Feature Request: Zugriffskontrolle nach initialer TOTP-Einrichtung

Beschreibung:
Unsere Benutzer werden über Active Directory synchronisiert und anhand ihrer Gruppenzugehörigkeit automatisch den entsprechenden Passwortbereichen im System zugewiesen.

Anforderung:
Beim erstmaligen Login eines neuen Benutzers soll die Einrichtung der TOTP-Authentifizierung verpflichtend sein. Direkt im Anschluss soll der Benutzer jedoch nicht automatisch Zugriff auf die ihm zugewiesenen Passwortbereiche erhalten. Stattdessen soll der Zugriff zunächst gesperrt bleiben, bis ein Administrator oder ein autorisierter Kollege aus dem jeweiligen Bereich den Zugriff manuell freigibt.

Ziel:
Erhöhung der Sicherheit durch eine zweite, manuelle Kontrollinstanz beim erstmaligen Zugriff.
Vermeidung unbeabsichtigter oder unautorisierter Zugriffe trotz korrekter Gruppenzuweisung.
Bessere Kontrolle bei der Erstfreigabe sensibler Passwortbereiche.

Mögliche Umsetzung:
Nach TOTP-Einrichtung Status auf "Pending Approval" setzen.
Administratoren oder berechtigte Bereichs-User erhalten eine Benachrichtigung über ausstehende Freigaben.
Zugriff wird erst nach aktiver Freigabe durch eine berechtigte Person gewährt.