Anmeldedschungel bei FinanzOnline

Eine Mitarbeiterin bei fairkom, die die monatliche Umsatzsteuervoranmeldung macht, hat vermutlich beim Anmelden von Finanzonline zwei Felder vertauscht, sodass ihr Konto gesperrt worden ist. Einzugeben sind bei der herkömmlichen Eingabemethode ja:

• Teilnehmer-Identifikation (TID)
• Benutzer-Identifikation (BENID)
• Persönliche Identifikations-Nummer (PIN)

Als Vorstand bei fairkom hatte ich meinen Urlaub unterbrechen müssen und in Summe nun mehr als sieben Stunden Aufwand, um uns wieder arbeitsfähig zu machen. Hier eine Zusammenfassung der Erkenntnisse:

Ein Administrator beim Unternehmensserviceportal, über das unsere Konten verwaltet werden, ist noch lange kein Administrator bei FinanzOnline. Selbst wenn dort die Rolle FON_SUPERVISOR zugeordnet ist, wird ein Benutzer dorthin nicht immer mit dieser Rolle übertragen. Auch wenn ein Benutzer im USP entsperrt worden ist (was ein USP Admin machen kann), wird dieser dann nicht auf FinanzOnline entsperrt. Das USP scheint Berechtigungen nur einmal beim Anlegen eines Kontos auf die Subsysteme zu übertragen - darauf muss man mal kommen!

Eine Supportmitarbeiterin sah keinen anderen Ausweg als dass wir Vorstansmitlieder gemeinsam einen persönlichen Termin beim 20km entfernten Finanzamt vereinbaren müssen, um ein FinanzOnline Administrationskonto wieder freizuschalten. Die Alternative wäre einen Antrag per Fax einzusenden, das habe ich jedoch vor einem halben Jahr abgebaut.

Letztlich hat nach langem Herumprobieren funktioniert, mit einem USP user mit Admin rechte (bei dem das Anmleden ausschliesslich mit Handysignatur funktioniert) einen neuen User im USP anzulegen, diesem das Recht FON_SUPERVISOR zu geben, dann sich damit nach einer halben Stunde Wartezeit (!) einmal bei FinanzOnline anmelden, Passwort ändern und personifizieren.

Bei der Passwortvergabe ist zu beachten, dass das USP keine Sonderzeichen erlaubt aber bei FinanzOnline eines dabei sein muss. Vermutlich ist das die Ursache, dass mit manchen Konten sich nicht bei beiden angemeldet werden kann. Zwei unterschiedliche Passwort - Policies für geteilte Systeme - darauf muss man erst mal kommen! Um die Daten im USP zu verwalten kommt auch immer eine Seite, die nicht wieder geschlossen werden kann, da hiess es stets zurück an den Anfang. Glücklicherweise habe ich im Firefox Browser das Multi-Account Container Plugin installiert, um mit mehreren Identitäten gleichzeitig arbeiten zu können.

Fünfmal bemühte ich die Support Hotline 050233790. Die Mitarbeiter:innen waren geduldig, freundlich und bemüht, aber tappten selbst meist im Dunkeln. Von "probieren Sie es in einer oder drei Stunden oder am Montag nochmal" bis zu "ich habe hier nur einen kleinen Bildschirm mit einer Internetleitung und kann da ihren Status nicht einsehen" (mit schwerem Kärntner Dialekt) reichte die Palette der Antworten und allen war offenbar unklar, was der Unterschied zwischen Authentifizierung (sich anmelden können) und Autorisierung ist (eine bestimmte Rolle mit Rechten erhalten) und wie eine Föderation von Identity Management System prinzipiell funktioniert (es können sowohl im USP als auch in FinanzOnline Nutzer:innen verwaltet werden) und wie die Synchronisation zwischen den Systemen konkret abläuft.

Mit dem fairkom Team bauen wir ja SingleSignOn Systeme mit Keycloak oder führen Beratungen durch, da sind auch namhafte Universitäten, Unternehmen oder öffentliche Einrichtungen dabei. Was Benutzer:innen heute erwarten ist weder eine halbe Stunde warten zu müssen oder dass Berechtigungen nicht übertragen werden oder dass es bis zu einer Minute dauert, bis die Benutzerliste im USP erscheint. Für SSO gibt es mit SAML einen etablierten Standard, der etwa auch im Österreichischen Portalverbund für die öffentliche Verwaltung Anwendung findet. Diesen Weg mit der e-ID Austria fortzusetzen und das bestehende Anmeldesystem für FinanzOnline und USP neu zu konzipieren erscheint dringend notwendig.

Den Supportmitarbeiter:innen war es nicht möglich, das technische Problem als Notiz bei FinanzOnline zu hinterlegen. Die Einreichfirst für die UVA haben wir durch die Sperre und das Rätelraten, wie diese wieder aufzuheben ist, um zwei Tage verpasst. Mal sehen ob das noch in die Kulanzfrist fällt.

Kommentare

Die Odyssee geht weiter. Ein

Die Odyssee geht weiter.

Ein neuer Benutzer wurde angelegt, doch ein Login ist nicht möglich mit der TN Identifikation. Sperre habe ich aufgehoben, doch nach Auflistung aller Nutzer ist die Sperre noch immer aktiv.

Ein Benutzername wurde festgelegt, doch damit geht es auch nicht. Wozu braucht es zusätzlich einen Benutzernamen? Offenbar nicht zum Anmelden.  Das ist dann später der Anzeigename, aber hat nichts mit dem Login zu tun. Das wäre hilfreich, in die Beschreibung zu geben.

Also nochmal alles neu, noch 2x einen User angelegt. 

Benutzer-Identifikation - und Benutzername im Loginfenster - was ist da der Unterschied? Hiess das nicht mal Verfüger? In der Benutzerverwaltung heisst es "Benutzer - Kennung" - ist das nun der Benutzername? Offenbar nicht.

Die Berechtigung WebService hat nichts mit dem Web-Interface zu tun! Also nicht anklicken.

ACHTEN SIE IN IHREM INTERESSE DARAUF, DASS KEIN UNBEFUGTER DIE PIN EINES BENUTZERS KENNT. Die PIN ist aber eigentlich das Passwort. Wäre auch gut, wenn hier eine einheitliche Beschreibung vewrwendet werden würde.

Dazwischen ist auch mal der Server ausgefallen, mitten an einem Werktag vormittags: "Die angeforderte Seite steht derzeit nicht zur Verfügung."

Der Trick, mit dem es dann ging, einen neuen Nutzer anzulegen, war das Passwort in der Maske einmal neu zu setzen (muss anders sein als das erste mal). Kann mir trotzdem nicht vorstellen,d ass das der einzige Weg ist - hier müsste mal dringend jemand die User Experience verbessern.