Dieser Artikel enthält Informationen über den Bereich DocuWare Konfigurationen > Allgemein > Sicherheit.
Hier definieren Sie die Sicherheitseinstellungen für Ihre DocuWare Organisation. Jede Einstellung hat den Status „Aktiviert" oder „Deaktiviert". Wenn eine Einstellung „Aktiviert" ist, erhöht sie potenziell die Sicherheit Ihrer Organisation.
Anmeldesicherheit
Eine Passwortrichtlinie verhindert, dass Benutzer unsichere Passwörter verwenden.
Legen Sie die Mindestanforderungen für die Passwörter aller Benutzer fest:
Minimale Passwortlänge
Erforderliche Zeichen
Passwortgültigkeitsdauer
Benachrichtigungszeitraum vor Ablauf des Passworts
Maximale Anzahl fehlgeschlagener Anmeldeversuche
Dauer, wie lange ein Konto nach der maximalen Anzahl fehlgeschlagener Anmeldeversuche gesperrt ist
Lesen Sie die Anmerkung zur neuen Passwortrichtlinie (in englischer Sprache), die standardmäßig für alle neuen DocuWare Organisationen ab Version 7.12 aktiviert ist. Die standardmäßige Passwortrichtlinie gilt nicht für Organisationen, die vor Version 7.12 erstellt wurden.
Zwei-Schritt-Verifizierung
Ab DocuWare 7.13 haben DocuWare Administratoren die Möglichkeit, die Zwei-Schritt-Verifizierung für alle Benutzer der Organisation zu aktivieren und zu deaktivieren. Ab DocuWare 7.14 lässt sich die Zwei-Schritt-Verifizierung zusätzlich für alle Benutzer verbindlich vorschreiben.
Wenn die Zwei-Schritt-Verifizierung aktiviert ist, müssen Benutzer bei der Anmeldung an DocuWare ihren Benutzernamen, ihr Passwort und einen Verifizierungscode eingeben. DocuWare verwendet zeitbasierte Einmalpasswörter (TOTP) als Verifizierungscodes. Der TOTP-Standard wird von den meisten Authenticator-Apps auf Mobiltelefonen unterstützt.
Wie ein Einmalpasswort funktioniert
Ein Einmalpasswort (OTP) ist ein numerischer oder alphanumerischer Code, der nur einmal zur Verifizierung der Identität eines Benutzers verwendet werden kann. Im Gegensatz zu einem statischen Passwort wird ein OTP bei Bedarf erzeugt – in der Regel durch eine Authenticator-App oder einen Hardware-Token – unter Verwendung eines geheimen Schlüssels, der mit DocuWare geteilt wird. Die gebräuchlichste Variante, das zeitbasierte Einmalpasswort (TOTP), kombiniert diesen geheimen Schlüssel mit der aktuellen Uhrzeit und erzeugt so einen sechsstelligen Code, der sich alle 30 Sekunden ändert. Da jeder Code nur für ein kurzes Zeitfenster gültig ist und der geheime Schlüssel das Gerät des Benutzers nie verlässt, reduzieren OTPs das Risiko von Replay-Angriffen, Identitätsdiebstahl und Phishing erheblich. Wenn der Benutzer bei der Anmeldung das OTP eingibt, führt DocuWare denselben Algorithmus mit derselben Zeitreferenz aus, um den Code zu überprüfen. Stimmen die Werte überein, wird der Zugang gewährt.
In DocuWare wird ein OTP als „Verifizierungscode" bezeichnet, um mit dem Funktionsnamen „Zwei-Schritt-Verifizierung" konsistent zu bleiben.
Die verfügbaren Optionen hängen davon ab, ob die Zwei-Schritt-Verifizierung aktiviert oder verbindlich vorgeschrieben ist:
Zwei-Schritt-Verifizierung für alle Benutzer aktivieren
Wenn die Option Aktivieren… eingeschaltet ist, können alle Benutzer die Zwei-Schritt-Verifizierung für ihr individuelles Konto einrichten. Dies ist ein Opt-in-Modell. Wenn Sie Benutzer oder Benutzergruppen zur Nutzung der Zwei-Schritt-Verifizierung verpflichten möchten, verwenden Sie die Option Zwei-Schritt-Verifizierung für alle Benutzer verbindlich machen.
Benutzerkonfiguration: Jeder Benutzer kann die Zwei-Schritt-Verifizierung in seinem DocuWare-Profil aktivieren: DocuWare Web Client > Profil & Einstellungen > Registerkarte Sicherheit. Die Benutzer benötigen außerdem eine Authenticator-App – siehe nächsten Punkt.
Authenticator-App: Für die Anmeldung an DocuWare mit Zwei-Schritt-Verifizierung benötigen Benutzer eine TOTP-kompatible Authenticator-App auf ihrem Mobilgerät. DocuWare unterstützt eine Reihe weit verbreiteter Authenticator-Apps, darunter Microsoft Authenticator, Google Authenticator und Duo Mobile.
Zwei-Schritt-Verifizierung deaktivieren: Wenn die Zwei-Schritt-Verifizierung hier in den Sicherheitseinstellungen ausgeschaltet wird, können sich Benutzer nicht mehr mit Zwei-Schritt-Verifizierung anmelden. Es werden nur noch Benutzername und Passwort benötigt. DocuWare sendet keine automatische Benachrichtigung; die Benutzer werden lediglich feststellen, dass der zweite Faktor nicht mehr abgefragt wird.
Wenn der Administrator die Zwei-Schritt-Verifizierung später wieder aktiviert, muss jeder Benutzer die Authenticator-App erneut einrichten – ebenfalls ohne Systemmeldung. Häufiges Ein- und Ausschalten dieser Einstellung führt zu Verwirrung und unnötigen Support-Anfragen. Deaktivieren Sie die Funktion nur, wenn es unbedingt notwendig ist, und informieren Sie die Benutzer vorab.
Zwei-Schritt-Verifizierung für alle Benutzer verbindlich machen
Wenn die Option …verbindlich machen zusätzlich zur Option Aktivieren… eingeschaltet ist, muss sich jeder Benutzer bei jeder Anmeldung mit einem Verifizierungscode authentifizieren. Eine Anmeldung ohne gültigen Verifizierungscode ist nicht möglich. Lesen Sie die Anleitung zur Einführung am Ende dieses Kapitels, bevor Sie die Zwei-Schritt-Verifizierung für alle Benutzer verbindlich machen.
Benutzerkonfiguration: Benutzer, die die Zwei-Schritt-Verifizierung noch nicht eingerichtet haben, werden bei ihrer nächsten Anmeldung dazu aufgefordert: Nach Eingabe von Benutzername und Passwort zeigt DocuWare einen QR-Code an, den sie mit ihrer Authenticator-App scannen müssen, um die Einrichtung abzuschließen. Ab diesem Zeitpunkt ist bei jeder Anmeldung nach Eingabe des korrekten Benutzernamens und Passworts ein Verifizierungscode erforderlich.
Authenticator-App: Für die Anmeldung an DocuWare mit Zwei-Schritt-Verifizierung benötigen Benutzer eine TOTP-kompatible Authenticator-App auf ihrem Mobilgerät. DocuWare unterstützt eine Reihe weit verbreiteter Authenticator-Apps, darunter Microsoft Authenticator, Google Authenticator und Duo Mobile.
Zwei-Schritt-Verifizierung nicht mehr verbindlich: Wenn Sie die Pflicht aufheben, bleibt die Zwei-Schritt-Verifizierung bei Benutzern, die sie bereits aktiviert haben, weiterhin aktiv. Benutzer, die sie noch nicht eingerichtet haben, werden nicht mehr dazu aufgefordert, haben aber weiterhin die Möglichkeit, sie zu aktivieren.
Wenn Sie die Zwei-Schritt-Verifizierung für die Organisation deaktivieren, während sie gleichzeitig vorgeschrieben ist, hebt DocuWare zuerst die Pflicht auf und deaktiviert anschließend die Zwei-Schritt-Verifizierung. Daher erscheinen zwei entsprechende Warndialoge nacheinander.
Benutzer und Rollen ausschließen: Wenn bestimmte Konten oder Rollen von dieser Pflicht ausgenommen werden sollen, fügen Sie sie der Ausschlussliste hinzu. Typische Kandidaten für Ausnahmen sind Dienstkonten. Weitere Informationen finden Sie in der Anleitung zur Einführung der Zwei-Schritt-Verifizierung.
Telefon oder Authenticator-App wechseln: Benutzer können eine Neukonfiguration unter DocuWare Web Client > Profil & Einstellungen > Registerkarte Sicherheit starten. Dabei wird die Verknüpfung mit dem alten Gerät aufgehoben und der Einrichtungsvorgang für ein neues Gerät gestartet.
Wichtig: Gastanmeldung und Zwei-Schritt-Verifizierung
Die Gastanmeldung unterliegt weder der Zwei-Schritt-Verifizierung noch Single Sign-On (SSO), auch wenn diese Methoden für das zugewiesene Gastbenutzerkonto vorgeschrieben sind. Weitere Informationen finden Sie unter Gastanmeldung und Zwei-Schritt-Verifizierung.
Nutzung der Zwei-Schritt-Verifizierung überwachen
Nachdem Sie die Zwei-Schritt-Verifizierung für Ihre Organisation aktiviert haben, wird in der Benutzer-Liste in der Benutzerverwaltung eine entsprechende Spalte ergänzt. Diese Spalte zeigt an, welche Benutzer die Zwei-Schritt-Verifizierung bereits aktiviert haben, sodass Sie die Einführung in Ihrer Organisation nachverfolgen können.
Verfolgen Sie die Anmeldung eines bestimmten Benutzers zu einem bestimmten Zeitpunkt unter DocuWare Konfigurationen > Protokollierungen.
Anleitung für eine sichere Einführung der Zwei-Schritt-Verifizierung
Schritt 1: Administratorredundanz sicherstellen
Bevor Sie die Zwei-Schritt-Verifizierung aktivieren, stellen Sie sicher, dass mindestens zwei Organisationsadministratorkonten vorhanden sind, die jeweils über einen unabhängigen zweiten Faktor verfügen (z. B. separate Telefone oder Hardware-Token). Bei On-Premises-Installationen stellen Sie außerdem sicher, dass es zwei Systemadministratoren gibt, die jeweils über einen unabhängigen zweiten Faktor verfügen.
Wenn nur ein Administratorkonto vorhanden ist: Erstellen Sie jetzt ein zweites Administratorkonto. Richten Sie den zweiten Faktor auf einem unabhängigen Gerät ein (z. B. einem Hardware-Token oder einem separaten Telefon) und bewahren Sie es an einem sicheren Ort auf (z. B. in einem verschlossenen Tresor). So ist der Zugriff auf DocuWare gewährleistet, falls der primäre Administrator sein Telefon verliert.
Schritt 2: Dienstkonten identifizieren
Erstellen Sie eine Liste aller Dienstkonten und automatisierten Integrationen, die sich bei DocuWare authentifizieren. Diese Konten können keine interaktive Zwei-Schritt-Verifizierung durchführen und müssen während des gesamten Prozesses ausgeschlossen werden.
Schritt 3: Pilotgruppe festlegen
Erstellen Sie eine Liste aller Benutzerprofile in DocuWare. Wählen Sie ein Profil als Pilotgruppe aus – idealerweise eine kleine, technisch versierte Gruppe (z. B. IT-Mitarbeiter).
Schritt 4: Änderung kommunizieren
Informieren Sie alle Benutzer, bevor Sie die Zwei-Schritt-Verifizierung verbindlich machen:
Was sich ändert: Zwei-Schritt-Verifizierung wird bei der Anmeldung erforderlich
Wann es wirksam wird: konkretes Datum pro Gruppe – zuerst die Pilotgruppe, danach die übrigen
Was die Benutzer tun müssen: Telefon oder Authentifizierungsgerät bei der nächsten Anmeldung bereithalten; sie werden durch die Einrichtung geführt
Wo es Hilfe gibt: Support-Kontakt bei Problemen
Schritt 5: Zwei-Schritt-Verifizierung für die Pilotgruppe verbindlich machen
Öffnen Sie Konfigurationen > Sicherheit > Zwei-Schritt-Verifizierung
Wählen Sie Zwei-Schritt-Verifizierung für alle Benutzer verbindlich machen
Fügen Sie alle Profile und Dienstkonten zur Ausschlussliste hinzu, sodass nur die Pilotgruppe nicht ausgeschlossen ist.
Stellen Sie vor dem Start sicher, dass mindestens zwei Administratoren vorhanden sind (siehe Schritt 1).
Fahren Sie erst fort, wenn die Pilotphase als erfolgreich bestätigt wurde.
Schritt 6: Schrittweise Einführung
Sobald die Pilotphase erfolgreich abgeschlossen ist, entfernen Sie nach und nach Profile von der Ausschlussliste – jeweils ein Profil (oder wenige) gleichzeitig:
1. Entfernen Sie das nächste Profil von der Ausschlussliste und speichern Sie
2. Überprüfen Sie, ob die betroffenen Benutzer sich anmelden und die Zwei-Schritt-Verifizierung erfolgreich einrichten können
3. Beheben Sie etwaige Probleme, bevor Sie fortfahren
4. Wiederholen Sie den Vorgang, bis alle Profile von der Ausschlussliste entfernt sind
Nach dem letzten Schritt sollten nur noch Dienstkonten ausgeschlossen sein.
Was tun, wenn der Benutzer das Mobiltelefon verloren hat?
Wenn ein DocuWare-Benutzer sein Mobiltelefon verloren hat, kann er sich nicht an DocuWare anmelden. Im DocuWare-Anmeldedialog wird der Benutzer aufgefordert, seinen Administrator zu kontaktieren. Die Reaktionsmöglichkeiten des Administrators hängen von den Sicherheitseinstellungen der Organisation ab.
Fall 1: Die Zwei-Schritt-Verifizierung ist für die Organisation aktiviert, aber nicht vorgeschrieben
In diesem Fall kann der DocuWare-Administrator die Zwei-Schritt-Verifizierung unter DocuWare Konfigurationen > Benutzerverwaltung > Benutzer xxx deaktivieren, indem er das Kontrollkästchen Zwei-Schritt-Verifizierung abwählt. Danach kann sich der Benutzer mit Benutzername und Passwort an DocuWare anmelden.
.png)
Fall 2: Die Zwei-Schritt-Verifizierung ist für die Organisation verbindlich
Der DocuWare-Administrator kann die Zwei-Schritt-Verifizierung für diesen Benutzer nicht deaktivieren, da dies gegen die Sicherheitsrichtlinie des Unternehmens verstoßen würde. Der Administrator kann stattdessen unter DocuWare Konfigurationen > Benutzerverwaltung > Benutzer xxx einen Reset-Link senden:
.png)
Der Link deaktiviert die bisherige Zwei-Schritt-Verifizierung für den Benutzer und fordert zur Konfiguration eines neuen Telefons oder einer neuen Authenticator-App auf. Eine Anmeldung ohne Verifizierungscode ist nicht möglich.
Sitzungs-Timeout
Im Falle von Inaktivität kann ein Benutzer automatisch aus dem DocuWare Client und der DocuWare Konfiguration abgemeldet werden. Wenn innerhalb eines bestimmten Zeitraums keine Eingabe erfolgt, erhält der Benutzer zunächst eine Benachrichtigung mit einer entsprechenden Meldung, bevor er abgemeldet und zum Anmeldefenster weitergeleitet wird.
Wenn das Timeout überschritten wird, wird der Benutzer aus allen DocuWare Client-Browserfenstern und aus der DocuWare Konfiguration abgemeldet. Ein Klick irgendwo in einem Browsertab lässt den Timer von vorne beginnen. Automatische DocuWare Client-Aktivitäten wie Benachrichtigungen setzen den Timer nicht zurück. Ungespeicherte Änderungen werden beim Abmelden verworfen.
Diese Einstellung gilt für alle Benutzer in der Organisation.
In DocuWare Forms tritt das automatische Logout nur bei nicht öffentlichen Formularen in Kraft. Öffentliche Formulare erfordern keine echte Anmeldung und sind daher vom Timeout ausgenommen.
Single Sign-On
Single Sign-On (SSO) ermöglicht Benutzern den Zugriff auf DocuWare mit ihren Unternehmensanmeldedaten, sodass sie sich keine separaten DocuWare-Benutzernamen und -Passwörter merken müssen. Diese Funktion vereinfacht die Anmeldung und kann die Sicherheit verbessern, indem sie die Authentifizierungsmethoden des Identitätsanbieters des Unternehmens nutzt, beispielsweise die Zwei-Faktor-Authentifizierung.
Um Single Sign-On in DocuWare zu aktivieren, müssen Sie Ihre DocuWare Organisation mit einem externen Identitätsanbieter integrieren. Um die Integration durchzuführen, benötigen Sie Zugriff auf den Identitätsanbieter.
Der SSO-Konfigurationsdialog hat sich mit DocuWare 7.13 leicht verändert. Außerdem wurde eine Schaltfläche Testen hinzugefügt. Wenn Sie DocuWare Version 7.12 oder früher verwenden, werden Sie feststellen, dass sich einige Elemente an anderen Stellen befinden und dass Sie Ihre Konfiguration vor dem Speichern nicht testen können. Die Konfigurationsoptionen selbst haben sich jedoch nicht geändert.
DocuWare unterstützt mehrere Arten von Identitätsanbietern – siehe unten. Jede DocuWare Organisation kann nur mit einem externen Identitätsanbieter verbunden werden.
Microsoft Entra ID
Microsoft Entra ID, früher bekannt als Azure Active Directory, ist eine umfassende Identitäts- und Zugriffsverwaltungslösung, die Unternehmen jeder Größe einen sicheren Zugriff auf Anwendungen und Ressourcen ermöglicht.
Weitere Informationen zur Konfiguration von SSO mit Microsoft Entra ID als externem Identitätsanbieter.
Open ID Connect (OIDC)
OpenID Connect (OIDC) ist ein offener Standard, der häufig für die Implementierung von Single Sign-On (SSO) in verschiedenen Anwendungen und Diensten verwendet wird. Die meisten professionellen Identitätsanbieter unterstützen OIDC.
Weitere Informationen zur Anbindung eines OIDC-kompatiblen externen Identitätsanbieters.
Weitere Informationen zu einer Beispielkonfiguration mit Okta.
Microsoft Active Directory Federation Services (ADFS)
Microsoft Active Directory Federation Services (AD FS) ist eine Single-Sign-On-Lösung (SSO), mit der Unternehmen authentifizierten Zugriff auf Anwendungen und Systeme über Unternehmensgrenzen hinweg ermöglichen können.
Hinweis: Microsoft empfiehlt die Verwendung von Microsoft Entra ID anstelle von ADFS (Quelle) und wird diese Funktion möglicherweise in Zukunft einstellen.
Erzwingen von Single Sign-On
Diese Einstellung steuert, ob sich Benutzer weiterhin mit ihren DocuWare Zugangsdaten anmelden können oder sich ausschließlich über den externen Identity Provider (IdP) authentifizieren müssen.
Deaktiviert: Benutzer können eine der beiden Methoden wählen – DocuWare Benutzername/Passwort oder den externen Identity Provider.
Aktiviert: Alle Benutzer müssen sich über den externen Identity Provider authentifizieren. DocuWare Anmeldeinformationen werden gesperrt, es sei denn, der Benutzer oder die Rolle wird zur Ausschlussliste hinzugefügt. Administratoren können diese Liste verwenden, um bestimmten Konten die Umgehung von SSO zu ermöglichen.
Die Ausschlussliste wird sichtbar, sobald Sie die Option Single Sign-On erzwingen aktivieren:.png)
Wichtig: SSO-Einrichtung vor dem Erzwingen testen
Testen Sie die SSO-Einrichtung gründlich, bevor Sie diese als verbindlich festlegen. Wenn die Verbindung fehlschlägt, kann jeder Benutzer – einschließlich Organisationsadministratoren – gesperrt werden.
Anleitung für eine sichere Einführung von Enforce Single Sign-On
Wenn Sie als Administrator Single Sign-On (SSO) in DocuWare konfigurieren, haben Sie zwei Möglichkeiten, die Funktion für die Benutzer auszurollen:
Optionales SSO – Benutzer können sich mit ihrem DocuWare-Benutzernamen/Passwort oder über SSO anmelden.
Erzwungenes SSO – Aktivieren Sie Single-Sign-On-Authentifizierung für alle Benutzer erzwingen. Benutzer müssen sich über den externen Identitätsanbieter (IdP) authentifizieren, es sei denn, sie gehören zu einer Ausschlussliste.
Führen Sie die folgenden drei Schritte aus, um erzwungenes SSO zu aktivieren:
Schritt 1 – SSO aktivieren und testen
1. Richten Sie in DocuWare Konfigurationen > Sicherheit Ihren Identity Provider ein. Lassen Sie „SSO erzwingen" jedoch vorerst deaktiviert.
2. Bitten Sie mehrere interne Benutzer, sich per SSO anzumelden, um die Einrichtung zu bestätigen.
3. Wenn Sie Benutzer mit DocuWare User Sync oder User Provisioning importieren, stellen Sie sicher, dass sich diese Konten auch über SSO anmelden können.
4. Stellen Sie sicher, dass sich jeder Organisationsadministrator über SSO authentifizieren kann. Behalten Sie mindestens einen Administrator für die Ausschlussliste im Auge (siehe Schritt 2).
Schritt 2 – Auszuschließende Konten identifizieren
Typische Kandidaten für Ausschlüsse sind
• Externe Benutzer (z. B. Partner oder Kunden), die nicht vom IdP verwaltet werden
• Dienstkonten, die von externen Anwendungen verwendet werden
• Konten, auf denen interne DocuWare-Jobs ausgeführt werden (ab DocuWare 7.13 nicht erforderlich)
• Alle anderen Konten, die passwortbasiert bleiben müssen (z. B. kein Internetzugang)
So finden Sie mögliche Ausschlusskandidaten:
1. Gehen Sie zu DocuWare Konfigurationen > Benutzerverwaltung und klicken Sie auf Benutzer als CSV exportieren.
2. Öffnen Sie die Datei in Excel und suchen Sie nach E-Mail-Domains außerhalb Ihres Unternehmens. Dabei handelt es sich wahrscheinlich um externe Benutzer.
3. Überprüfen Sie Integrationen und Workflows, um Dienstkonten zu finden.
Schritt 3 – Erzwungenes SSO einführen
1. Aktivieren Sie Single-Sign-On-Authentifizierung für alle Benutzer erzwingen.
2. Fügen Sie alle Benutzer oder Rollen zur Ausschlussliste hinzu, damit niemand gesperrt wird.
3. Entfernen Sie in den nächsten Tagen oder Wochen schrittweise die Ausschlüsse und vergewissern Sie sich, dass sich jede Gruppe über SSO anmelden kann.
4. Wenn Sie fertig sind, belassen Sie nur die in Schritt 2 identifizierten Konten auf der Ausschlussliste.
5. Lassen Sie mindestens ein Administratorkonto als Sicherheit ausgeschlossen.
Testen Sie die SSO-Verbindung immer nach jeder Änderung. Wenn der IdP nicht mehr verfügbar ist und keine Ausschlüsse vorhanden sind, können alle Benutzer – einschließlich Administratoren – gesperrt werden.
Öffentlichen Zugriff einschränken
In DocuWare 7.11 und früher wurde dieser Abschnitt als Gastanmeldung bezeichnet. In DocuWare Version 7.12 wurde er auf Öffentlichen Zugriff einschränken aktualisiert.
Die Gastanmeldung ermöglicht es jedem, der Netzwerkzugriff auf Ihre Organisation hat (der „Gast"), ohne Angabe von Zugangsdaten in DocuWare zu gelangen. Die dem Gastbenutzer gewährten Berechtigungen entsprechen denen des als Gast festgelegten DocuWare-Benutzers. Abhängig von diesen Berechtigungen könnten „Gäste" Ihr System erheblich schädigen.
Wenn Sie Öffentlichen Zugriff einschränken deaktivieren, können Sie die Gastbenutzeroption festlegen, die auf der DocuWare-Anmeldeseite angezeigt wird.
Wichtig: „Öffentlichen Zugriff einschränken" nach Möglichkeit aktiviert lassen
Wenn Sie Öffentlichen Zugriff einschränken deaktivieren, machen Sie Ihr DocuWare-System externen Benutzern zugänglich, die ihre Identität nicht mit einem Benutzernamen und Passwort verifizieren. Dies stellt ein Sicherheitsrisiko dar. Bitte überlegen Sie sorgfältig, ob Sie diese Sicherheitseinstellung deaktivieren möchten.
Wichtig: Die Gastanmeldung umgeht die Zwei-Schritt-Verifizierung und Single Sign-On
Die Gastanmeldung unterliegt weder der Zwei-Schritt-Verifizierung (2SV) noch Single Sign-On (SSO), auch wenn diese Methoden für das zugewiesene Gastbenutzerkonto vorgeschrieben sind. Beispiel: Wenn das Benutzerkonto „Elizabeth Cash" als Gastanmeldung konfiguriert ist und für Elizabeth Cash die Zwei-Schritt-Verifizierung oder SSO vorgeschrieben ist, gelangt jeder, der die Gastanmeldung verwendet, dennoch ohne Passwort, zweiten Faktor oder SSO-Authentifizierung in das System. Der Gast verfügt über alle Berechtigungen, die Elizabeth Cash zugewiesen sind.
Bevor Sie die Gastanmeldung aktivieren, stellen Sie sicher, dass das zugewiesene Benutzerkonto über minimale Berechtigungen verfügt. Beachten Sie, dass das Erzwingen von 2SV oder SSO für die Organisation den Gastzugriff nicht einschränkt.
Dateitypen
Dateitypen, die unter Eingeschränkte Dateitypen eingegeben werden, sind für die Archivierung in DocuWare gesperrt. Aktivieren Sie eine der Listen, um die darin enthaltenen Dateitypen zu sperren, oder erstellen Sie eine neue Liste. Die Einschränkungen gelten für alle Archive der Organisation.
Die Listen der eingeschränkten Dateitypen sind auch als Zulassungs- und Sperrliste für die Konfiguration des Volltexts verfügbar.
Externe Verbindungen
Sichere externe URL-Standorte
Diese Funktion erhöht die Sicherheit von URLs, die als Indexdaten in Dokumenten gespeichert sind. Sie stellt sicher, dass URLs nur anklickbar sind, wenn sie zu vorab genehmigten, sicheren Speicherorten führen, wodurch das Risiko von schädlichen URLs, die möglicherweise vor der Speicherung des Dokuments in DocuWare eingebettet wurden, verringert wird.
Um einen Speicherort als sicher zu kennzeichnen, muss er dieser Zulassungsliste hinzugefügt werden. Fügen Sie hier alle relevanten Domains oder URLs ohne „https://" hinzu. Sobald eine Domain in diese Zulassungsliste aufgenommen wurde, gelten auch alle zugehörigen Subdomains und Seiten standardmäßig als sicher.
Portalintegration
Mit DocuWare 7.13 wird der Abschnitt Portalintegration (früher in „Zentrales Gateway") in die DocuWare Konfigurationen > Sicherheitseinstellungen eingebettet.
Der Abschnitt Portalintegration ist nur für Organisationsadministratoren von DocuWare Cloud sichtbar.
Nur Domains, die Sie hier hinzufügen, können auf DocuWare Ressourcen Ihrer Organisation zugreifen. Wenn beispielsweise ein DocuWare Suchdialog in Ihr Webportal eingebettet werden soll, damit Kunden Dokumente in DocuWare suchen können, muss die Domain Ihres Webportals hier hinzugefügt werden. Wenn eine Domain hier nicht aufgeführt ist, wird Ihr Webportal daran gehindert, Elemente wie Formulare, Ergebnislisten, Dialoge und andere einzubetten.
Weitere Informationen zur URL-Integration finden Sie unter Einführung URL-Integration.
Geben Sie Domains als „https://subdomain.webseite.com" oder „http://subdomain.website.com" ein.
IP-basierte Zugriffskontrolle
Mit DocuWare 7.13 ist der Abschnitt IP-basierte Zugriffskontrolle (früher in „Zentrales Gateway") in den DocuWare Konfigurationen > Sicherheitseinstellungen eingebettet.
Der Abschnitt IP-basierte Zugriffskontrolle ist nur für Organisationsadministratoren von DocuWare Cloud sichtbar.
Benutzer können nur über die im zentralen Gateway eingegebenen IP-Adressen auf eine DocuWare Cloud-Organisation zugreifen. Auf diese Weise können Organisationen beispielsweise steuern, welche Geräte auf ihre Dienste zugreifen dürfen, und so unbefugten Zugriff verhindern.
Geben Sie bestimmte IP-Adressen oder IP-Adressbereiche ein, von denen aus auf die DocuWare Cloud-Dienste zugegriffen werden soll. Sie können beispielsweise den Zugriff so einschränken, dass nur Mitarbeiter, die sich über Ihr Unternehmensnetzwerk verbinden, DocuWare nutzen können.
Solange hier keine IP-Adresse aufgeführt ist, haben alle IP-Adressen Zugriff auf die DocuWare Cloud-Organisation.
Wenn jedoch eine IP-Adresse eingegeben wird, tritt die Zugriffskontrolle in Kraft und nur die hier angegebenen Adressen haben Zugriff auf die Cloud-Organisation.
Derzeit unterstützt DocuWare das Internetprotokoll Version 4 (IPv4).
Die Domain- und IP-Adresskontrolle verringert das Risiko eines Angriffs, indem sie sicherstellt, dass nur der gewünschte Datenverkehr in das Netzwerk gelangt. Die Sicherheit wird verbessert, indem verhindert wird, dass nicht autorisierte oder bösartige Websites Anfragen im Namen Ihrer Benutzer stellen.