Paramètres de sécurité pour l'organisation DocuWare

Cet article fournit des informations sur la zone Configuration de DocuWare > Sécurité.

Dans cette section, vous définissez les paramètres de sécurité de votre organisation DocuWare. Chaque paramètre a un statut de Activé ou Désactivé. Si un paramètre est Activé, il peut augmenter la sécurité de votre organisation.

Sécurité de connexion

Politique de mot de passe

Une politique de mot de passe empêche les utilisateurs d'utiliser des mots de passe non sécurisés.

Spécifiez les exigences minimales pour les mots de passe de tous les utilisateurs :

Longueur minimum du mot de passe
Caractères requis
Période de validité du mot de passe
Temps de notification avant l'expiration du mot de passe
Nombre maximum de connexions échouées
Durée pendant laquelle un compte est verrouillé après le nombre maximum de connexions échouées

Lisez la note sur la nouvelle politique de mot de passe, qui est activée par défaut pour toutes les nouvelles organisations DocuWare créées à partir de la version 7.12 et suivantes. La politique de mot de passe par défaut ne s'applique pas aux organisations créées avant la version 7.12.

Vérification en deux étapes

Avec Docuware 7.13 et les versions ultérieures, les administrateurs DocuWare peuvent activer et désactiver la vérification en deux étapes pour TOUS les utilisateurs de l'organisation.

Vérification en deux étapes activée :

Tous les utilisateurs ont la possibilité de configurer la vérification en deux étapes pour leur compte individuel. C'est ce qu'on appelle le modèle d'acceptation.

Configuration utilisateur : chaque utilisateur peut activer la vérification en deux étapes dans son profil DocuWare : DocuWare Web Client > Profil & Paramètres > onglet Sécurité. Les utilisateurs devront également utiliser une application d'authentification - voir le point suivant.
Application d'authentification : pour vous connecter à Docuware avec une vérification en deux étapes, les utilisateurs auront besoin d'une application d'authentification compatible TOTP sur leur appareil mobile. DocuWare prend en charge une gamme d'applications d'authentification largement utilisées, y compris Microsoft Authenticator, Google Authenticator et Duo Mobile.
Comment fonctionne un mot de passe à usage unique
Un mot de passe à usage unique (OTP) est un code numérique ou alphanumérique qui ne peut être utilisé qu'une seule fois pour vérifier l'identité d'un utilisateur. Contrairement à un mot de passe statique, un OTP est généré à la demande, généralement par une application d'authentification ou un jeton matériel, à l'aide d'une clé secrète partagée avec DocuWare. La variante la plus courante, le mot de passe temporel à usage unique (TOPT) combine ce secret avec l'heure actuelle pour produire un code à six chiffres qui change toutes les 30 secondes. Puisque chaque code n'est valide que pour un bref intervalle et que le secret ne quitte jamais l'appareil de l'utilisateur, Les PTOT réduisent considérablement les risques d'attaques de relecture, de vol de certificats et d'hameçonnage. Lorsqu'un utilisateur entre l'OTP pendant la connexion, DocuWare exécute le même algorithme et la même référence de temps pour vérifier le code ; si elles correspondent, l'accès est accordé.

Aucune application : DocuWare ne fournit pas d'option pour appliquer la vérification en deux étapes à tous les utilisateurs d'une organisation.
Suivi de la vérification à deux facteurs
- Vérifiez quels utilisateurs utilisent la configuration à deux facteurs. Passez à Configuration Docuware > Général > Gestion des utilisateurs > Utilisateurs. Pour les utilisateurs qui ont configuré la vérification en deux étapes, l'option 2SV a été activée.
- Suivez la connexion d'un utilisateur spécifique à un moment défini dans Configuration DocuWare > Rapports d'audit.

Vérification en deux étapes désactivée :

Lorsque la vérification en deux étapes est désactivée, les utilisateurs ne peuvent plus se connecter avec une vérification en deux étapes ; seul le nom d'utilisateur et le mot de passe sont requis. DocuWare n'envoie aucune notification automatique, de sorte que les utilisateurs remarqueront simplement que le deuxième facteur n'est plus demandé.

Si l'administrateur réactive plus tard la vérification en deux étapes, chaque utilisateur doit configurer l'application d'authentification à partir de zéro, à nouveau sans aucun message système.

Un changement soudain de ce paramètre est donc source de confusion et d'appels d'assistance inutiles. Désactivez-le uniquement lorsque cela est absolument nécessaire et informez les utilisateurs à l'avance.

Que faire si l'utilisateur a perdu son téléphone portable ?

Si le téléphone portable d'un utilisateur de DocuWare est perdu, il n'est pas possible de se connecter à DocuWare. Dans ce cas, l'administrateur DocuWare peut désactiver la vérification en deux étapes dans Configuration DocuWare > Gestion des utilisateurs afin que l'utilisateur puisse se connecter à DocuWare avec le nom d'utilisateur et le mot de passe.

Expiration de la session

En cas d'inactivité, un utilisateur peut être déconnecté automatiquement de DocuWare Client et de la Configuration DocuWare. Si aucune entrée n'est faite dans un certain temps, l'utilisateur reçoit d'abord une notification avec un message approprié avant d'être déconnecté et redirigé vers la fenêtre de connexion.

Si le délai d'attente est dépassé, l'utilisateur est déconnecté de toutes les fenêtres du navigateur DocuWare Client et de la configuration DocuWare. En cliquant n'importe où dans un onglet du navigateur, le compte à rebours est réinitialisé. Les activités automatiques du client DocuWare telles que les notifications ne réinitialisent pas la minuterie. Les modifications non enregistrées sont perdues lorsque vous vous déconnectez.

Ce paramètre s'applique à tous les utilisateurs de l'organisation.

Dans DocuWare Forms, la déconnexion automatique ne prend effet que pour les formulaires non publics. Les formulaires publics ne nécessitent pas de connexion réelle et sont donc exemptés du délai.

Authentification unique

L'authentification unique (SSO) permet aux utilisateurs d'accéder à DocuWare en utilisant leurs identifiants d'entreprise, de sorte qu'ils n'ont pas besoin de mémoriser les noms d'utilisateur et mots de passe distincts DocuWare. Cette fonctionnalité simplifie l'expérience de connexion et peut améliorer la sécurité en utilisant les méthodes d'authentification du fournisseur d'identité de l'entreprise, telles que l'authentification à deux facteurs.

Pour activer l'authentification unique dans DocuWare, vous devez intégrer votre organisation DocuWare avec un fournisseur d'identité externe. Vous devez avoir accès au fournisseur d'identité pour effectuer l'intégration.

La boîte de dialogue de configuration SSO a légèrement changé avec DocuWare 7.13. En outre, un bouton Test a été ajouté. Si vous utilisez la version 7.12 inférieure de DocuWare, vous remarquerez peut-être que certains éléments sont situés à différents endroits et que vous ne pouvez pas tester votre configuration avant de l'enregistrer. Les options de configuration elles-mêmes n'ont cependant pas changé.

DocuWare prend en charge plusieurs types de fournisseurs d'identité - voir ci-dessous. Chaque organisation DocuWare peut se connecter à un seul fournisseur d’identité externe.

Microsoft Entra ID

Microsoft Entra ID, anciennement appelé Azure Active Directory, est une solution complète de gestion d'identité et d'accès qui fournit un accès sécurisé aux applications et aux ressources pour les organisations de toutes tailles.

En savoir plus sur comment configurer SSO avec Microsoft Entra ID comme fournisseur d'identité externe.

Open ID Connect (OIDC)

OpenID Connect (OIDC) est un standard ouvert largement utilisé pour l'implémentation de l'authentification unique (SSO) entre différentes applications et services. La plupart des fournisseurs d’identité professionnels prennent en charge OIDC.

En savoir plus sur l'utilisation d'un fournisseur d'identité externe compatible OIDC.
En savoir plus sur une configuration d'exemple en utilisant Okta.

Microsoft Active Directory Federation Services (ADFS)

Microsoft Active Directory Federation Services (AD FS) est une solution d'authentification unique (SSO) qui permet aux organisations de fournir un accès authentifié aux applications et aux systèmes au-delà des frontières organisationnelles.

Remarque : Microsoft recommande d'utiliser Microsoft Entra ID au lieu d'ADFS (source) et pourrait déprécier cette fonctionnalité dans le futur.

En savoir plus sur comment configurer SSO avec Microsoft Active Directory Federation comme fournisseur d'identité externe

Restreindre l'accès public

Dans DocuWare 7.11 et inférieur, cette section a été désignée comme Connexion Invité. Dans la version 7.12 de DocuWare, elle a été mise à jour en Restreindre l'accès public.

La connexion invité permet à tous ceux qui ont un accès réseau à votre organisation (l'« invité ») d'accéder à DocuWare sans fournir d'identifiants. La permissions accordée à l'utilisateur invité s'aligne sur celles de l'utilisateur DocuWare désigné comme invité. En fonction de ces autorisations, les « invités » pourraient gravement nuire à votre système.

Si vous désactivez Restreindre l'accès public, vous pouvez définir l'option utilisateur invité, qui apparaîtra sur la page de connexion de DocuWare.

Risque
Si vous désactivez la restriction d'accès public, vous mettez votre système DocuWare à la disposition des utilisateurs externes qui ne vérifient pas leur identité à l'aide d'un nom d'utilisateur et d'un mot de passe. Cela engendre un risque pour la sécurité. Considérez soigneusement si vous souhaitez désactiver ce paramètre de sécurité.

Types de fichier

Les types de fichiers saisis dans types de fichiers restreints sont bloqués pour l'archivage dans DocuWare. Activez l'une des listes pour bloquer les types de fichiers inclus ou créez une nouvelle liste. Les restrictions s'appliquent à toutes les armoires de l'organisation.

Les listes de types de fichiers restreints sont également disponibles sous forme de liste d'autorisation et de liste de blocage pour la configuration du texte intégral.

Connexions externes

Localisations d'URL externes sécurisées

Cette fonctionnalité améliore la sécurité des URL stockées en tant que données d'index dans les documents. Cela permet de s'assurer que les URL ne soient cliquables que si elles sont dirigées vers des emplacements préapprouvés et sécurisés, atténuant ainsi le risque d'URL malveillantes qui auraient pu être incorporées avant le stockage du document dans DocuWare.

Pour marquer un emplacement comme sécurisé, il doit être ajouté à cette liste d'autorisations. Ajoutez ici tous les domaines ou URL pertinents, sans « https://». Une fois qu'un domaine est intégré dans cette liste d'autorisations, tous ses sous-domaines et pages associés sont également considérés comme sécurisés par défaut.

Intégration de portail

Avec DocuWare 7.13, la section Intégration de portail (anciennement dans « Passerelle centrale ») est intégrée dans Configuration DocuWare > Sécurité.

La section Intégration de portail n'est visible que pour les administrateurs d'organisation DocuWare Cloud.

Seuls les domaines que vous ajoutez ici pourront accéder aux ressources DocuWare de votre organisation. Par exemple, si une boîte de dialogue de recherche DocuWare doit être intégrée à votre portail Web afin que les clients puissent rechercher des documents dans DocuWare, le domaine de votre portail Web doit être ajouté ici. Si un domaine n'est pas répertorié ici, son portail Web ne pourra pas intégrer ces éléments tels que des formulaires, des listes de résultats, des boîtes de dialogue et autres.

Vous trouverez plus de détails sur l’intégration d’URL dans Introduction à l'intégration d’URL.

Entrez les domaines sous la forme « https://sousdomaine.siteweb.com » ou « http://sousdomaine.siteweb.com ».

Contrôle d'accès par IP

Avec DocuWare 7.13, la section Contrôle d'accès par IP (anciennement dans « Passerelle centrale ») est intégrée dans Configuration DocuWare > Sécurité.

La section Contrôle d'accès par IP n'est visible que pour les administrateurs d'organisation DocuWare Cloud.

Les utilisateurs ne peuvent accéder à une organisation DocuWare Cloud que via les adresses IP saisies dans la passerelle centrale. Cela permet par exemple aux organisations de contrôler quels appareils peuvent accéder à leurs services, empêchant ainsi l'accès non autorisé.

Entrez des adresses IP ou des plages d'adresses IP spécifiques à partir desquelles les services DocuWare Cloud doivent être accessibles. Par exemple, vous pouvez restreindre l'accès afin que seuls les employés se connectant depuis votre réseau d'entreprise puissent utiliser DocuWare.

Tant qu'aucune adresse IP n'est listée ici, toutes les adresses IP ont accès à l'organisation DocuWare Cloud.

Cependant, si une adresse IP est saisie, le contrôle d'accès prend effet et seules les adresses spécifiées ici ont accès à l'organisation Cloud.

DocuWare ne prend actuellement en charge Internet Protocol Version 4 (IPv4).

Le contrôle des domaines et des adresses IP réduit les risques d'une attaque en s'assurant que seul le trafic de données souhaité entre sur le réseau. La sécurité est améliorée en empêchant les sites Web non autorisés ou malveillants de faire des demandes au nom de vos utilisateurs.