DocuWare unterstützt den Standard OpenID Connect (OIDC) für Single Sign-On (SSO), den die meisten professionellen Identitätsanbieter unterstützen.
Da OIDC ein offener Standard ist, variiert die Konfiguration je nach Identity-Provider. Manche Anbieter verlangen beispielsweise, dass Sie eine eigene Anwendung für die Anbindung an DocuWare registrieren. Die dafür benötigten Angaben erhalten Sie direkt von Ihrem Identity-Provider.
Nachfolgend finden Sie die wichtigsten Hinweise zur Einrichtung der OIDC-Verbindung zwischen DocuWare und einem Anbieter gelten.
Überblick: Dialog für die Konfiguration von Single Sign-On
Gehen Sie zu DocuWare Konfigurationen > Allgemein > Sicherheit, um den Dialog Single Sign-On.zu öffnen:.
.png)
Konfigurieren der Single Sign-On-Verbindung
Im ersten Abschnitt des Dialogs Single-Sign-On-Verbindung konfigurieren verbinden Sie den Identity-Provider mit DocuWare.
DocuWare und der externe Identity Provider kommunizieren über URLs: DocuWare spricht den Identity Provider über die Issuer-URL an und erhält über die Callback-URL Informationen zurück.
Sie erhalten Client-ID und Client Secret Key von Ihrem Identity Provider.
Zuordnung von Attributen
Damit sich DocuWare Benutzer über einen externen Identity Provider authentifizieren können, muss jeder Benutzer in beiden Systemen eindeutig identifizierbar sein. Folglich müssen DocuWare und der Identity Provider einen gemeinsamen Satz von Benutzerattributen haben.
Bezeichnungen für “Attribute” können unterschiedlich sein
Der Begriff "Attribute" ist im OIDC-Standard nicht definiert; Ihr Identity Provider kann sie stattdessen als "claims", "Eigenschaften" oder Ähnliches bezeichnen. Auch die Attributnamen können variieren, z. B. kann der "Benutzername" von DocuWare beim Identitätsanbieter als "Benutzer-ID" angezeigt werden. Aufgrund dieser Unterschiede sollten Sie die Zuordnung sorgfältig konfigurieren und testen.
Aktivieren Sie die Option Vorhandene Benutzer bei Anmeldung automatisch verknüpfen , um sicherzustellen, dass die Attributzuordnung korrekt funktioniert. Deaktivieren Sie diese Option nur, wenn Sie DocuWare User Synchronization 2 in einem nicht standardmäßigen Setup verwenden.
Scopes
OIDC basiert auf OAuth 2.0. Wählen Sie die OAuth 2.0-Scopes aus, die die von DocuWare benötigten Attribute liefern. In den meisten Fällen sind die standardmäßigen Scopes - openid und Profile - ausreichend.
Wenn Sie einen Haken für die Option Zusätzliche claims des UserInfo-Endpunkts aktivieren setzen, ruft DocuWare auch alle Attribute ab, die von diesem Endpunkt zurückgegeben werden.
Die Verwendung des UserInfo-Endpunkts verlangsamt den Anmeldevorgang, daher aktivieren Sie ihn nur, wenn die erforderlichen Attribute nicht über den Profil- oder E-Mail-Bereich verfügbar sind.
DocuWare verwendet die E-Mail-Adresse als Primärschlüssel für den Abgleich von Benutzern mit dem Identity Provider. Stellen Sie sicher, dass jeder Benutzer in beiden Systemen über eine E-Mail-Adresse verfügt. In Ihrem Identity Provider enthält ein Attribut (z. B. "email") diesen Wert bereits.
Geben Sie hier den genauen Namen dieses Attributs ein, damit DocuWare die Adresse abrufen und den externen Benutzer mit dem entsprechenden DocuWare Benutzer verknüpfen kann.
Nutzername
Wählen Sie das Attribut aus, das DocuWare als Benutzernamen verwenden soll. Dieser Wert muss den Benutzer im externen Verzeichnis eindeutig identifizieren und genau mit dem vorhandenen DocuWare Benutzernamen übereinstimmen.
Externe ID
Wenn Ihr Identity Provider für jeden Benutzer eine eindeutige ID bereitstellt, wählen Sie das Attribut aus, das diesen Wert enthält. Eine dedizierte externe ID beschleunigt den Mapping-Prozess und erhöht die Sicherheit.
Wenn keine separate ID vorhanden ist, wählen Sie ein anderes Attribut aus, das für jeden Benutzer eindeutig ist, z. B. die E-Mail-Adresse, den Benutzernamen oder die Benutzer-ID.
ID des externen Anbieters
Geben Sie einen Bezeichner an, der für die Instanz des Identity Provider selbst eindeutig ist. Dies ist nur erforderlich, wenn Sie mehrere Instanzen desselben Anbieters betreiben.
Test
Klicken Sie auf die Schaltfläche Testen , um die SSO-Verbindung zu überprüfen. Führen Sie diesen Test immer aus, nachdem Sie alle Änderungen gespeichert haben.
Erzwingen von Single Sign-On
Diese Einstellung steuert, ob sich Benutzer weiterhin mit ihren DocuWare Zugangsdaten anmelden können oder sich ausschließlich über den externen Identity Provider (IdP) authentifizieren müssen.
Deaktiviert: Benutzer können eine der beiden Methoden wählen – DocuWare Benutzername/Passwort oder den externen Identity Provider.
Aktiviert: Alle Benutzer müssen sich über den externen Identity Provider authentifizieren. DocuWare Anmeldeinformationen werden gesperrt, es sei denn, der Benutzer oder die Rolle wird zur Ausschlussliste hinzugefügt. Administratoren können diese Liste verwenden, um bestimmten Konten die Umgehung von SSO zu ermöglichen.
Hinweis: Testen Sie die SSO-Einrichtung gründlich, bevor Sie diese als verbindlich festlegen. Wenn die Verbindung fehlschlägt, kann jeder Benutzer – einschließlich Organisationsadministratoren – gesperrt werden.
Anleitung für eine sichere Einführung von Enforce Single Sign-On
Wenn Sie als Administrator die Single-Sign-On-Anmeldung (SSO) in DocuWare konfigurieren, haben Sie zwei Möglichkeiten, die Funktion für die Benutzer auszurollen:
Optionales SSO – Benutzer können sich mit ihrem DocuWare-Benutzernamen/Passwort oder über SSO anmelden.
Erzwungenes SSO – Aktivieren Sie die Option Single-Sign-On-Authentifizierung für alle Benutzer erzwingen. Benutzer müssen sich über den externen Identitätsanbieter (IdP) authentifizieren, es sei denn, sie gehören zu einer Ausschlussliste.
Führen Sie die folgenden drei Schritte aus, um die erzwungene SSO zu aktivieren:
Schritt 1 – SSO aktivieren und testen
1. Richten Sie in DocuWare Konfigurationen > Sicherheit Ihren Identity Provider ein. Lassen Sie "Single-Sign-On-Authentifizierung für alle Benutzer erzwingen" jedoch vorerst deaktiviert .
2. Bitten Sie mehrere interne Benutzer, sich per SSO anzumelden, um die Einrichtung zu bestätigen.
3. Wenn Sie Benutzer mit DocuWare User Sync oder User Provisioning importieren, stellen Sie sicher, dass sich diese Konten auch über SSO anmelden können.
4. Stellen Sie sicher, dass sich jeder Organisationsadministrator über SSO authentifizieren kann. Behalten Sie mindestens einen Administrator für die Ausschlussliste im Auge (siehe Schritt 2).
Schritt 2 – Identifizieren Sie die auszuschließenden Konten
Typische Kandidaten für Ausschlüsse sind
• Externe Benutzer (z. B. Partner oder Kunden), die nicht vom IdP verwaltet werden
• Dienstkonten, die von externen Anwendungen verwendet werden
• Konten, auf denen interne DocuWare-Jobs ausgeführt werden (ab DocuWare 7.13 nicht erforderlich)
• Alle anderen Konten, die passwortbasiert bleiben müssen (z. B. kein Internetzugang)
So finden Sie mögliche Ausschlusskandidaten:
1. Gehen Sie zu DocuWare Konfigurationen > Benutzerverwaltung und klicken Sie auf Benutzer als CSV exportieren.
2. Öffnen Sie die Datei in Excel und suchen Sie nach E-Mail-Domains außerhalb Ihres Unternehmens. Dabei handelt es sich wahrscheinlich um externe Benutzer.
3. Überprüfen Sie Integrationen und Workflows, um Dienstkonten zu finden.
Schritt 3 – Erzwungenes SSO einführen
1. Aktivieren Sie Single Sign-On-Authentifizierung für alle Benutzer erzwingen.
2. Fügen Sie alle Benutzer oder Rollen zur Ausschlussliste hinzu, damit niemand gesperrt wird.
3. Entfernen Sie in den nächsten Tagen oder Wochen schrittweise die Ausschlüsse und vergewissern Sie sich, dass sich jede Gruppe über SSO anmelden kann.
4. Wenn Sie fertig sind, belassen Sie nur die in Schritt 2 identifizierten Konten auf der Ausschlussliste.
5. Lassen Sie mindestens ein Administratorkonto als Sicherheit ausgeschlossen.
Testen Sie die SSO-Verbindung immer nach jeder Änderung. Wenn der IdP nicht mehr verfügbar ist und keine Ausschlüsse vorhanden sind, können alle Benutzer – einschließlich Administratoren – gesperrt werden.