DocuWare admite el OpenID Connect (OIDC) estándar para inicio de sesión único (SSO). Lea estas pautas para conectar DocuWare a un identity provider OIDC.
La mayoría de los identity providers profesionales son compatibles con OIDC. Pero como es un estándar abierto, la configuración será diferente dependiendo del identity provider.
Probablemente, necesitará configurar una aplicación dentro de su identity provider para conectarla a DocuWare. Para más información, póngase en contacto con su identity provider.
Conectarse a un identity provider con OPEN ID
Vaya a Configuración de DocuWare > General > Seguridad > Inicio de sesión único.
La siguiente captura de pantalla muestra el diálogo de configuración de SSO. Encuentre las explicaciones debajo.
.png)
Configurar la conexión de inicio de sesión único
Especifique la conexión entre el identity provider y DocuWare en la sección del diálogo Configurar conexión de inicio de sesión único.
DocuWare y el identity provider externo se comunican a través de URL: DocuWare se dirige al identity provider a través de la Issuer URL y recibe información a través de la Callback URL.
Obtendrá el Client ID y la Client Secret Key de su identity provider.
Asignación de atributos
Para permitir que los usuarios de DocuWare se autentifiquen a través de un identity provider externo, cada usuario debe ser identificado de forma única en ambos sistemas. Por consiguiente, DocuWare y el identity provider deben compartir un conjunto común de atributos de usuario.
Los términos para el «atributo» pueden variar
El término «atributos» no se define en el estándar OIDC, sino que su identity provider puede referirse a ellos como «claims», «propiedades» o algo similar. Los nombres de atributos también pueden variar, por ejemplo, el «nombre de usuario» de DocuWare podría aparecer como «ID de usuario» en el identity provider. Debido a estas diferencias, asegúrese de configurar y probar la asignación cuidadosamente.
Habilite la opción Vínculo automático de usuarios existentes al iniciar sesión para garantizar que la asignación de atributos funciona correctamente. Desactívela solo si está utilizando DocuWare User Synchronization 2 en una configuración no estándar.
Scopes
OIDC está construido en OAuth 2.0. Seleccione los scopes OAuth 2.0 que proporcionarán los atributos de las necesidades de DocuWare. En la mayoría de los casos, los scopes por defecto, openid y profile, son suficientes.
Si habilita Claims adicionales proporcionadas por el terminal UserInfo, DocuWare también recuperará cualquier atributo devuelto por ese terminal.
Usar el terminal UserInfo ralentiza el proceso de inicio de sesión, así que actívelo solo si los atributos requeridos no están disponibles en los scopes perfil o correo electrónico.
Correo electrónico
DocuWare usa la dirección de correo electrónico como clave principal para emparejar usuarios con el identity provider. Asegúrese de que cada usuario tiene una dirección de correo electrónico en ambos sistemas. En su identity provider, un atributo (por ejemplo, «correo electrónico») ya tiene este valor.
Introduzca el nombre exacto de ese atributo aquí para que DocuWare pueda recuperar la dirección y vincular al usuario externo al usuario de DocuWare correspondiente.
Nombre de usuario
Seleccione el atributo que DocuWare debe utilizar como nombre de usuario. Este valor debe identificar de forma única al usuario en el directorio externo y debe coincidir exactamente con el nombre de usuario de DocuWare existente.
ID externo
Si su identity provider proporciona un ID único para cada usuario, seleccione el atributo que contiene este valor. Un ID externo dedicado acelera el proceso de asignación y aumenta la seguridad.
Si no existe un ID separado, elija cualquier otro atributo único para cada usuario, como la dirección de correo electrónico, el nombre de usuario o el ID de usuario.
ID de proveedor externo
Especifique un identificador único en la instancia del identity provider. Esto es necesario solo cuando se operan varias instancias del mismo proveedor.
Prueba
Haga clic en el botón Probar para verificar la conexión SSO. Ejecute siempre esta prueba después de guardar los cambios.
Forzar inicio de sesión único
Más información sobre cómo aplicar el inicio de sesión único.