Cet article fournit des informations sur la zone Configuration de DocuWare > Sécurité.
Dans cette section, vous définissez les paramètres de sécurité de votre organisation DocuWare. Chaque paramètre a un statut de Activé ou Désactivé. Si un paramètre est Activé, il peut augmenter la sécurité de votre organisation.
Sécurité de connexion
Politique de mot de passe
Une politique de mot de passe empêche les utilisateurs d'utiliser des mots de passe non sécurisés.
Spécifiez les exigences minimales pour les mots de passe de tous les utilisateurs :
Longueur minimum du mot de passe
Caractères requis
Période de validité du mot de passe
Temps de notification avant l'expiration du mot de passe
Nombre maximum de connexions échouées
Durée pendant laquelle un compte est verrouillé après le nombre maximum de connexions échouées
Lisez la note sur la politique de mot de passe (en anglais), qui est activée par défaut pour toutes les nouvelles organisations DocuWare créées à partir de la version 7.12 et suivantes. La politique de mot de passe par défaut ne s'applique pas aux organisations créées avant la version 7.12.
Vérification en deux étapes
Avec Docuware 7.13 et les versions ultérieures, les administrateurs DocuWare peuvent activer et désactiver la vérification en deux étapes pour TOUS les utilisateurs de l'organisation.
Vérification en deux étapes activée :
Tous les utilisateurs ont la possibilité de configurer la vérification en deux étapes pour leur compte individuel. C'est ce qu'on appelle le modèle d'acceptation.
Configuration utilisateur : chaque utilisateur peut activer la vérification en deux étapes dans son profil DocuWare : DocuWare Web Client > Profil & Paramètres > onglet Sécurité. Les utilisateurs devront également utiliser une application d'authentification - voir le point suivant.
Application d'authentification : pour vous connecter à Docuware avec une vérification en deux étapes, les utilisateurs auront besoin d'une application d'authentification compatible TOTP sur leur appareil mobile. DocuWare prend en charge une gamme d'applications d'authentification largement utilisées, y compris Microsoft Authenticator, Google Authenticator et Duo Mobile.
Comment fonctionne un mot de passe à usage unique
Un mot de passe à usage unique (OTP) est un code numérique ou alphanumérique qui ne peut être utilisé qu'une seule fois pour vérifier l'identité d'un utilisateur. Contrairement à un mot de passe statique, un OTP est généré à la demande, généralement par une application d'authentification ou un jeton matériel, à l'aide d'une clé secrète partagée avec DocuWare. La variante la plus courante, le mot de passe temporel à usage unique (TOPT) combine ce secret avec l'heure actuelle pour produire un code à six chiffres qui change toutes les 30 secondes. Puisque chaque code n'est valide que pour un bref intervalle et que le secret ne quitte jamais l'appareil de l'utilisateur, Les PTOT réduisent considérablement les risques d'attaques de relecture, de vol de certificats et d'hameçonnage. Lorsqu'un utilisateur entre l'OTP pendant la connexion, DocuWare exécute le même algorithme et la même référence de temps pour vérifier le code ; si elles correspondent, l'accès est accordé.
Aucune application : DocuWare ne fournit pas d'option pour appliquer la vérification en deux étapes à tous les utilisateurs d'une organisation.
Suivi de la vérification à deux facteurs
Vérifiez quels utilisateurs utilisent la configuration à deux facteurs. Passez à Configuration Docuware > Général > Gestion des utilisateurs > Utilisateurs. Pour les utilisateurs qui ont configuré la vérification en deux étapes, l'option 2SV a été activée.
Suivez la connexion d'un utilisateur spécifique à un moment défini dans Configuration DocuWare > Rapports d'audit.
Vérification en deux étapes désactivée :
Lorsque la vérification en deux étapes est désactivée, les utilisateurs ne peuvent plus se connecter avec une vérification en deux étapes ; seul le nom d'utilisateur et le mot de passe sont requis. DocuWare n'envoie aucune notification automatique, de sorte que les utilisateurs remarqueront simplement que le deuxième facteur n'est plus demandé.
Si l'administrateur réactive plus tard la vérification en deux étapes, chaque utilisateur doit configurer l'application d'authentification à partir de zéro, à nouveau sans aucun message système.
Un changement soudain de ce paramètre est donc source de confusion et d'appels d'assistance inutiles. Désactivez-le uniquement lorsque cela est absolument nécessaire et informez les utilisateurs à l'avance.
Que faire si l'utilisateur a perdu son téléphone portable ?
Si le téléphone portable d'un utilisateur de DocuWare est perdu, il n'est pas possible de se connecter à DocuWare. Dans ce cas, l'administrateur DocuWare peut désactiver la vérification en deux étapes dans Configuration DocuWare > Gestion des utilisateurs afin que l'utilisateur puisse se connecter à DocuWare avec le nom d'utilisateur et le mot de passe.
Expiration de la session
En cas d'inactivité, un utilisateur peut être déconnecté automatiquement de DocuWare Client et de la Configuration DocuWare. Si aucune entrée n'est faite dans un certain temps, l'utilisateur reçoit d'abord une notification avec un message approprié avant d'être déconnecté et redirigé vers la fenêtre de connexion.
Si le délai d'attente est dépassé, l'utilisateur est déconnecté de toutes les fenêtres du navigateur DocuWare Client et de la configuration DocuWare. En cliquant n'importe où dans un onglet du navigateur, le compte à rebours est réinitialisé. Les activités automatiques du client DocuWare telles que les notifications ne réinitialisent pas la minuterie. Les modifications non enregistrées sont perdues lorsque vous vous déconnectez.
Ce paramètre s'applique à tous les utilisateurs de l'organisation.
Dans DocuWare Forms, la déconnexion automatique ne prend effet que pour les formulaires non publics. Les formulaires publics ne nécessitent pas de connexion réelle et sont donc exemptés du délai.
Authentification unique
L'authentification unique (SSO) permet aux utilisateurs d'accéder à DocuWare en utilisant leurs identifiants d'entreprise, de sorte qu'ils n'ont pas besoin de mémoriser les noms d'utilisateur et mots de passe distincts DocuWare. Cette fonctionnalité simplifie l'expérience de connexion et peut améliorer la sécurité en utilisant les méthodes d'authentification du fournisseur d'identité de l'entreprise, telles que l'authentification à deux facteurs.
Pour activer l'authentification unique dans DocuWare, vous devez intégrer votre organisation DocuWare avec un fournisseur d'identité externe. Vous devez avoir accès au fournisseur d'identité pour effectuer l'intégration.
La boîte de dialogue de configuration SSO a légèrement changé avec DocuWare 7.13. En outre, un bouton Test a été ajouté. Si vous utilisez la version 7.12 inférieure de DocuWare, vous remarquerez peut-être que certains éléments sont situés à différents endroits et que vous ne pouvez pas tester votre configuration avant de l'enregistrer. Les options de configuration elles-mêmes n'ont cependant pas changé.
DocuWare prend en charge plusieurs types de fournisseurs d'identité - voir ci-dessous. Chaque organisation DocuWare peut se connecter à un seul fournisseur d’identité externe.
Microsoft Entra ID
Microsoft Entra ID, anciennement appelé Azure Active Directory, est une solution complète de gestion d'identité et d'accès qui fournit un accès sécurisé aux applications et aux ressources pour les organisations de toutes tailles.
Open ID Connect (OIDC)
OpenID Connect (OIDC) est un standard ouvert largement utilisé pour l'implémentation de l'authentification unique (SSO) entre différentes applications et services. La plupart des fournisseurs d’identité professionnels prennent en charge OIDC.
En savoir plus sur l'utilisation d'un fournisseur d'identité externe compatible OIDC.
En savoir plus sur une configuration d'exemple en utilisant Okta (en anglais).
Microsoft Active Directory Federation Services (ADFS)
Microsoft Active Directory Federation Services (AD FS) est une solution d'authentification unique (SSO) qui permet aux organisations de fournir un accès authentifié aux applications et aux systèmes au-delà des frontières organisationnelles.
Remarque : Microsoft recommande d'utiliser Microsoft Entra ID au lieu d'ADFS et pourrait déprécier cette fonctionnalité dans le futur.
En savoir plus sur comment configurer SSO avec Microsoft Active Directory Federation comme fournisseur d'identité externe (en anglais).
Forcer l'authentification unique
Ce paramètre contrôle si les utilisateurs peuvent toujours se connecter avec leurs identifiants DocuWare ou doivent s'authentifier exclusivement par l'intermédiaire de l'Identity Provider externe (IdP).
Désactivé : les utilisateurs peuvent choisir soit la méthode : le nom d'utilisateur/mot de passe DocuWare ou l'Identity Provider externe.
Activé : tous les utilisateurs doivent s'authentifier via l'Identity Provider externe. Les identifiants DocuWare sont bloqués à moins que l'utilisateur ou le rôle ne soit ajouté à la liste d'exclusion. Les administrateurs peuvent utiliser cette liste pour permettre à des comptes spécifiques de contourner le SSO.
Remarque : testez la configuration du SSO en profondeur avant de l'appliquer. Si la connexion échoue, tous les utilisateurs, y compris les administrateurs de l'organisation, pourraient être bloqués.
Guide pratique pour un déploiement sûr de « Forcer l'authentification unique »
Lorsque vous configurez l'authentification unique (SSO) dans DocuWare en tant qu'administrateur, vous avez deux options pour fournir la fonctionnalité aux utilisateurs :
SSO optionnel – Les utilisateurs peuvent se connecter avec leur nom d'utilisateur/mot de passe DocuWare ou via SSO.
SSO forcé − Activez Forcer l'authentification unique pour tous les utilisateurs.. Les utilisateurs doivent s'authentifier par l'intermédiaire de l'Identity Provider externe (IdP) à moins qu'ils n'appartiennent à une liste d'exclusion.
Suivez les trois étapes ci-dessous pour activer le SSO forcé :
Étape 1 – Activez SSO et testez-le
1. Dans Configuration DocuWare > Sécurité, configurez votre Identity Provider. Mais laissez « Forcer SSO» décoché pour le moment.
2. Demandez à plusieurs utilisateurs internes de se connecter via SSO pour confirmer la configuration.
3. Si vous importez des utilisateurs avec DocuWare User Sync ou User Provisioning, vérifiez que ces comptes peuvent également se connecter via SSO.
4. Veillez à ce que chaque administrateur de l'organisation puisse s'authentifier via SSO. Gardez à l'esprit au moins un administrateur pour la liste d'exclusion (voir Étape 2).
Étape 2 - Identifiez les comptes à exclure
Les comptes à exclure sont généralement
• Les utilisateurs externes (par exemple, partenaires ou clients) non gérés par l'IdP
• Les comptes de service utilisés par des applications externes
• Les comptes exécutant des tâches DocuWare internes (non requis depuis DocuWare 7.13)
• Tout autre compte qui doit rester basé sur un mot de passe (par exemple, aucun accès à internet)
Comment les trouver :
1. Allez dans Configurations DocuWare > Gestion des utilisateurs et cliquez sur Exporter les utilisateurs au format CSV.
2. Ouvrez le fichier dans Excel et cherchez des domaines de messagerie en dehors de votre entreprise ; ce sont probablement des utilisateurs externes.
3. Examinez les intégrations et les flux de travail pour localiser les comptes de service.
Étape 3 – Lancez le SSO forcé
1. Activez Forcer l'authentification unique pour tous les utilisateurs.
2. Ajoutez tous les utilisateurs ou rôles à la liste d'exclusion afin que personne ne soit bloqué.
3. Au cours des prochains jours ou des prochaines semaines, supprimez les exclusions par étapes, confirmant que chaque groupe peut se connecter via SSO.
4. Une fois terminé, ne laissez que les comptes identifiés à l'étape 2 dans la liste d'exclusion.
5. Gardez au moins un compte administrateur exclu par sécurité.
Testez toujours la connexion SSO après chaque modification. Si l'IdP devient indisponible et qu'aucune exclusion n'existe, tous les utilisateurs, y compris les administrateurs, pourraient être bloqués.
Restreindre l'accès public
Dans DocuWare 7.11 et inférieur, cette section a été désignée comme Connexion Invité. Dans la version 7.12 de DocuWare, elle a été mise à jour en Restreindre l'accès public.
La connexion invité permet à tous ceux qui ont un accès réseau à votre organisation (l'« invité ») d'accéder à DocuWare sans fournir d'identifiants. La permissions accordée à l'utilisateur invité s'aligne sur celles de l'utilisateur DocuWare désigné comme invité. En fonction de ces autorisations, les « invités » pourraient gravement nuire à votre système.
Si vous désactivez Restreindre l'accès public, vous pouvez définir l'option utilisateur invité, qui apparaîtra sur la page de connexion de DocuWare.
Risque
Si vous désactivez la restriction d'accès public, vous mettez votre système DocuWare à la disposition des utilisateurs externes qui ne vérifient pas leur identité à l'aide d'un nom d'utilisateur et d'un mot de passe. Cela engendre un risque pour la sécurité. Considérez soigneusement si vous souhaitez désactiver ce paramètre de sécurité.
Types de fichier
Les types de fichiers saisis dans types de fichiers restreints sont bloqués pour l'archivage dans DocuWare. Activez l'une des listes pour bloquer les types de fichiers inclus ou créez une nouvelle liste. Les restrictions s'appliquent à toutes les armoires de l'organisation.
Les listes de types de fichiers restreints sont également disponibles sous forme de liste d'autorisation et de liste de blocage pour la configuration du plein texte.
Connexions externes
Localisations d'URL externes sécurisées
Cette fonctionnalité améliore la sécurité des URL stockées en tant que données d'index dans les documents. Cela permet de s'assurer que les URL ne soient cliquables que si elles sont dirigées vers des emplacements préapprouvés et sécurisés, atténuant ainsi le risque d'URL malveillantes qui auraient pu être incorporées avant le stockage du document dans DocuWare.
Pour marquer un emplacement comme sécurisé, il doit être ajouté à cette liste d'autorisations. Ajoutez ici tous les domaines ou URL pertinents, sans « https://». Une fois qu'un domaine est intégré dans cette liste d'autorisations, tous ses sous-domaines et pages associés sont également considérés comme sécurisés par défaut.
Intégration de portail
Avec DocuWare 7.13, la section Intégration de portail (anciennement dans « Passerelle centrale ») est intégrée dans Configuration DocuWare > Sécurité.
La section Intégration de portail n'est visible que pour les administrateurs d'organisation DocuWare Cloud.
Seuls les domaines que vous ajoutez ici pourront accéder aux ressources DocuWare de votre organisation. Par exemple, si une boîte de dialogue de recherche DocuWare doit être intégrée à votre portail Web afin que les clients puissent rechercher des documents dans DocuWare, le domaine de votre portail Web doit être ajouté ici. Si un domaine n'est pas répertorié ici, son portail Web ne pourra pas intégrer ces éléments tels que des formulaires, des listes de résultats, des boîtes de dialogue et autres.
Vous trouverez plus de détails sur l’intégration d’URL dans Introduction à l'intégration d’URL (en anglais).
Entrez les domaines sous la forme « https://sousdomaine.siteweb.com » ou « http://sousdomaine.siteweb.com ».
Contrôle d'accès par IP
Avec DocuWare 7.13, la section Contrôle d'accès par IP (anciennement dans « Passerelle centrale ») est intégrée dans Configuration DocuWare > Sécurité.
La section Contrôle d'accès par IP n'est visible que pour les administrateurs d'organisation DocuWare Cloud.
Les utilisateurs ne peuvent accéder à une organisation DocuWare Cloud que via les adresses IP saisies dans la passerelle centrale. Cela permet par exemple aux organisations de contrôler quels appareils peuvent accéder à leurs services, empêchant ainsi l'accès non autorisé.
Entrez des adresses IP ou des plages d'adresses IP spécifiques à partir desquelles les services DocuWare Cloud doivent être accessibles. Par exemple, vous pouvez restreindre l'accès afin que seuls les employés se connectant depuis votre réseau d'entreprise puissent utiliser DocuWare.
Tant qu'aucune adresse IP n'est listée ici, toutes les adresses IP ont accès à l'organisation DocuWare Cloud.
Cependant, si une adresse IP est saisie, le contrôle d'accès prend effet et seules les adresses spécifiées ici ont accès à l'organisation Cloud.
DocuWare ne prend actuellement en charge Internet Protocol Version 4 (IPv4).
Le contrôle des domaines et des adresses IP réduit les risques d'une attaque en s'assurant que seul le trafic de données souhaité entre sur le réseau. La sécurité est améliorée en empêchant les sites Web non autorisés ou malveillants de faire des demandes au nom de vos utilisateurs.