Piwik Multiuser - API Key gibt Zugriff auf alle Websites


#1

Hallo zusammen,

eine kurze Frage. Ein Bekannter von mir möchte für seine Webseite eine Webanalyse. Ich habe ihm angeboten in meiner Piwik Installation einen Benutzer für Ihn einzurichten.

Gerade ist mir aufgefallen, dass die Multiuserfunktionalität von Piwik garnicht so funktioniert wie ich dachte. (Ich bin davon ausgegangen, er bekommt einen Benutzer und kann den Rest von dort selbst erledigen, aber offensichtlich müssen Seiten von einem Hauptadministrator angelegt werden. Eigentlich dachte ich jeder Benutzer bewegt sich in einer autonomen umgebung. Aber offenbar nicht.)

Nun gut. Ich habe Ihm also einen Benutzer eingerichtet und die Website für seine Homepage konfiguriert. Seinem Benutzer habe ich Administrationsrechte für seine Website gegeben. (Auf die anderen konfigurierten Websites hat er keinen Zugriff)

Jetzt habe ich gerade zum Test den zu seinem Benutzer gehörigen API Key verwendet und getestet ob er damit auch Daten in eine andere Website einfügen kann. Und siehe da es funktioniert! Ist das so gewollt? Ich hatte gehofft, dass man für eine bestimmte Website nur API Keys verwenden kann, die auch Administrationsrechte für die Homepage besitzen.

Er könnte ja so mit seinem API Key auf Websites zugreifen, auf die er selbst gar keinen Zugriff hat.

Mit diesem Wissen, frage ich mich nun, wie läuft das wenn man Piwik als SaaS anbietet und Reseller ist? Richten die für jeden Kunden eigene Piwik Installationen ein? Oder gibt es hierfür eine andere PIWIK Version?

Vielen Dank schonmal und noch einen schönen Samstagabend.


PIWIK auth token grants access to all pages?!