Dieser Artikel enthält Informationen über den Bereich DocuWare Konfiguration > Sicherheit.
Hier definieren Sie die Sicherheitseinstellungen für Ihre DocuWare Organisation. Jede Einstellung hat den Status „Aktiviert“ oder „Deaktiviert“. Wenn eine Einstellung „Aktiviert“ ist, erhöht sie potenziell die Sicherheit Ihrer Organisation.
Anmeldesicherheit
Passwortrichtlinie
Eine Passwortrichtlinie verhindert, dass Benutzer unsichere Passwörter verwenden. Hier legen Sie die Mindestanforderungen für die Passwörter aller Benutzer fest:
Minimale Passwortlänge
Erforderliche Zeichen
Passwortgültigkeitsdauer
Benachrichtigungszeitraum vor Ablauf des Passworts
Maximale Anzahl fehlgeschlagener Anmeldeversuche
Dauer, wie lange ein Konto nach der maximalen Anzahl fehlgeschlagener Anmeldeversuche gesperrt ist
Lesen Sie die Anmerkung zur neuen Passwortrichtlinie, die standardmäßig für alle neuen DocuWare Organisationen ab Version 7.12 aktiviert ist. Die standardmäßige Passwortrichtlinie gilt nicht für Organisationen, die vor Version 7.12 erstellt wurden.
Zwei-Schritt-Verifizierung
Mit DocuWare 7.13 und höher können DocuWare Administratoren die Zwei-Schritt-Verifizierung für ALLE Benutzer in der Organisation aktivieren und deaktivieren.
Zwei-Schritt-Verifizierung:
Alle Benutzer haben die Möglichkeit, die Zwei-Schritt-Verifizierung für ihr individuelles Konto zu konfigurieren. Dies wird als Opt-in-Modell bezeichnet.
Benutzerkonfiguration: Jeder Benutzer kann die Zwei-Schritt-Verifizierung in seinem DocuWare Profil aktivieren: DocuWare Web Client > Profil & Einstellungen > Registerkarte „Sicherheit“.
Benutzer müssen außerdem eine Authentifizierungs-App verwenden – siehe nächster Punkt.Authentifizierungs-App: Um sich mit der zweistufigen Verifizierung bei DocuWare anzumelden, benötigen Benutzer eine TOTP-kompatible Authentifizierungs-App auf ihrem Mobilgerät. DocuWare unterstützt eine Reihe weit verbreiteter Authentifizierungs-Apps, darunter Microsoft Authenticator, Google Authenticator und Duo Mobile.
So funktioniert ein Einmalpasswort
Ein Einmalpasswort (one-time password OTP) ist ein numerischer oder alphanumerischer Code, der nur einmal zur Überprüfung der Identität eines Benutzers verwendet werden kann. Im Gegensatz zu einem statischen Passwort wird ein OTP bei Bedarf generiert – in der Regel durch eine Authentifizierungs-App oder einen Hardware-Token – unter Verwendung eines geheimen Schlüssels, der mit DocuWare geteilt wird.
Kein Erzwingen: DocuWare bietet keine Option, die Zwei-Schritt-Verifizierung für alle Benutzer einer Organisation verbindlich zu machen.
Überprüfung der Zwei-Schritt-Verifizierung:
Überprüfen Sie, welche Benutzer die Zwei-Schritt-Verifizierung verwenden. Wechseln Sie zum Bereich DocuWare Konfigurationen > Allgemein > Benutzerverwaltung > Benutzer. Für Benutzer, die die zweistufige Verifizierung konfiguriert haben, wurde die Option 2SV aktiviert.
Die Anmeldung eines bestimmten Benutzers zu einem bestimmten Zeitpunkt lässt sich im Bereich DocuWare Konfigurationen > Protokollierungen nachvollziehen.
Zwei-Schritt Verifizierung ist deaktiviert: In diesem Fall können sich Benutzer nicht mehr mit der zweistufigen Verifizierung anmelden; es sind nur noch Benutzername und Passwort erforderlich.
DocuWare versendet keine automatische Benachrichtigung, sodass Benutzer lediglich feststellen, dass der zweite Faktor nicht mehr abgefragt wird.
Wenn der Administrator die Zwei-Schritt-Verifizierung zu einem späteren Zeitpunkt wieder aktiviert, muss jeder Benutzer die Authentifizierungs-App von Grund auf neu einrichten. Es auch dafür kein Hinweis verschickt.
Das plötzliche Umschalten dieser Einstellung führt daher zu Verwirrung und unnötigen Supportanrufen durch die Benutzer. Deaktivieren Sie die Zwei-Schritt-Verifizierung nur, wenn es unbedingt notwendig ist, und informieren Sie die Benutzer im Voraus.
Was tun, wenn der Benutzer sein Mobiltelefon verloren hat?
Wenn das Mobiltelefon eines DocuWare Benutzers verloren geht, ist eine Anmeldung bei DocuWare nicht mehr möglich. In diesem Fall kann der DocuWare Administrator jedoch die zweistufige Verifizierung unter DocuWare Konfigurationen > Benutzerverwaltung deaktivieren, sodass sich der Benutzer mit Benutzername und Passwort bei DocuWare anmelden kann.
Sitzungs-Timeout
Im Falle von Inaktivität kann ein Benutzer automatisch aus dem DocuWare Client und der DocuWare Konfiguration abgemeldet werden. Wenn innerhalb eines bestimmten Zeitraums keine Eingabe erfolgt, erhält der Benutzer zunächst eine Benachrichtigung mit einer entsprechenden Meldung, bevor er abgemeldet und zum Anmeldefenster weitergeleitet wird.
Wenn das Timeout überschritten wird, wird der Benutzer aus allen DocuWare Client-Browserfenstern und aus der DocuWare Konfiguration abgemeldet. Ein Klick irgendwo in einem Browsertab lässt den Timer von vorne beginnen. Automatische DocuWare Client-Aktivitäten wie Benachrichtigungen setzen den Timer nicht zurück. Ungespeicherte Änderungen werden beim Abmelden verworfen.
Diese Einstellung gilt für alle Benutzer in der Organisation.
In DocuWare Forms tritt das automatische Logout nur bei nicht öffentlichen Formularen in Kraft. Öffentliche Formulare erfordern keine echte Anmeldung und sind daher vom Timeout ausgenommen.
Single Sign-On
Single Sign-On (SSO) ermöglicht Benutzern den Zugriff auf DocuWare mit ihren Unternehmensanmeldedaten, sodass sie sich keine separaten DocuWare-Benutzernamen und -Passwörter merken müssen. Diese Funktion vereinfacht die Anmeldung und kann die Sicherheit verbessern, indem sie die Authentifizierungsmethoden des Identitätsanbieters des Unternehmens nutzt, beispielsweise die Zwei-Faktor-Authentifizierung.
Um Single Sign-On in DocuWare zu aktivieren, müssen Sie Ihre DocuWare Organisation mit einem externen Identitätsanbieter integrieren. Um die Integration durchzuführen, benötigen Sie Zugriff auf den Identitätsanbieter.
Der SSO-Konfigurationsdialog hat sich mit DocuWare 7.13 leicht verändert. Außerdem wurde eine Schaltfläche Testen hinzugefügt.
Wenn Sie DocuWare Version 7.12 oder früher verwenden, werden Sie feststellen, dass sich einige Elemente an anderen Stellen befinden und dass Sie Ihre Konfiguration vor dem Speichern nicht testen können. Die Konfigurationsoptionen selbst haben sich jedoch nicht geändert.
DocuWare unterstützt mehrere Arten von Identitätsanbietern – siehe unten. Jede DocuWare Organisation kann nur mit einem externen Identitätsanbieter verbunden werden.
Microsoft Entra ID
Microsoft Entra ID, früher bekannt als Azure Active Directory, ist eine umfassende Identitäts- und Zugriffsverwaltungslösung, die Unternehmen jeder Größe einen sicheren Zugriff auf Anwendungen und Ressourcen ermöglicht.
Weitere Informationen zur Konfiguration von Sie SSO mit Microsoft Entra ID als externem Identitätsanbieter
Open ID Connect (OIDC)
OpenID Connect (OIDC) ist ein offener Standard, der häufig für die Implementierung von Single Sign-On (SSO) in verschiedenen Anwendungen und Diensten verwendet wird. Die meisten professionellen Identitätsanbieter unterstützen OIDC.
Weitere Informationen zur Verwendung eines OIDC-kompatiblen externen Identitätsanbieters.
Weitere Informationen zu einer Beispielkonfiguration mit Okta.
Microsoft Active Directory Federation Services (ADFS)
Microsoft Active Directory Federation Services (AD FS) ist eine Single-Sign-On-Lösung (SSO), mit der Unternehmen authentifizierten Zugriff auf Anwendungen und Systeme über Unternehmensgrenzen hinweg ermöglichen können.
Hinweis: Microsoft empfiehlt die Verwendung von Microsoft Entra ID anstelle von ADFS (Quelle) und wird diese Funktion möglicherweise in Zukunft einstellen.
Öffentlichen Zugriff einschränken
In DocuWare 7.11 und früher wurde dieser Abschnitt als Gastanmeldung bezeichnet. In DocuWare Version 7.12 wurde er auf Öffentlichen Zugriff einschränken aktualisiert.
Die Gastanmeldung ermöglicht es jedem, der Netzwerkzugriff auf Ihre Organisation hat (der 'Gast'), ohne Angabe von Zugangsdaten in DocuWare zu gelangen. Die dem Gastbenutzer gewährten Berechtigungen entsprechen denen des als Gast festgelegten DocuWare-Benutzers. Abhängig von diesen Berechtigungen könnten 'Gäste' Ihr System erheblich schädigen.
Wenn Sie Öffentlichen Zugriff einschränken deaktivieren, können Sie die Gastbenutzeroption festlegen, die auf der DocuWare-Anmeldeseite angezeigt wird.
Risiko
Wenn Sie den öffentlichen Zugriff einschränken deaktivieren, machen Sie Ihr DocuWare-System externen Benutzern zugänglich, die ihre Identität nicht mit einem Benutzernamen und Passwort verifizieren. Dies stellt ein Sicherheitsrisiko dar. Bitte überlegen Sie sorgfältig, ob Sie diese Sicherheitseinstellung deaktivieren möchten.
Dateitypen
Dateitypen, die unter Eingeschränkte Dateitypen eingegeben werden, sind für die Archivierung in DocuWare gesperrt. Aktivieren Sie eine der Listen, um die darin enthaltenen Dateitypen zu sperren, oder erstellen Sie eine neue Liste. Die Einschränkungen gelten für alle Archive der Organisation.
Die Listen der eingeschränkten Dateitypen sind auch als Whitelist und Blacklist für die Konfiguration des Volltexts verfügbar.
Externe Verbindungen
Sichere externe URL-Standorte
Diese Funktion erhöht die Sicherheit von URLs, die als Indexdaten in Dokumenten gespeichert sind. Sie stellt sicher, dass URLs nur anklickbar sind, wenn sie zu vorab genehmigten, sicheren Speicherorten führen, wodurch das Risiko von schädlichen URLs, die möglicherweise vor der Speicherung des Dokuments in DocuWare eingebettet wurden, verringert wird.
Um einen Speicherort als sicher zu kennzeichnen, muss er dieser Zulassungsliste hinzugefügt werden. Fügen Sie hier alle relevanten Domains oder URLs ohne „https://“ hinzu. Sobald eine Domain in diese Zulassungsliste aufgenommen wurde, gelten auch alle zugehörigen Subdomains und Seiten standardmäßig als sicher.
Portalintegration
Mit DocuWare 7.13 wird der Abschnitt Portalintegration - früher in „Zentrales Gateway“ - in die Einstellungen DocuWare Konfigurationen > Sicherheit eingebettet.
Der Abschnitt Portalintegration ist nur für Organisationsadministratoren von DocuWare Cloud sichtbar.
Nur Domänen, die Sie hier hinzufügen, können auf DocuWare Ressourcen Ihrer Organisation zugreifen. Wenn beispielsweise ein DocuWare Suchdialog in Ihr Webportal eingebettet werden soll, damit Kunden Dokumente in DocuWare suchen können, muss die Domäne Ihres Webportals hier hinzugefügt werden.
Wenn eine Domäne hier nicht aufgeführt ist, wird Ihr Webportal daran gehindert, Elemente wie Formulare, Ergebnislisten, Dialoge und andere einzubetten.
Weitere Informationen zur URL-Integration finden Sie unter Einführung URL-Integration.
Geben Sie Domänen als „https://subdomain.webseite.com” oder „http://subdomain.website.com” ein.
IP-basierte Zugriffskontrolle
Mit DocuWare 7.13 ist der Abschnitt IP-basierte Zugriffskontrolle - früher in „Zentrales Gateway” - in den Einstellungen DocuWare-Konfigurationen > Sicherheit eingebettet.
Der Abschnitt IP-basierte Zugriffskontrolle ist nur für Organisationsadministratoren von DocuWare Cloud sichtbar.
Benutzer können nur über die im zentralen Gateway eingegebenen IP-Adressen auf eine DocuWare Cloud-Organisation zugreifen. Auf diese Weise können Organisationen beispielsweise steuern, welche Geräte auf ihre Dienste zugreifen dürfen, und so unbefugten Zugriff verhindern.
Geben Sie bestimmte IP-Adressen oder IP-Adressbereiche ein, von denen aus auf die DocuWare Cloud-Dienste zugegriffen werden soll. Sie können beispielsweise den Zugriff so einschränken, dass nur Mitarbeiter, die sich über Ihr Unternehmensnetzwerk verbinden, DocuWare nutzen können.
Solange hier keine IP-Adresse aufgeführt ist, haben alle IP-Adressen Zugriff auf die DocuWare Cloud-Organisation.
Wenn jedoch eine IP-Adresse eingegeben wird, tritt die Zugriffskontrolle in Kraft und nur die hier angegebenen Adressen haben Zugriff auf die Cloud-Organisation.
Derzeit unterstützt DocuWare das Internetprotokoll Version 4 (IPv4).
Die Domänen- und IP-Adresskontrolle verringert das Risiko eines Angriffs, indem sie sicherstellt, dass nur der gewünschte Datenverkehr in das Netzwerk gelangt. Die Sicherheit wird verbessert, indem verhindert wird, dass nicht autorisierte oder bösartige Websites Anfragen im Namen Ihrer Benutzer stellen.