.png)
Bei einem externen Zugriff auf Ihr DocuWare System über das Internet sollten Sie die im Folgenden erläuterten Punkte beachten. Das gilt auch, wenn Sie mit DocuWare Forms öffentliche Formulare verwenden möchten.
Benötigte Ports: Sofern Sie einen externen Zugriff auf Ihr DocuWare System einrichten, müssen in der Firewall Ihres DocuWare Systems nur die Ports der Webdienste (standardmäßig Port 80 bzw.443) freigegeben werden. Weitere Angaben zu Ports finden Sie in der Matrix "Server-Server-Kommunikation" im Kapitel "Kommunikationstechnologien".
HTTPS (TLS/SSL): Um einem Angriff von außen und damit dem unautorisierten Abgriff von Daten vorzubeugen, sichern Sie die Kommunikation per HTTP zwischen den webbasierten Client-Anwendungen und dem Platform Service mit SSL/TLS ab (HTTPS). Der DocuWare Web Client und die DocuWare Desktop Apps unterstützen durchgängig HTTPS. Um die DocuWare Web-Komponenten für HTTPS (TLS/SSL) zu konfigurieren, müssen Sie im IIS Manager folgende Schritte vollziehen:
Zertifikat bzw. Zertifikate einspielen ("Serverzertifikate", Aktion "Importieren")
Bindung der Website anpassen und über TLS erreichbar machen
Die HTTP-Bindung aus Sicherheitsgründen entfernen
Wenn Sie ein selbstsigniertes Zertifikat verwenden, müssen Sie zudem sicherstellen, dass Ihre Zertifizierungsstelle auf allen Clients als vertrauenswürdige Stammzertifizierungsstelle definiert ist. Importieren Sie dafür zum Beispiel mittels Group Policy Object (GPO) von Microsoft das Zertifikat in den Zertifikatsspeicher aller Computer- und Benutzerkonten Ihrer Domäne.
Split DNS: Um den Identity Service von DocuWare nutzen zu können, müssen Sie Split DNS eingerichtet haben. Nur damit kann der Hostname zu einer IP-Adresse im internen Netz und einer anderen IP-Adresse im externen Netz aufgelöst werden und Sie erhalten keine Zertifikatsfehlermeldung.
Demilitarized Zone (DMZ): Die Web-Komponenten von DocuWare verbinden sich direkt mit der Datenbank. Daher ist eine Installation zum Beispiel des DocuWare Platform Service in einer DMZ nicht empfehlenswert. Alle Komponenten einschließlich der Web-Komponenten sollten nur innerhalb des LAN installiert werden. Der Web Service in der DMZ sollte beispielsweise mittels Application Request Routing (ARR) die Anfragen entsprechend an den internen Web Service umleiten. Weitere Informationen zu ARR finden Sie im Abschnitt Lastverteilung.
Sensible Daten außerhalb von DocuWare schützen: Bestimmte für DocuWare relevante Daten lassen sich nicht mit DocuWare Sicherheitsmaßnahmen schützen. Dazu gehören die Indexdaten zu den Dokumenten und der extrahierte Volltext, die in den jeweiligen Datenbanken abgelegt werden. Jeder Systemadministrator mit ausreichenden Rechten kann diese Daten einsehen. Zudem ist der Volltext in einem separaten Index gespeichert. Dieser wird vom Volltext Server gesteuert.
Wenn in diesen Daten sensible Informationen enthalten sind, muss der Zugriff zu den Datenbanken, zum Speicherort vom Volltextindex sowie der Zugang zum Volltext Server – die URL ist standardmäßig http://machinename:9012/solrt - vom Administrator mit den allgemein üblichen Maßnahmen geschützt werden, wie beispielsweise Access Control Lists für Dateiverzeichnisse oder Datenbanken sowie einer transparenten FileSystem-Verschlüsselung (EFS) für den Volltext-User.