L'accès au système DocuWare et aux archives est protégé par une procédure de connexion et par un échange sécurisé des données entre les composants.
L'authentification contrôle et vérifie l'identité de l'utilisateur qui se connecte. Cela s'applique également aux composants informatiques ou aux applications qui doivent accéder au système DocuWare.
Pour plus d'informations sur la configuration d'un système DocuWare installé en local, consultez la catégorie DocuWare sur site.
Pour plus d'informations sur la configuration de DocuWare Cloud, consultez le livre blanc DocuWare Cloud.
Méthodes de connexion
L'utilisation de DocuWare nécessite toujours de se connecter d'abord au DocuWare Identity Service. En tant que service central, il est chargé de la connexion à DocuWare pour toutes les organisations au sein de DocuWare. L'utilisateur doit s'identifier comme autorisé par son nom et son mot de passe.
L'Identity Service permet l'authentification par authentification unique (SSO). Le client se connecte au fournisseur externe, qui génère à son tour un jeton pour le DocuWare Identity Service. Ce jeton est stocké dans le navigateur jusqu'à son expiration ou jusqu'à ce que le cache du navigateur soit vidé. Lorsque le jeton expire, le client doit se reconnecter pour en obtenir un nouveau.
La communication entre les composants est chiffrée via HTTPS.
Il est également possible d'imposer l'authentification unique. Les utilisateurs n'ont alors plus la possibilité de saisir manuellement les données de connexion. En imposant le SSO dans DocuWare, l'authentification multifacteur (MFA) peut également être imposée indirectement, à condition que la MFA soit configurée au niveau du fournisseur d'identité.
Mots de passe
En plus des mots de passe des utilisateurs DocuWare, le mot de passe du serveur de base de données et celui du serveur de messagerie sont stockés de manière cryptographiquement sécurisée, de sorte que seuls les composants du serveur peuvent les déchiffrer. L'objectif est de garantir leur sécurité, même si certains utilisateurs ont accès à la base de données, par exemple des opérateurs de sauvegarde.
Mise en œuvre technique
L'algorithme PBKDF2 (Password-Based Key Derivation Function 2) est utilisé pour le chiffrement des mots de passe. Une fonction de hachage est appliquée au mot de passe avec une valeur de sel. La combinaison avec une valeur aléatoire ne produit pas la même valeur de hachage, même avec deux mots de passe identiques. La fonction est ensuite appliquée plusieurs milliers de fois au résultat. Cette procédure rend difficile pour les pirates de déduire le mot de passe d'origine de la valeur hachée à l'aide d'attaques par force brute.
Paramètres du mot de passe
La complexité des mots de passe au sein de l'organisation peut être spécifiée dans les paramètres de sécurité de l'organisation (jusqu'à la version 7.11 incluse : dans les paramètres de l'organisation dans DocuWare Configuration). Par exemple, les mots de passe doivent alors comporter au moins une lettre majuscule, une lettre minuscule, un chiffre et/ou un caractère spécial. En outre, vous pouvez définir la longueur minimale du mot de passe, le nombre de jours pendant lesquels il reste valide et le nombre de saisies incorrectes possibles avant que le compte utilisateur ne soit verrouillé.
Il est recommandé de définir une longueur minimale de 14 caractères pour les mots de passe ainsi que des jeux de caractères différents. L'utilisation de mots de passe générés aléatoirement renforce également la sécurité.
À partir de la version 7.12 de DocuWare, une politique de mot de passe à l'échelle de l'entreprise est mise en place pour les nouvelles organisations, ce qui empêche les utilisateurs d'utiliser des mots de passe non sécurisés.
L'administrateur de l'organisation peut désactiver à nouveau la limite de durée du mot de passe pour des utilisateurs spécifiques dans la zone de gestion des utilisateurs. Cela est particulièrement utile lorsque des services doivent se connecter à un serveur en tant qu'utilisateurs.
Si un utilisateur oublie son mot de passe, il peut demander un nouveau mot de passe généré automatiquement et envoyé par e-mail via un lien dans la boîte de dialogue de connexion du Web Client. L'utilisateur peut alors s'en servir pour se connecter au Web Client et définir un nouveau mot de passe personnel.
Les utilisateurs, y compris l'administrateur de l'organisation, ne peuvent pas réinitialiser le mot de passe d'autres utilisateurs. Les utilisateurs en haute sécurité doivent restaurer leur mot de passe par eux-mêmes.
Communication entre les composants
Pour empêcher toute attaque externe et tout accès non autorisé aux données, il est important de sécuriser la communication entre les applications client web et le service de plateforme à l'aide de SSL/TLS (HTTPS).
Dans DocuWare Cloud, cela se fait automatiquement.
Si vous utilisez un système DocuWare installé en local, vous devez effectuer les étapes suivantes dans le gestionnaire IIS pour configurer les composants Web DocuWare pour HTTPS (SSL/TLS) :
Importez le ou les certificats (« certificat de serveur », action « Importer »).
Adaptez la liaison du site web et rendez-la accessible via SSL/TLS.
Si nécessaire, supprimez la liaison HTTP pour des raisons de sécurité (facultatif).