Der Zugang zu GTm Extranet von einem Arbeitsplatz, der mit dem internen Netzwerk von La Poste verbunden ist, folgt nicht dem gleichen Weg wie eine externe Verbindung. Seit der Einführung des Portals marh.legroupelaposte.fr und dem Wechsel zu einem einheitlichen Identitätsanbieter (IdP) stehen mehrere Mitarbeiter vor Endlosschleifen oder stillen Authentifizierungsfehlern. Das Verständnis des SSO-Föderationsmechanismus und der damit verbundenen Netzwerkeinstellungen ermöglicht es, die Ursache der Blockade schnell zu identifizieren.
SSO-Föderation und einheitlicher IdP: Was sich für die interne Netzwerkverbindung ändert
Das Authentifizierungsschema der Gruppe für die HR-Anwendungen, einschließlich MaBoxRH und GTm Extranet, basiert nun auf einer Identitätsföderation über einen einheitlichen IdP. Konkret löst jeder Verbindungsversuch von maboxrh.laposte.fr oder marh.legroupelaposte.fr eine Weiterleitung zu einer URL vom Typ authentification.groupe.net.extra.laposte.fr aus.
Auch lesenswert : So gelingt die Verlängerung des klassischen Scellier-Systems nach 9 Jahren: Tipps und wichtige Schritte
Im internen Netzwerk erfolgt diese Weiterleitung über den Unternehmensproxy. Wenn der Browser oder der Arbeitsplatz nicht so konfiguriert ist, dass diese Kette von Weiterleitungen erlaubt ist, wird die Authentifizierungsseite niemals geladen. Das typische Symptom: ein weißer Bildschirm oder ein Zertifikatfehler, ohne explizite Fehlermeldung.
Um die Authentifizierung zum GTM Extranet La Poste vom internen Netzwerk aus erfolgreich durchzuführen, muss überprüft werden, dass die Domain des IdP in den Ausnahmen des lokalen Proxys aufgeführt ist. Mitarbeiter, die einen nicht referenzierten Browser verwenden (manuell installiertes Firefox zum Beispiel), haben dieses Problem häufiger als diejenigen, die den von der DSI bereitgestellten Browser verwenden.
Auch interessant : Eintauchen in die Funktionsweise und das Geschäftsmodell von Killahejlaszo Housing Ltd
| Verbindungsszenario | IdP-Weiterleitung | Aktuelles Ergebnis |
|---|---|---|
| Internes Netzwerk, DSI-Browser, konfigurierter Proxy | Automatisch über SSO | Direkter Zugang ohne erneute Eingabe der Anmeldedaten |
| Internes Netzwerk, nicht referenzierter Browser | Vom Proxy blockiert | Weißer Bildschirm oder Zertifikatfehler |
| Externes Netzwerk (Zuhause, 4G) | Über marh.legroupelaposte.fr | Eingabe von HR-ID + Passwort + 2FA |
| Internes Netzwerk, gleichzeitig aktives VPN | Routing-Konflikt | Endlosschleife der Weiterleitung |
Der Fall eines parallel aktiven VPNs verdient besondere Aufmerksamkeit. Einige Mitarbeiter aktivieren das VPN reflexartig, während sie bereits im Unternehmensnetzwerk sind. Das Routing zwischen dem VPN-Tunnel und dem lokalen Proxy gerät in Konflikt, was die korrekte Auflösung der URL des IdP verhindert.
Doppelte Authentifizierung über eine App: Ende der SMS und Auswirkungen auf GTm Extranet
La Poste hat seit November 2025 eine schrittweise Migration von 2FA per SMS zu 2FA über eine App (z.B. TOTP oder Push-Benachrichtigung) eingeleitet. Für die Mitarbeiter, die über das interne Netzwerk mit einem SMS-Code als zweitem Faktor auf GTm Extranet zugreifen, hat die Änderung direkte Auswirkungen: Die SMS kommt nicht mehr an, und die Benutzeroberfläche bietet keine klare Fehlermeldung an.
Vom internen Netzwerk aus wird die doppelte Authentifizierung nicht immer durch das SSO ausgelöst. Sobald jedoch die Sitzung abläuft oder der Mitarbeiter den physischen Arbeitsplatz wechselt, fordert das System erneut eine 2FA-Validierung an. Ohne konfigurierte App schlägt die Verbindung an dieser Stelle fehl.
Die 2FA-App konfigurieren, bevor man sie benötigt
Der häufige Fehler besteht darin, die Pflicht zur 2FA über eine App erst zu entdecken, wenn man versucht, sich einzuloggen. Die Konfiguration sollte im Voraus erfolgen, idealerweise von einem externen Zugang aus, wo der geführte Prozess klarer ist.
- Installieren Sie eine kompatible TOTP-App (die von der DSI empfohlene oder eine Standard-App wie Google Authenticator, Microsoft Authenticator) auf dem persönlichen oder beruflichen Telefon
- Einmal von außerhalb des Netzwerks über marh.legroupelaposte.fr einloggen, um die Verknüpfung zwischen dem HR-Konto und der App zu aktivieren
- Überprüfen, dass der generierte TOTP-Code funktioniert, bevor man versucht, sich vom internen Netzwerk aus einzuloggen, da wiederholte Fehler zu einer vorübergehenden Sperrung des Kontos führen können
Sobald die App verknüpft ist, wird die Verbindung vom internen Netzwerk aus wieder reibungslos: Das SSO übernimmt für die meisten Sitzungen, und die 2FA-App kommt nur bei gelegentlichen Reauthentifizierungen zum Einsatz.
Virtuelle Tastatur MaBoxRH und HR-ID: zwei verschiedene Blockierungsquellen
Das Portal MaBoxRH verwendet eine virtuelle Tastatur zur Eingabe des Passworts. Dieser Sicherheitsmechanismus, der entwickelt wurde, um Keylogger zu bekämpfen, verursacht spezifische Probleme im internen Netzwerk. Arbeitsplätze, die mit Endpoint-Sicherheitssoftware ausgestattet sind, blockieren manchmal das notwendige JavaScript für die Darstellung der Tastatur. Das Ergebnis: ein leeres Passwortfeld, ohne klickbare Tastatur und keine Möglichkeit, etwas einzugeben.
Die Lösung besteht darin, die Sicherheitseinstellungen des Browsers zu überprüfen. Skripte von der Domain maboxrh.laposte.fr müssen erlaubt sein. Auf einigen Arbeitsplätzen muss die Domain manuell zur Whitelist des Inhaltsfilters hinzugefügt werden.
HR-ID: weder E-Mail noch Gehaltsnummer
Die andere Quelle der Verwirrung betrifft die ID selbst. Das Anmeldefeld erwartet die HR-ID, die spezifisch für die Gruppe ist, nicht die berufliche E-Mail-Adresse oder die Gehaltsnummer, die auf den Gehaltsabrechnungen verwendet wird. Diese drei Daten sind unterschiedlich. Ein Mitarbeiter, der seine E-Mail eingibt, erhält eine Ablehnung ohne Erklärung, was ihn oft zu einer unnötigen Passwortzurücksetzung führt.
- Die HR-ID ist auf den Schreiben der DRH und auf dem ersten Zugangsdocument, das bei der Einstellung ausgehändigt wird, zu finden
- Sie kann durch Kontaktaufnahme mit dem Support unter der Adresse [email protected] ermittelt werden
- Der zuständige HR-Mitarbeiter hat ebenfalls diese Information
Behebung von Weiterleitungsschleifen im Netzwerk La Poste
Weiterleitungsschleifen sind das häufigste und am wenigsten dokumentierte Problem. Sie treten auf, wenn der Browser zwischen dem Portal MaBoxRH und dem IdP hin und her wechselt, ohne die Authentifizierung jemals abzuschließen. Zwei Hauptursachen dominieren.
Die erste: ein beschädigter Cookie-Cache, der mit einer vorherigen Sitzung verbunden ist. Das SSO stützt sich auf von dem IdP gesetzte Sitzungscookies. Wenn eine vorherige Sitzung abrupt unterbrochen wurde (Browser während der Authentifizierung geschlossen, Netzwerkunterbrechung), verhindert der verbleibende Cookie, dass die neue Authentifizierung korrekt initiiert wird. Das Löschen der Cookies von der Domain authentification.groupe.net.extra.laposte.fr löst die Mehrheit dieser Fälle.
Die zweite: eine Zeitinkonsistenz zwischen dem Arbeitsplatz und dem Authentifizierungsserver. Das SAML-Protokoll, das von der Identitätsföderation verwendet wird, validiert einen Zeitstempel in der Anfrage. Eine Abweichung von wenigen Minuten reicht aus, um eine stille Ablehnung zu verursachen. Auf von der DSI verwalteten Arbeitsplätzen erfolgt die NTP-Synchronisierung normalerweise automatisch, aber einige ältere Arbeitsplätze verlieren ihre Synchronisation nach einem längeren Standby.
Den Cache leeren, den Browser neu starten und die Systemzeit überprüfen sind drei einfache Maßnahmen, die die überwiegende Mehrheit der SSO-Verbindungsfehler vom internen Netzwerk aus beheben, ohne dass eine Unterstützung erforderlich ist.