency: 0 (geen beperking)
• Maximum Login Failures: 6
• Lockout Time (minutes): 30
• Password is Case Sensitive: Yes
• Admin Account Sharing: No

Admin URL beveiligen

Custom admin URL

Standaard: domein.nl/admin

Wijzig in app/etc/env.php:

`php

'backend' => [

'frontName' => 'geheimeadmin123'

]

`

Voordelen

• Beschermt tegen automated attacks
• Bots vinden login pagina niet

Nadeel

Niet 100% security (security through obscurity). Combineer met andere maatregelen.

IP restricties

Via .htaccess

`apache

Order deny,allow

Deny from all

Allow from 1.2.3.4

Allow from 5.6.7.8

``

Via hosting firewall

Veel hostingpartijen bieden IP whitelisting voor admin.

Via extensie

Admin Access Restriction extensies.

Activity logging

Standaard

Magento logt admin acties beperkt.

Admin Actions Log (Adobe Commerce)

Adobe Commerce biedt uitgebreide admin logging.

Open Source

Gebruik extensie voor uitgebreide logging:

• Amasty Admin Actions Log
• Mageplaza Admin Audit Log

Wat loggen?

• Login/logout
• Configuratie wijzigingen
• Product/categorie wijzigingen
• Order status changes
• User/role wijzigingen

Best practices

Persoonlijke accounts

Elke admin heeft eigen account. Geen gedeelde accounts.

Regelmatig review

Check periodiek:

• Welke accounts bestaan
• Welke zijn nog actief nodig
• Zijn rollen nog passend

Sterke wachtwoorden

Vereis:

• Minimaal 12 karakters
• Mix van letters, cijfers, symbolen
• Geen hergebruik
• Password manager aanbevelen

Offboarding

Bij vertrek medewerker:

• Account direct deactiveren
• Wachtwoorden van gedeelde systemen wijzigen
• Review activiteiten logs

Documentatie

Documenteer:

• Welke rollen bestaan
• Wie welke rol heeft
• Proces voor toegang aanvragen