DocuWare unterstützt Microsoft Active Directory Federation Services (ADFS) als Identity Provider für Single Sign-On. Mit folgenden Schritten verbinden Sie DocuWare mit Active Directory Federation Services.
1. Aktivieren Sie in der DocuWare Konfiguration im Bereich Organisations-Einstellungen > Sicherheit die Option Single Sign-on.
2. Rufen Sie Ihren AD FS Server Manager auf. Klicken Sie auf Tools und AD FS Management
3. Finden Sie unter Service > Endpunkte den Endpunkt OpenId Connect Discovery.
4. Wechseln Sie in die DocuWare Konfiguration. Unter Organisations-Einstellungen > Sicherheit > Single Sign-on aktivieren > Verbindung für Single Sign-on konfigurieren wählen Sie Microsoft Active Directory Federation Services als Identity Provider.
5. Im Feld Issuer URL geben Sie die URL vom OpenId Connect Discovery Endpunkt ein. Wenn zum Beispiel Ihr ADFS host unter https://myadfs.net zu erreichen ist und Ihr Discovery Endpunkt /adfs/.well-known/openid-configuration lautet, geben Sie ein: https://myadfs.net/adfs/.well-known/openid-configuration
6. Wechseln Sie zurück in die AD FS Einstellungen und wählen Sie Anwendungsgruppen.
Klicken Sie rechts auf Anwendungsgruppe hinzufügen...
7. Geben Sie für die Anwendungsgruppe einen Namen und eine Beschreibung wie etwa "DocuWare” ein, wählen Sie den Typ Server Anwendung, die auf eine Web-API-Vorlage zugreift aus und klicken Sie auf Weiter.
8. Es wird ein Client Bezeichner erstellt. Kopieren Sie diesen und wechseln Sie wieder zu DocuWare.
9. Kopieren Sie den Client Bezeichner in das Feld “Client ID”. Kopieren Sie die Callback URL, speichern Sie und wechseln Sie wieder zum AD FS.
10. Zurück in der AD FS Konfiguration kopieren Sie die Callback URL in das Feld Umleitungs-URI, und klicken Sie auf Hinzufügen und auf Weiter.
11. Im nächsten Schritt werden Ihnen Anmeldedaten vorgeschlagen, die Sie aber nicht benötigen. Wählen Sie die Option Gemeinsamen geheimen Schlüssel generieren und klicken Sie auf Weiter.
12. Kopieren Sie im nächsten Fenster die Client ID aus Schritt 9 in die Box Bezeichner und klicken Sie auf Hinzufügen. Achten Sie darauf, dass die ID exakt übereinstimmt. Dann klicken Sie wieder auf Weiter.
Das nächste Fenster bestätigen Sie einfach mit Weiter.
13. Wählen Sie die Anwendung, die Sie gerade angelegt haben, und in der Liste unter Erlaubte scopes wählen Sie allatclaims, profile und openid. Klicken Sie dann auf Weiter.
14. Prüfen Sie in der Zusammenfassung, ob alles korrekt ist und beenden Sie die Einstellungen mit Weiter und Schließen.
15. Klicken Sie doppelt auf Ihre neu angelegte Anwendungsgruppe. Im neuen Fenster wählen Sie auf DocuWare - Web API.
16. Im neuen Fenster wählen Sie den Reiter Ausstellungs Transformationsregeln und fügen Sie eine Regel hinzu.
17. Wählen Sie im neu geöffneten Fenster LDAP-Attribute als Ansprüche senden aus der Liste Anspruchs Regel Vorlage und klicken Sie auf Weiter.
18. Im nächsten Fenster wählen Sie den Namen der Anspruchs Regel wie etwa “DocuWare object guid rule”. In der Liste Attribut Speicher wählen Sie Active Directory. Geben Sie dann in der Tabelle darunter objectGUID im Feld LDAP Attribut ein und oid in das Feld ausgehender Anspruchstyp.
Klicken Sie auf Fertig stellen und speichern Sie die Änderungen mit OK .
Nach dem Speichern der Einstellungen steht den Benutzern neben der Möglichkeit, sich mit DocuWare Benutzername und Passwort anzumelden, auch Single Sign-on über Microsoft zur Verfügung. Die Anmeldung über DocuWare Anmeldedaten kann aktuell nicht deaktiviert werden.
Hinweis zur Option Vorhandene Benutzer bei der Anmeldung automatisch verknüpfen
Wenn diese Option aktiviert ist, sucht DocuWare bei der ersten Anmeldung eines Benutzers mit Single Sign-on einen passenden bestehenden DocuWare-Benutzer mit entsprechendem Benutzernamen und E-Mail-Adresse. Dabei muss der DocuWare Benutzername dem local part (erster Teil bis @) und die DocuWare E-Mail-Adresse dem vollständigen Benutzernamen in Azure Active Directory entsprechen.
Nur wenn Benutzername UND E-Mail-Adresse übereinstimmen, werden das Azure Active Directory Benutzerkonto und das DocuWare Benutzer Konto verbunden.
Beispiel:
Azure AD Benutzername: peggy.jenkins@peters-engineering.net
DocuWare Benutzername: peggy.jenkins
DocuWare Email Adresse: peggy.jenkins@peters-engineering.net
Es ist nicht zwingend erforderlich, dass DocuWare-Benutzer über die App Benutzersynchronisation angelegt werden, um Single Sign-on zu verwenden. Auch wenn Sie neue Benutzer manuell anlegen oder über eine Schnittstelle importieren, werden das externe Benutzerkonto und das DocuWare-Konto automatisch abgeglichen.
Sobald ein Benutzer zugeordnet wurde, wird der Benutzer ab diesem Zeitpunkt anhand seiner externen Object-ID erkannt. D.h. selbst wenn die E-Mail-Adresse und/oder der Benutzername nicht mehr übereinstimmen sollten, wird der Benutzer weiterhin erkannt.
Sicherheitseinstellungen zum Logout bei Single Sign-on
In Azure Active Directory gibt es einige Voreinstellungen, die DocuWare-Kunden oder deren Administratoren möglicherweise nicht bekannt sind.
Voreinstellung für die Persistenz von Browser-Sitzungen
Wenn die Persistenz von Browser-Sitzungen aktiviert ist, können Anwender auf ihren persönlichen Geräten wählen, ob die Sitzung nach erfolgreicher Authentifizierung mit der Aufforderung Stay signed in? fortgesetzt werden soll. Wenn die Anwender die Option bestätigen, ist es nicht mehr möglich, sich einfach aus einer Anwendung abzumelden. Das Single Sign-on-Token wird dann nicht ungültig oder gelöscht und ist für andere Anwendungen weiterhin gültig.
Dies ist ein Sicherheitsrisiko: Wer sich zum Beispiel im Internet-Cafe über Single Sign-on in DocuWare Cloud an- und abmeldet, bleibt in bei Microsoft weiterhin angemeldet. Der nächste Benutzer am Rechner könnte auf alle angebundenen Systeme zugreifen.
Voreinstellung für die Gültigkeitsdauer von Token
Das Risiko wird dadurch verschärft, dass die Token für die Option Stay signed in standardmäßig 90 Tage für Geräte (bei unveränderter Voreinstellung) gültig sind. Für Anwendungen sogar bis zu 180 Tage (abhängig von den Konfigurationseinstellungen).
Deshalb empfiehlt DocuWare folgende Maßnamen:
Beachten Sie die Richtlinien von Azure Active Directory für den bedingten Zugriff, um die Lebensdauer von Sitzungs-Token zu kontrollieren
Definieren Sie in Azure Active Directory die Option sign-in frequency für DocuWare
Deaktivieren Sie die Option für persistente Browser-Sitzungen
Entfernen Sie die Option Angemeldet bleiben aus dem Dialog Anmeldung mit Microsoft
Hinweise zu diesen Maßnahmen finden Sie im nächsten Abschnitt.
Hinweise zur Konfiguration der Logout-Sicherheitseinstellungen
Die Persistenz von Browser-Sitzungen ist von Microsoft umfangreich dokumentiert.
Zusammenfassung
„Conditional Access“ beschreibt das Konzept von Login-Richtlinien (login policies) in Azure Active Directory. Mit den Richtlinien lässt sich die Gültigkeit von einem Token konfigurieren.
Ein Token besteht zum Beispiel aus einem Konto, einem Client (Gerät) und einer Ressource. Anstatt die Gültigkeitsdauer des Token zu konfigurieren, legen Sie mit Richtlinien (policies) die Häufigkeit der Anmeldung fest, also die Intervalle, in denen sich Benutzer bei der Verwendung einer bestimmten Ressource erneut authentifizieren müssen. Bei kritischen Anwendungen müssen sich Benutzer häufig erneut anmelden, während die Token für weniger kritische Ressourcen länger gültig sind.
Diese Funktion lässt sich in Anwendungen integrieren, die das OAUTH2- oder OIDC-Protokoll implementieren.
Ein weiterer wichtiger Aspekt dieses Sicherheitskonzepts ist die Verwaltung der "stay-signed-in"-Funktionalität. Während eine verlängerte Sitzungsgültigkeit für mobile oder thick applications sinnvoll ist, ist sie für Anwendungsfälle, in denen die Client-Funktionalität von einer Web-Anwendung bereitgestellt wird, nicht geeignet.
Um zu verhindern, dass die zuvor beschriebenen Richtlinien für die Zugangskontrolle durch die stay-signed-in-Einstellungen außer Kraft gesetzt werden, ist es ratsam, diese Funktionalität zu deaktivieren, indem die Konfiguration persistent browser session auf Never persistent gesetzt wird.
Zusätzlich kann die Option zur Auswahl von stay-signed-in aus dem Dialogfeld Login with Microsoft in den Einstellungen Add branding to your organization’s sign in page entfernt werden.