Pour accéder à votre système DocuWare depuis l'extérieur, par exemple via Internet, vous devez tenir compte des points suivants. Cela s'applique également si vous souhaitez utiliser des formulaires publics avec DocuWare Forms.
Ports requis : si vous configurez un accès externe à votre système DocuWare, seuls les ports du Web Client (par défaut le port 80 ou 443) doivent être autorisés dans le pare-feu de votre système DocuWare. De plus amples informations sur les ports sont disponibles dans la matrice « Communication serveur-serveur » du chapitre « Technologies de communication ».
HTTPS (TLS/SSL) : le Web Client DocuWare et les DocuWare Desktop Apps prennent en charge tous les protocoles HTTPS actuels. Pour configurer les composants web DocuWare pour HTTPS (TLS/SSL), vous devez effectuer les étapes suivantes dans le gestionnaire IIS :
Importer le ou les certificats (« certificat de serveur », action « Importer »)
Adapter la liaison du site web et le rendre accessible via TLS
Supprimer la liaison HTTP pour des raisons de sécurité
Si vous utilisez un certificat auto-signé, vous devez également vous assurer que votre centre de certification est défini en tant que centre de certification de confiance sur tous les clients. Pour ce faire, importez le certificat dans le magasin de certificats de tous les comptes d'ordinateurs et d'utilisateurs de votre domaine, par exemple à l'aide d'un objet de stratégie de groupe (GPO) de Microsoft.
Split DNS : pour pouvoir utiliser l'Identity Service de DocuWare, vous devez avoir configuré le Split DNS. C'est le seul moyen de résoudre le nom d'hôte vers une adresse IP dans le réseau interne et vers une autre adresse IP dans le réseau externe, et d'éviter les messages d'erreur de certificat.
Zone démilitarisée (DMZ) : les composants web DocuWare se connectent directement à la base de données. Il n'est donc pas recommandé d'installer le Platform Service DocuWare dans une DMZ, par exemple. Tous les composants, y compris les composants web, doivent être installés uniquement au sein du réseau local (LAN). Le serveur web dans la DMZ doit acheminer les requêtes en conséquence vers le serveur web interne, par exemple à l'aide d'Application Request Routing (ARR). De plus amples informations sur ARR sont disponibles dans la section Équilibrage de charge de l'installation du serveur DocuWare.
Protection des données sensibles en dehors de DocuWare : certaines données de DocuWare ne sont pas protégées et ne peuvent pas être sécurisées par les mécanismes de sécurité spécifiques de DocuWare. Il s'agit notamment des données d'index des documents et du plein texte extrait, qui sont stockés dans leurs bases de données respectives. Tout administrateur système disposant de privilèges suffisants pour consulter la base de données peut accéder à ces données. Le plein texte est également stocké dans un index séparé contrôlé par le Fulltext Server. Le Fulltext Server repose sur Apache SolR, un moteur de plein texte largement utilisé.
Si ces dépôts de données contiennent des données sensibles, l'accès aux bases de données, à l'emplacement de l'index et à l'URL du Fulltext Server — par défaut http://machinename:9012/solr — doit être restreint par l'administrateur à l'aide de méthodes courantes telles que les listes de contrôle d'accès pour les répertoires de fichiers ou les bases de données, ainsi qu'un système de fichiers chiffré transparent (EFS) pour l'utilisateur du plein texte.