DocuWare admite el OpenID Connect (OIDC) estándar para inicio de sesión único (SSO). Lea estas pautas para conectar DocuWare a un identity provider OIDC.
La mayoría de los identity providers profesionales son compatibles con OIDC. Pero como es un estándar abierto, la configuración será diferente dependiendo del identity provider.
Probablemente, necesitará configurar una aplicación dentro de su identity provider para conectarla a DocuWare. Para más información, póngase en contacto con su identity provider.
Conectarse a un identity provider con OPEN ID
Vaya a Configuración de DocuWare > General > Seguridad > Inicio de sesión único.
La siguiente captura de pantalla muestra el diálogo de configuración de SSO. Encuentre las explicaciones debajo.
.png)
Configurar la conexión de inicio de sesión único
Especifique la conexión entre el identity provider y DocuWare en la sección del diálogo Configurar conexión de inicio de sesión único.
DocuWare y el identity provider externo se comunican a través de URL: DocuWare se dirige al identity provider a través de la Issuer URL y recibe información a través de la Callback URL.
Obtendrá el Client ID y la Client Secret Key de su identity provider.
Asignación de atributos
Para permitir que los usuarios de DocuWare se autentifiquen a través de un identity provider externo, cada usuario debe ser identificado de forma única en ambos sistemas. Por consiguiente, DocuWare y el identity provider deben compartir un conjunto común de atributos de usuario.
Los términos para el «atributo» pueden variar
El término «atributos» no se define en el estándar OIDC, sino que su identity provider puede referirse a ellos como «claims», «propiedades» o algo similar. Los nombres de atributos también pueden variar, por ejemplo, el «nombre de usuario» de DocuWare podría aparecer como «ID de usuario» en el identity provider. Debido a estas diferencias, asegúrese de configurar y probar la asignación cuidadosamente.
Habilite la opción Vínculo automático de usuarios existentes al iniciar sesión para garantizar que la asignación de atributos funciona correctamente. Desactívela solo si está utilizando DocuWare User Synchronization 2 en una configuración no estándar.
Scopes
OIDC está construido en OAuth 2.0. Seleccione los scopes OAuth 2.0 que proporcionarán los atributos de las necesidades de DocuWare. En la mayoría de los casos, los scopes por defecto, openid y profile, son suficientes.
Si habilita Claims adicionales proporcionadas por el terminal UserInfo, DocuWare también recuperará cualquier atributo devuelto por ese terminal.
Usar el terminal UserInfo ralentiza el proceso de inicio de sesión, así que actívelo solo si los atributos requeridos no están disponibles en los scopes perfil o correo electrónico.
Correo electrónico
DocuWare usa la dirección de correo electrónico como clave principal para emparejar usuarios con el identity provider. Asegúrese de que cada usuario tiene una dirección de correo electrónico en ambos sistemas. En su identity provider, un atributo (por ejemplo, «correo electrónico») ya tiene este valor.
Introduzca el nombre exacto de ese atributo aquí para que DocuWare pueda recuperar la dirección y vincular al usuario externo al usuario de DocuWare correspondiente.
Nombre de usuario
Seleccione el atributo que DocuWare debe utilizar como nombre de usuario. Este valor debe identificar de forma única al usuario en el directorio externo y debe coincidir exactamente con el nombre de usuario de DocuWare existente.
ID externo
Si su identity provider proporciona un ID único para cada usuario, seleccione el atributo que contiene este valor. Un ID externo dedicado acelera el proceso de asignación y aumenta la seguridad.
Si no existe un ID separado, elija cualquier otro atributo único para cada usuario, como la dirección de correo electrónico, el nombre de usuario o el ID de usuario.
ID de proveedor externo
Especifique un identificador único en la instancia del identity provider. Esto es necesario solo cuando se operan varias instancias del mismo proveedor.
Prueba
Haga clic en el botón Probar para verificar la conexión SSO. Ejecute siempre esta prueba después de guardar los cambios.
Forzar inicio de sesión único
Esta configuración controla si los usuarios todavía pueden iniciar sesión con sus credenciales de DocuWare o deben autenticarse exclusivamente a través del identity provider externo (IdP).
Deshabilitado: los usuarios pueden elegir el método de nombre de usuario y contraseña de DocuWare o el identity provider externo.
Habilitado: todos los usuarios deben autenticarse a través del identity provider externo. Las credenciales de DocuWare están bloqueadas a menos que el usuario o el rol se agreguen a la lista de exclusión. Los administradores pueden utilizar esta lista para permitir que cuentas específicas eludan SSO.
Nota: Pruebe la configuración de SSO a fondo antes de aplicarla. Si la conexión falla, todos los usuarios, incluidos los administradores de la organización, podrían bloquearse.
Guía práctica para una implementación segura de forzar un inicio de sesión único
Cuando usted, como administrador, configure el inicio de sesión único (SSO) en DocuWare, tendrá dos opciones para implementar la función para los usuarios:
SSO opcional: los usuarios pueden iniciar sesión con su cuenta y contraseña de DocuWare o mediante SSO.
SSO forzado: habilite Forzar autenticación de inicio de sesión único para todos los usuarios. Los usuarios deben autenticarse a través del identity provider externo (IdP) a menos que pertenezcan a una lista de exclusión.
Siga los tres pasos siguientes para activar el SSO forzado:
Paso 1: activar y probar SSO
1. En Configuración de DocuWare > Seguridad, configure su identity provider. Pero deje «SSO forzado» desmarcado por ahora.
2. Pida a varios usuarios internos que inicien sesión a través de SSO para confirmar la configuración.
3. Si importa usuarios con la sincronización de usuario de DocuWare o la provisión de usuarios, verifique que estas cuentas también pueden iniciar sesión a través de SSO.
4. Asegúrese de que todos los administradores de la organización puedan autenticarse a través de SSO. Tenga en cuenta al menos un administrador para la lista de exclusión (ver Paso 2).
Paso 2: identificar cuentas para excluir
Las cuentas típicas para las exclusiones son
• Usuarios externos (por ejemplo: socios o clientes) no gestionados por IdP
• Cuentas de servicio utilizadas por aplicaciones externas
• Cuentas ejecutando trabajos de DocuWare internos (no es necesario desde la versión 7.13 en adelante)
• Cualquier otra cuenta que deba estar basada en contraseña (por ejemplo, sin acceso a internet)
Cómo encontrarlos:
1. Vaya a Configuración de DocuWare > Gestión de usuarios y haga clic en Exportar usuarios como CSV.
2. Abra el archivo en Excel y busque dominios de correo electrónico fuera de su empresa; es probable que sean usuarios externos.
3. Revisar integraciones y flujos de trabajo para localizar cuentas de servicio.
Paso 3: implementar SSO forzado
1. Habilite la autenticación de inicio de sesión único para todos los usuarios.
2. Añada todos los usuarios o roles a la lista de exclusión para que nadie quede excluido.
3. En los próximos días o semanas, elimine las exclusiones en etapas y confirme que cada grupo puede iniciar sesión a través de SSO.
4. Cuando termine, deje solo las cuentas identificadas en el paso 2 en la lista de exclusión.
5. Mantenga al menos una cuenta de administrador excluida como red de seguridad.
Compruebe la conexión SSO siempre tras cualquier cambio. Si el IdP no está disponible y no existen exclusiones, todos los usuarios, incluidos los administradores, podrían bloquearse.