DocuWare unterstützt den Standard OpenID Connect (OIDC) für Single Sign-On (SSO), den die meisten professionellen Identitätsanbieter unterstützen.
Da OIDC ein offener Standard ist, variiert die Konfiguration je nach Identity-Provider. Manche Anbieter verlangen beispielsweise, dass Sie eine eigene Anwendung für die Anbindung an DocuWare registrieren. Die dafür benötigten Angaben erhalten Sie direkt von Ihrem Identity-Provider.
Nachfolgend finden Sie die wichtigsten Hinweise zur Einrichtung der OIDC-Verbindung zwischen DocuWare und einem Anbieter gelten.
Überblick: Dialog für die Konfiguration von Single Sign-On
Gehen Sie zu DocuWare Konfigurationen > Allgemein > Sicherheit, um den Dialog Single Sign-On.zu öffnen:.
.png)
Konfigurieren der Single Sign-On-Verbindung
Im ersten Abschnitt des Dialogs Single-Sign-On-Verbindung konfigurieren verbinden Sie den Identity-Provider mit DocuWare.
DocuWare und der externe Identity Provider kommunizieren über URLs: DocuWare spricht den Identity Provider über die Issuer-URL an und erhält über die Callback-URL Informationen zurück.
Sie erhalten Client-ID und Client Secret Key von Ihrem Identity Provider.
Zuordnung von Attributen
Damit sich DocuWare Benutzer über einen externen Identity Provider authentifizieren können, muss jeder Benutzer in beiden Systemen eindeutig identifizierbar sein. Folglich müssen DocuWare und der Identity Provider einen gemeinsamen Satz von Benutzerattributen haben.
Bezeichnungen für “Attribute” können unterschiedlich sein
Der Begriff "Attribute" ist im OIDC-Standard nicht definiert; Ihr Identity Provider kann sie stattdessen als "claims", "Eigenschaften" oder Ähnliches bezeichnen. Auch die Attributnamen können variieren, z. B. kann der "Benutzername" von DocuWare beim Identitätsanbieter als "Benutzer-ID" angezeigt werden. Aufgrund dieser Unterschiede sollten Sie die Zuordnung sorgfältig konfigurieren und testen.
Aktivieren Sie die Option Vorhandene Benutzer bei Anmeldung automatisch verknüpfen , um sicherzustellen, dass die Attributzuordnung korrekt funktioniert. Deaktivieren Sie diese Option nur, wenn Sie DocuWare User Synchronization 2 in einem nicht standardmäßigen Setup verwenden.
Scopes
OIDC basiert auf OAuth 2.0. Wählen Sie die OAuth 2.0-Scopes aus, die die von DocuWare benötigten Attribute liefern. In den meisten Fällen sind die standardmäßigen Scopes - openid und Profile - ausreichend.
Wenn Sie einen Haken für die Option Zusätzliche claims des UserInfo-Endpunkts aktivieren setzen, ruft DocuWare auch alle Attribute ab, die von diesem Endpunkt zurückgegeben werden.
Die Verwendung des UserInfo-Endpunkts verlangsamt den Anmeldevorgang, daher aktivieren Sie ihn nur, wenn die erforderlichen Attribute nicht über den Profil- oder E-Mail-Bereich verfügbar sind.
DocuWare verwendet die E-Mail-Adresse als Primärschlüssel für den Abgleich von Benutzern mit dem Identity Provider. Stellen Sie sicher, dass jeder Benutzer in beiden Systemen über eine E-Mail-Adresse verfügt. In Ihrem Identity Provider enthält ein Attribut (z. B. "email") diesen Wert bereits.
Geben Sie hier den genauen Namen dieses Attributs ein, damit DocuWare die Adresse abrufen und den externen Benutzer mit dem entsprechenden DocuWare Benutzer verknüpfen kann.
Nutzername
Wählen Sie das Attribut aus, das DocuWare als Benutzernamen verwenden soll. Dieser Wert muss den Benutzer im externen Verzeichnis eindeutig identifizieren und genau mit dem vorhandenen DocuWare Benutzernamen übereinstimmen.
Externe ID
Wenn Ihr Identity Provider für jeden Benutzer eine eindeutige ID bereitstellt, wählen Sie das Attribut aus, das diesen Wert enthält. Eine dedizierte externe ID beschleunigt den Mapping-Prozess und erhöht die Sicherheit.
Wenn keine separate ID vorhanden ist, wählen Sie ein anderes Attribut aus, das für jeden Benutzer eindeutig ist, z. B. die E-Mail-Adresse, den Benutzernamen oder die Benutzer-ID.
ID des externen Anbieters
Geben Sie einen Bezeichner an, der für die Instanz des Identity Provider selbst eindeutig ist. Dies ist nur erforderlich, wenn Sie mehrere Instanzen desselben Anbieters betreiben.
Test
Klicken Sie auf die Schaltfläche Testen , um die SSO-Verbindung zu überprüfen. Führen Sie diesen Test immer aus, nachdem Sie alle Änderungen gespeichert haben.
Erzwingen von Single Sign-On
Lesen Sie mehr zum Erzwingen von Single Sign-On.