Der Zugriff auf DocuWare und die zentralen Archive ist durch ein Loginverfahren sowie durch einen sicheren Datenaustausch der Komponenten untereinander geschützt.
Im Rahmen der Authentifizierung wird die Identität des Benutzers, der sich anmeldet, geprüft und verifiziert. Dies gilt auch für IT-Komponenten oder Anwendungen, die auf DocuWare zugreifen sollen.
Mehr Informationen zum Aufbau eines lokal installierten DocuWare Systems im White Paper DocuWare On-Premises
Mehr Informationen zum Aufbau von DocuWare Cloud im White Paper DocuWare Cloud.
Loginverfahren
Die Nutzung von DocuWare erfordert zunächst immer eine Anmeldung beim DocuWare Identity Service. Als zentraler Service ist er für alle Organisationen innerhalb von DocuWare für den Login in DocuWare verantwortlich. Der Benutzer muss sich über Namen und Kennwort als berechtigt ausweisen.
Der Identity Service ermöglicht die Authentifizierung über Single Sign-on (SSO). Der Client meldet sich beim externen Provider an, der wiederum ein Token für den DocuWare Identity Service erzeugt. Dieses Token wird im Browser gespeichert, bis es abläuft oder der Browser-Cache geleert wird. Nach Ablauf des Tokens muss sich der Kunde erneut anmelden, um ein neues Token zu erhalten.
Die Kommunikation der Komponenten erfolgt verschlüsselt über HTTPS.
Auch das Erzwingen von Single-Sign-On ist möglich. Die Nutzer haben damit nicht mehr die Möglichkeit, die Anmeldedaten manuell einzugeben. Durch das Erzwingen von SSO innerhalb von DocuWare lässt sich indirekt auch eine Multi Factor Authentifizierung (MFA) erzwingen, sofern MFA beim Identity Provider eingerichtet ist.
Passwörter
Außer den Passwörtern der DocuWare Benutzer werden auch das Datenbankserver-Passwort und das Passwort für den Mailserver kryptographisch sicher gespeichert, so dass nur die Serverkomponenten diese entschlüsseln können. Damit sind diese Daten sicher, auch wenn bestimmte Benutzer auf die für die Speicherung verwendeten Datenbanken zugreifen können, etwa für Backup-Zwecke.
Technische Umsetzung
Für die Verschlüsselung von Passwörtern wird der Algorithmus PBKDF2 (Password-Based Key Derivation Function 2) eingesetzt. Dabei wird eine Hashfunktion zusammen mit einem Saltwert auf das Passwort angewendet. Durch die Kombination mit einem Zufallswert entsteht auch bei zwei identischen Passwörtern nicht der gleiche Hashwert. Die Funktion wird danach mehrere tausend Male auf das Ergebnis angewendt. Dieses Verfahren erschwert es Hackern, durch Brute-Force-Attacken aus dem gehashten Wert auf das ursprüngliche Passwort zu schließen.
Passworteinstellungen
In den Sicherheitseinstellungen für die DocuWare Organisation (bis einschließlich DocuWare Version 7.11: in den Organisationseinstellungen) lässt sich festlegen, wie komplex Passwörter sein müssen. Sie definieren beispielsweise, ob ein Groß- oder Kleinbuchstabe, eine Ziffer oder ein Sonderzeichen in der Zeichenfolge enthalten sein müssen. Auch lässt sich die minimale Zeichenzahl eines Passworts festlegen, wie lange es gültig bleibt und ab wie vielen falschen Passworteingaben der Zugang gesperrt wird.
Es wird empfohlen, für Passwörter eine Mindestlänge von 14 Zeichen sowie unterschiedliche Zeichensätze festzusetzen. Auch erhöht es die Sicherheit, zufällig generierte Passwörter zu verwenden.
Ab DocuWare Version 7.12 wird für neue Organisationen eine organisationsweite Passwortrichtlinie eingerichtet, die verhindert, dass Benutzer unsichere Passwörter verwenden.
Der Organisationsadministrator kann zudem in der DocuWare Benutzerverwaltung das Passwort-Zeitlimit für bestimmte Benutzer deaktivieren. Dies ist beispielsweise dann nützlich, wenn sich Dienste als Benutzer bei einem Server anmelden müssen.
Hat der Benutzer sein Passwort vergessen, fordert er über den Anmeldedialog des Web Client ein automatisch generiertes Passwort an. Damit ist es möglich, sich im Web Client einzuloggen und ein neues persönliches Passwort einzugeben.
Benutzer, einschließlich des Organisationsadministrators, können die Passwörter anderer Benutzer nicht zurücksetzen. Benutzer mit der Sicherheitsstufe “hoch” müssen ihr Passwort selbst zurücksetzen.
Kommunikation der Komponenten
Um einem Angriff von außen und damit dem unautorisierten Abgriff von Daten vorzubeugen ist es wichtig, die Kommunikation per HTTP zwischen den webbasierten Client-Anwendungen und dem Platform Service mit SSL/TLS abzusichern (HTTPS).
In DocuWare Cloud erfolgt dies automatisch.
Kunden von einem lokal installierten DocuWare System müssen im IIS Manager folgende Schritte vollziehen, um die DocuWare-Komponenten für HTTPS (SSL/TLS) zu konfigurieren:
Zertifikat bzw. Zertifikate einspielen ("Serverzertifikate", Aktion "Importieren")
Bindung der Website anpassen und über SSL/TLS erreichbar machen
Ggf. die HTTP - Bindung aus Sicherheitsgründen entfernen (optional)