On-Premise Backup

• Sie konfigurieren einen Server, um eine geplante Sicherung der heylogin-Daten durchzuführen. Dieser Server muss in der Lage sein, docker Container zu starten. Es bestehen keine besonderen Anforderungen an die Hardware.

• Die Backup-Anwendung meldet sich bei Ihrer Organisation als spezieller Service-Nutzer an.
• Um den Zugriff eines Service-Nutzers zu widerrufen, können Sie ihn jederzeit wie einen normalen Benutzer löschen oder die Verbindung trennen.

• Backups werden in einem verschlüsselten CSV-Format als .csv.ageDateien gespeichert.
• Das CSV-Format entspricht dem Export auf heylogin.app. Es enthält Login-Daten in einem Format, das in heylogin wieder importiert oder von anderen Tools leicht verarbeitet werden kann.
• Die Dateien werden im age-Format verschlüsselt.

Beachten Sie, dass es sich bei einer vollständigen Sicherung aller Logins einer Organisation um hochsensible Daten handelt. Die folgenden Befehle sollten nur auf einem Server mit hoher Sicherheit ausgeführt werden!

1. Erstellen Sie einen Dienstbenutzer in Ihrer Organisation
• Öffnen Sie heylogin.app, gehen Sie zu Verwaltung
• Klicken Sie auf „Service-Nutzer erstellen“
• Diese Funktion muss für Ihre Organisation aktiviert sein. Wenn Sie die Schaltfläche nicht sehen, wenden Sie sich bitte an den Vertrieb.
• Klicken Sie auf den neu erstellten Service-Nutzer, um seine Service User ID und seinen Start-Code zu erhalten

2. Erstellen Sie einen age Schlüssel mit age-keygen. Die Zeichenkette des öffentlichen Schlüssels sollte in etwa so aussehen: age1z835qassa65nemmz70n6dgu7meyhl6e887z7tfm57ckmmu3p99qsqgx7w9

3. Führen Sie auf Ihrem Docker-fähigen Server den folgenden Befehl aus:

shell
docker run -it --rm -v /your/config/directory:/state registry.heylogin.app/backup setup

• Ersetzen Sie /your/config/directory durch ein Verzeichnis, in dem die Anwendung die Konfiguration und einen internen Cache speichern kann. Diese Daten sind in der Regel höchstens ein paar Megabyte groß.

• Sie werden durch einen Einrichtungsprozess geführt
• Geben Sie Service User ID, Start Code und Ihren Age Public Key ein, wenn Sie dazu aufgefordert werden

shell
docker run --rm --pull=always -v /your/config/directory:/state -v /your/output/directory:/output registry.heylogin.app/backup backup

• Ersetzen Sie /your/config/directory durch denselben Pfad wie oben

• Ersetzen Sie /your/output/directory durch den Pfad, in den die verschlüsselten Sicherungsdateien geschrieben werden sollen

• Hinweis: Die Option --pull=always muss verwendet werden. Andernfalls könnte der Befehl nicht mehr funktionieren, wenn das lokal vorhandene Docker-Image zu alt ist.

• Die Dateien werden wie folgt in das Ausgabeverzeichnis geschrieben:
• ${vaultId}_${teamName}.csv.age für Teams
• ${vaultId}_${email}.csv.age für Persönliche Logins

shell
age --decrypt -i key.txt -o file.csv file.csv.age

toml
# /etc/systemd/system/heylogin-backup.service
[Unit]
Beschreibung=heylogin-backup durchfuehren
Wants=network-online.target

[Service]
Typ=oneshot
ExecStart=docker run --rm --pull=always -v /var/lib/heylogin/state:/state -v /var/lib/heylogin/output:/output registry.heylogin.app/backup backup
# Sie können hier ein weiteres Skript starten, nachdem das Backup erfolgreich in /var/lib/heylogin/output abgelegt wurde, z.B. um die Daten an einen anderen Ort hochzuladen
#ExecStartPost=/your/script/for/other/stuff

toml
# /etc/systemd/system/heylogin-backup.timer
[Unit]
Description=perform daily heylogin backup
Requires=network-online.target

[Timer]
# Einmal am Tag ausführen, um 05:00
OnCalendar=*-*-* 05:00:00

[Install]
WantedBy=timers.target