DocuWare unterstützt Microsoft Entra ID (früher: Azure Active Directory) als Identity Provider für Single-Sign-On. So verbinden Sie DocuWare mit Microsoft Entra ID.
Beachten Sie, dass sich der Konfigurationsdialog mit DocuWare 7.13 leicht geändert hat, die Konfiguration selbst hat sich jedoch nicht geändert.
Gehen Sie zu DocuWare Konfigurationen > Allgemein > Sicherheit und Aktivieren Sie die Option Single-Sign-On aktivieren.
Öffnen Sie Entra ID vom Azure Portal aus. Erstellen Sie eine neue App-Registrierung in Microsoft Entra ID
3. Wählen Sie die unterstützten Kontotypen.
4. Konfigurieren Sie die API-Berechtigungen. Die grundlegendsten API-Einstellungen erfordern nur Microsoft.Graph mit der Berechtigung Benutzer.Lesen Delegiert und dem Berechtigungsstatus Gewährt . Erweiterte API-/Berechtigungseinstellungen werden unterstützt, aber nicht alle wurden vollständig getestet.
.png)
5. Fügen Sie eine neue Weiterleitungs-URI für die neu erstellte App-Registrierung hinzu.
6. Kopieren Sie die Callback URL von DocuWare Konfigurationen > Allgemein > Sicherheit > Verbindung in das Feld URI (Web) und aktivieren Sie die Option ID Token.
Das Endergebnis sollte folgendermaßen aussehen:
7. Kopieren Sie die Application (client) ID in der Übersicht der App-Registrierung und kopieren Sie die URL unter Endpunkte zum OpenID Connect Metadaten-Dokument und fügen Sie diese in DocuWare in Sicherheit > Single-Sign-On-Verbindung konfigurieren > Für Client ID oder Issuer URL ein.
8. Unter der Callback URL gibt es eine Test-Schaltfläche. Diese Schaltfläche öffnet einen neuen parallelen Tab, in dem der Administrator Microsoft-Anmeldedaten eingeben kann, um zu testen, ob die Konfiguration erfolgreich ist oder nicht.
Falls Sie die Einstellungen speichern, ohne sie vorher zu testen, erscheint ein Warndialog, der versehentliche Fehler vermeiden soll. Sie müssen die Risiken, die Sie mit dem Speichern einer nicht getesteten Konfiguration eingehen, anerkennen.
9. Nach dem Speichern der Einstellungen haben Benutzer die Möglichkeit, sich mit einem DocuWare-Benutzernamen und -Passwort sowie mit einem Single-Sign-On über Microsoft anzumelden.
Hinweise:
Bezüglich der Option „Sicherheitsstufe: Hoch“
Die Standard-Sicherheitsstufe für neue SSO-Konfigurationen ist auf Standard gesetzt. Die Standard-Sicherheitsstufe reicht für die meisten Anwendungsfälle aus.
Die hohe Sicherheitsstufe erfordert ein Client-Geheimnis und wird empfohlen. Sie kann geändert werden, indem Sie den Auswahlknopf unter der Client ID auswählen. Sobald diese Option ausgewählt ist, wird die Benutzeroberfläche aktualisiert und ein neues Textfeld angezeigt. Der Feldinhalt ist gegen visuelles Hacking geschützt.
Dieser Client Secret Key muss in den Registrierungseinstellungen der Entra-ID-Anwendung im Bereich Zertifikate und Geheimnisse generiert werden. Der Entra-ID-Administrator kann ein neues Client Secret erzeugen. Dieses Secret wird unsichtbar, sobald die Entra-ID-Sitzung geschlossen ist.
Bezüglich der Option „Vorhandene Benutzer bei der Anmeldung automatisch zuordnen“
Wenn diese Option aktiviert ist, meldet sich ein Benutzer beim ersten Anmelden mit Single-Sign-On an. DocuWare wird nach einem geeigneten DocuWare-Benutzer mit dem entsprechenden Benutzernamen und E-Mail-Adresse suchen.
Derselbe Benutzername und dieselbe E-Mail-Adresse müssen in der Microsoft Entra ID und in DocuWare gespeichert werden.
Der DocuWare-Benutzername muss dem lokalen Teil (erster Teil bis @) der E-Mail-Adresse des Benutzers in der Microsoft Entra ID entsprechen.
Das Benutzerkonto von Microsoft Entra ID und das von DocuWare werden nur dann verknüpft, wenn der Benutzername UND die E-Mail-Adresse übereinstimmen.
Beispiel:
Ursprünglicher Benutzername in Entra ID: peggy.jenkins@peters-engineering.net
Benutzername in DocuWare: peggy.jenkins
E-Mail-Adresse in DocuWare: peggy.jenkins@peters-engineering.net
Es ist nicht erforderlich, dass DocuWare-Benutzer über die Benutzer-Synchronisations-App erstellt werden, um Single-Sign-On zu verwenden. Auch wenn Sie neue Benutzer manuell erstellen oder über eine Schnittstelle importieren, werden das externe Benutzerkonto und das DocuWare-Konto automatisch abgeglichen. Sobald ein Benutzer zugewiesen wurde, wird der Benutzer ab diesem Zeitpunkt anhand seiner externen Objekt-ID erkannt. Das bedeutet, dass der Benutzer auch noch erkannt wird, wenn die E-Mail-Adresse und/oder der Benutzername nicht mehr übereinstimmen.
Single-Sign-On erzwingen
Lesen Sie mehr über das Erzwingen von Single-Sign-On.