DocuWare admite Microsoft Active Directory Federation Services como proveedor de identidad para inicios de sesión únicos. Aquí explicamos cómo conectar DocuWare a Active Directory Federation Services.
1. En Configuración de DocuWare en el área Configuración de organización > Seguridad, active la opción de inicio de sesión único.
2. Vaya al Administrador del servidor de AD FS.
3. Haga clic en Herramientas y Administración de AD FS
4. Vaya a Servicio > Puntos de conexión y localice el punto de conexión OpenId Connect Discovery.
5. Cambie a Configuración de DocuWare. Vaya a Configuración de organización > Seguridad > Activar inicio de sesión único > Configurar conexión de inicio de sesión único. Elija Microsoft Active Directory Federation services como proveedor de identidad en el primer menú desplegable.
6. En el campo de entrada URL de emisor, indique la dirección URL del punto de conexión OpenId Connect Discovery. Por ejemplo: Si el host de ADFS se encuentra en “https://myadfs.net” y el punto de conexión de descubrimiento es “/adfs/.well-known/openid-configuration”, debe introducir: https://myadfs.net/adfs/.well-known/openid-configuration
7. Vuelva a la configuración de AD FS y elija Grupos de aplicaciones.
8. Haga clic en Agregar grupo de aplicaciones... en la barra lateral derecha.
9. Elija un nombre y una descripción para el grupo de aplicaciones, por ejemplo “DocuWare”, seleccione la opción Aplicación de servidor accediendo a una API web y haga clic en Siguiente.
10. Se genera un identificador de cliente. Cópielo y vaya a DocuWare.
11. Pegue el identificador de cliente en el campo “Id. de cliente”, copie la dirección URL de devolución de llamada proporcionada, guarde la configuración y vaya a AD FS.
12. Vaya a la configuración de AD FS y pegue la dirección URL de devolución de llamada en el cuadro URI de redirección; a continuación, haga clic en Agregar. Haga clic en Siguiente.
13. En la ventana siguiente se le solicitará que seleccione las credenciales de la aplicación que no necesitamos. Puede elegir Generar un secreto compartido y continuar.
14. En la siguiente pantalla, aparecerá el cuadro del identificador. Copie el identificador de cliente que se proporcionó anteriormente y haga clic en Agregar. Es importante que sea exactamente igual. A continuación, haga clic en Siguiente.
15. En la pantalla siguiente, puede dejar la configuración predeterminada y hacer clic en Siguiente.
16. Seleccione la aplicación que acaba de crear. En la lista Ámbitos permitidos de la parte inferior, seleccione allatclaims, profile y openid. Haga clic en Siguiente.
17. Compruebe que todo esté bien configurado y termine de crear la aplicación.
18. Haga doble clic en el grupo de aplicaciones que acaba de crear. Se abrirá una ventana. Haga doble clic en DocuWare Web API.
19. En la nueva ventana, seleccione la ficha Reglas de transformación de emisión y añada una regla.
20. En la ventana que acaba de abrir, seleccione Enviar atributos LDAP como notificaciones en el menú desplegable Plantilla de regla de notificación. Haga clic en Siguiente.
21. Ahora elija el nombre de la regla de notificación, por ejemplo “DocuWare object guid rule”. Elija Active Directory en el menú desplegable Almacén de atributos. A continuación, en la tabla siguiente, escriba objectGUID en el campo Atributo LDAP y oid en el campo Tipo de notificación saliente.
22. Haga clic en Finalizar y aplique los cambios.
23. Después de guardar la configuración, los usuarios tienen la opción de iniciar sesión con un nombre de usuario y una contraseña de DocuWare o con un inicio de sesión único a través de Microsoft. El inicio de sesión con los datos de inicio de sesión de DocuWare no se puede desactivar en este momento.
Opción “Vínculo automático de usuarios existentes al iniciar sesión”
Si esta opción está activada, DocuWare busca un usuario de DocuWare que coincida con el nombre de usuario y la dirección de correo electrónico correspondientes la primera vez que un usuario se conecta con un inicio de sesión único. El nombre de usuario de DocuWare debe coincidir con la parte local (la primera parte antes de la @) y la dirección de correo electrónico de DocuWare debe coincidir con el nombre de usuario completo en Active Directory.
Solo cuando el nombre de usuario Y TAMBIÉN la dirección de correo electrónico coinciden, se pueden conectar la cuenta de usuario de Active Directory y la cuenta de usuario de DocuWare.
Ejemplo:
Nombre de usuario: peggy.jenkins@peters-engineering.net
Nombre de usuario de DocuWare: peggy.jenkins
Dirección de correo electrónico de DocuWare: peggy.jenkins@peters-engineering.net
No es necesario crear usuarios de DocuWare a través de la aplicación de sincronización de usuarios para utilizar el inicio de sesión único. Incluso si crea nuevos usuarios manualmente o los importa a través de una interfaz, la cuenta de usuario externa y la cuenta de DocuWare se sincronizan automáticamente.
En cuanto se asigna un usuario, el sistema será capaz de reconocerlo basándose en un ID de objeto externo. Esto significa que, aunque la dirección de correo electrónico y/o el nombre de usuario ya no coincidan, se podrá reconocer al usuario.
Configuración de seguridad para cerrar la sesión con el inicio de sesión único
En Azure Active Directory, hay algunas configuraciones predeterminadas que los clientes de DocuWare o sus administradores podrían no tener en cuenta.
Configuración predeterminada para la persistencia de las sesiones del navegador
Cuando se habilita la persistencia de la sesión del navegador, los usuarios pueden elegir en sus dispositivos personales si desean continuar con la sesión después de una autenticación correcta respondiendo a la pregunta “¿Quiere mantener la sesión iniciada?”. Cuando los usuarios confirman la opción, ya no es posible simplemente cerrar la sesión de una aplicación. El token de inicio de sesión único no se anula ni se suprime, y sigue siendo válido para otras aplicaciones.
Esto plantea un riesgo para la seguridad: por ejemplo, si inicia sesión y la cierra en un cibercafé mediante el inicio de sesión único en DocuWare Cloud, seguirá conectado a Microsoft. El siguiente usuario del equipo podría acceder a todos los sistemas conectados.
Configuración predeterminada para el periodo de validez de los tokens
El riesgo se agrava por el hecho de que los tokens para la opción Mantener la sesión iniciada son válidos durante 90 días de forma predeterminada para los dispositivos (si no se cambia la configuración por defecto). En el caso de las aplicaciones, la validez es de hasta 180 días (dependiendo de los ajustes de configuración).
Por consiguiente, DocuWare recomienda tomar estas medidas:
Siga las directrices de Azure Active Directory para el acceso condicional con el fin de controlar la duración de los tokens de sesión.
En Azure Active Directory, defina la opción de frecuencia de inicio de sesión para DocuWare.
Desactive la opción de sesiones persistentes del navegador.
Desmarque la opción Mantener la sesión iniciada en el cuadro de diálogo de inicio de sesión de Microsoft
Encontrará información sobre estas medidas en la sección siguiente.
Notas sobre la configuración de los ajustes de seguridad del cierre de sesión
Microsoft ha documentado ampliamente la persistencia de las sesiones del navegador.
Resumen:
"Acceso condicional" describe el concepto de las políticas de inicio de sesión en Azure Active Directory. Las políticas se pueden utilizar para configurar la validez de un token.
Por ejemplo, un token se compone de una cuenta, un cliente (dispositivo) y un recurso. En lugar de configurar el periodo de validez del token, utilice políticas para definir la frecuencia de inicio de sesión, es decir, los intervalos de tiempo en los que los usuarios deben volver a autenticarse cuando se utiliza un recurso específico. En el caso de las aplicaciones más importantes, los usuarios necesitan con frecuencia volver a iniciar sesión, mientras que los tokens de recursos menos importantes son válidos durante más tiempo.
Esta función se puede integrar en aplicaciones que implementan el protocolo OAUTH2 u OIDC.
Otro aspecto importante de este concepto de seguridad es la gestión de la funcionalidad "Mantener la sesión iniciada". Si bien la validez de sesión ampliada es útil para aplicaciones móviles o de gran volumen, no es adecuada para los casos de uso en que la funcionalidad del cliente se proporciona mediante una aplicación web.
Para evitar que las políticas de control de acceso descritas anteriormente se anulen con la configuración de "Mantener la sesión iniciada", es aconsejable desactivar esta funcionalidad estableciendo la configuración de la sesión persistente del navegador en "Nunca persistente".
Además, la opción de permanecer conectado puede eliminarse del cuadro de diálogo Iniciar sesión con Microsoft en la configuración de Agregar personalización de marca a la página de inicio de sesión de la organización.