Este artículo proporciona información sobre el área Configuración de DocuWare > Seguridad.
En esta sección, defina la configuración de seguridad para su organización de DocuWare. Cada ajuste tiene un estado de Activado o Desactivado. Si un ajuste está Activado, aumenta potencialmente la seguridad de su organización.
Seguridad de inicio de sesión
Una política de contraseñas restringe al usuario el uso de contraseñas inseguras.
Especifique los requisitos mínimos para todas las contraseñas de los usuarios:
Longitud mínima de la contraseña
Caracteres obligatorios
Periodo de validez de la contraseña
Periodo de notificación antes de que caduque la contraseña
Número máximo de inicios de sesión fallidos
Duración del tiempo de bloqueo de una cuenta después del número máximo de inicios de sesión fallidos
Lea la nota sobre la nueva política de contraseñas (en inglés), que se activa de forma predeterminada para todas las nuevas organizaciones de DocuWare creadas a partir de la versión 7.12. La política de contraseñas por defecto no se aplica a las organizaciones creadas antes de la versión 7.12.
Verificación en dos pasos
Con DocuWare 7.13 y posterior, los administradores de DocuWare pueden activar y desactivar la verificación en dos pasos para todos los usuarios de la organización. Con DocuWare 7.14 y posterior, es posible exigir la verificación en dos pasos para todos los usuarios.
Si la verificación en dos pasos está activada, los usuarios deben introducir su nombre de usuario, contraseña y un código de verificación para iniciar sesión en DocuWare. DocuWare utiliza contraseñas de un solo uso basadas en el tiempo (TOTP) como códigos de verificación. El estándar TOTP es compatible con la mayoría de las aplicaciones de autenticación para teléfonos móviles.
Cómo funciona una contraseña de un solo uso
Una contraseña de un solo uso (OTP) es un código numérico o alfanumérico que puede utilizarse una sola vez para verificar la identidad de un usuario. A diferencia de una contraseña estática, una OTP se genera a petición, normalmente mediante una aplicación de autenticación o un token de hardware, utilizando una clave secreta compartida con DocuWare. La variante más común, la contraseña de un solo uso basada en el tiempo (TOTP), combina esta clave secreta con la hora actual para generar un código de seis dígitos que cambia cada 30 segundos. Dado que cada código es válido solo durante un breve intervalo y la clave secreta nunca sale del dispositivo del usuario, las OTP reducen considerablemente el riesgo de ataques de repetición, robo de credenciales y suplantación de identidad (phishing). Cuando un usuario introduce la OTP durante el inicio de sesión, DocuWare ejecuta el mismo algoritmo y la misma referencia temporal para verificar el código; si coinciden, se concede el acceso.
En DocuWare, una OTP se denomina «código de verificación» para mantener la coherencia con el nombre de la función «verificación en dos pasos».
Las opciones disponibles dependen de si la verificación en dos pasos está activada o es obligatoria:
Activar la verificación en dos pasos para todos los usuarios
Cuando la opción Activar… está habilitada, todos los usuarios tienen la posibilidad de configurar la verificación en dos pasos para su cuenta individual. Se trata de un modelo de adhesión voluntaria (opt-in). Si desea obligar a determinados usuarios o grupos de usuarios a utilizar la verificación en dos pasos, consulte la opción Exigir la verificación en dos pasos para todos los usuarios.
Configuración de usuario: cada usuario puede activar la verificación en dos pasos en su perfil de DocuWare: DocuWare Web Client > Perfil y configuración > pestaña Seguridad. Los usuarios también necesitarán una aplicación de autenticación (véase el siguiente punto).
Aplicación de autenticación: para iniciar sesión en DocuWare con la verificación en dos pasos, los usuarios necesitan una aplicación de autenticación compatible con TOTP en su dispositivo móvil. DocuWare es compatible con una amplia gama de aplicaciones de autenticación de uso extendido, incluidas Microsoft Authenticator, Google Authenticator y Duo Mobile.
Verificación en dos pasos desactivada: cuando la verificación en dos pasos se desactiva en los ajustes de seguridad, los usuarios ya no pueden iniciar sesión con ella; solo se requieren el nombre de usuario y la contraseña. DocuWare no envía ninguna notificación automática, por lo que los usuarios simplemente notarán que ya no se les solicita el segundo factor.
Si el administrador vuelve a activar la verificación en dos pasos más adelante, todos los usuarios deberán configurar la aplicación de autenticación desde cero, de nuevo sin ningún mensaje del sistema. La activación y desactivación repentina de este ajuste genera confusión y llamadas innecesarias al servicio de asistencia. Desactívelo solo cuando sea absolutamente necesario e informe a los usuarios con antelación.
Exigir la verificación en dos pasos para todos los usuarios
Cuando la opción Exigir… se activa junto con la opción Activar…, todos los usuarios deben autenticarse con un código de verificación en cada inicio de sesión. No es posible iniciar sesión sin un código de verificación válido. Lea la guía de implementación al final de este capítulo antes de exigir la verificación en dos pasos para todos los usuarios.
Configuración de usuario: los usuarios que aún no han configurado la verificación en dos pasos recibirán una solicitud para hacerlo en su próximo inicio de sesión. Tras introducir su nombre de usuario y contraseña, DocuWare presenta un código QR que deben escanear con su aplicación de autenticación para completar la configuración. A partir de ese momento, cada inicio de sesión requiere un código de verificación después de introducir el nombre de usuario y la contraseña correctos.
Aplicación de autenticación: para iniciar sesión en DocuWare con la verificación en dos pasos, los usuarios necesitan una aplicación de autenticación compatible con TOTP en su dispositivo móvil. DocuWare es compatible con una amplia gama de aplicaciones de autenticación de uso extendido, incluidas Microsoft Authenticator, Google Authenticator y Duo Mobile.
Verificación en dos pasos ya no obligatoria: si elimina el requisito, los usuarios que ya hayan activado la verificación en dos pasos la mantendrán activa. Los usuarios que aún no la hayan configurado dejarán de recibir la solicitud, pero seguirán teniendo la opción de activarla.
Si desactiva la verificación en dos pasos para la organización mientras esta también es obligatoria, DocuWare primero eliminará el requisito y luego desactivará la verificación en dos pasos. Por ello, aparecerán dos cuadros de diálogo de advertencia consecutivos.
Excluir usuarios y roles: si determinadas cuentas o roles deben quedar exentos de este requisito, añádalos a la lista de exclusión. Las cuentas de servicio son candidatas típicas para la exclusión. Consulte la guía de implementación de la verificación en dos pasos para obtener más información.
Cambiar de teléfono o de aplicación de autenticación: los usuarios pueden iniciar una reconfiguración en DocuWare Web Client > Perfil y configuración > pestaña Seguridad. Esto elimina el vínculo con el dispositivo anterior e inicia el proceso de configuración para uno nuevo.
Importante: inicio de sesión de invitado y verificación en dos pasos
El inicio de sesión de invitado no está sujeto a la verificación en dos pasos ni al inicio de sesión único (SSO), incluso si estos métodos son obligatorios para la cuenta de usuario designada como invitado. Más información sobre el inicio de sesión de invitado y la verificación en dos pasos.
Supervisar la adopción y el uso de la verificación en dos pasos
Después de activar la verificación en dos pasos para su organización, se añade una columna correspondiente en la lista de Usuarios de la Gestión de usuarios. Esta columna muestra qué usuarios ya han activado la verificación en dos pasos, de modo que puede realizar un seguimiento de la adopción en toda su organización.
Supervise el inicio de sesión de un usuario específico en un momento determinado en Configuración de DocuWare > Informes de auditoría.
Guía práctica para una implementación segura de la verificación en dos pasos
Paso 1: garantizar la redundancia de administradores
Antes de activar la verificación en dos pasos, verifique que existen al menos dos cuentas de administrador de la organización, cada una con un segundo factor independiente (por ejemplo, teléfonos separados o tokens de hardware). En instalaciones en local, verifique también que existen dos administradores del sistema, cada uno con un segundo factor independiente.
Si solo existe una cuenta de administrador: cree una segunda cuenta de administrador ahora. Configure su segundo factor en un dispositivo independiente (por ejemplo, un token de hardware o un teléfono diferente) y guárdelo en un lugar seguro (por ejemplo, una caja fuerte cerrada). Esto garantiza el acceso a DocuWare si el administrador principal pierde el teléfono.
Paso 2: identificar las cuentas de servicio
Elabore una lista de todas las cuentas de servicio e integraciones automatizadas que se autentican en DocuWare. Estas cuentas no pueden realizar la verificación en dos pasos de forma interactiva y deben excluirse durante todo el proceso.
Paso 3: identificar el grupo piloto
Elabore una lista de todos los perfiles de usuario en DocuWare. Seleccione un perfil como grupo piloto: idealmente, un grupo pequeño con conocimientos técnicos (por ejemplo, personal de TI).
Paso 4: comunicar el cambio
Notifique a todos los usuarios antes de exigir la verificación en dos pasos:
Qué cambia: la verificación en dos pasos será obligatoria en el inicio de sesión
Cuándo entra en vigor: fecha específica por grupo, primero el grupo piloto y después los demás
Qué deben hacer los usuarios: tener su teléfono o dispositivo de autenticación preparado en el próximo inicio de sesión; el sistema les guiará durante la configuración
Dónde obtener ayuda: contacto de asistencia en caso de problemas
Paso 5: exigir la verificación en dos pasos para el grupo piloto
Abra Configuraciones > Seguridad > Verificación en dos pasos
Seleccione Exigir la verificación en dos pasos para todos los usuarios
Añada todos los perfiles y cuentas de servicio a la lista de exclusiones, de modo que solo el grupo piloto no quede excluido.
Antes de empezar, asegúrese de que existen al menos dos administradores (véase el paso 1).
No continúe hasta que la fase piloto se haya completado con éxito.
Paso 6: implementación gradual
Una vez que la fase piloto se haya completado con éxito, elimine progresivamente los perfiles de la lista de exclusión, uno o varios a la vez:
1. Elimine el siguiente perfil de la lista de exclusión y guarde
2. Verifique que los usuarios afectados pueden iniciar sesión y configurar la verificación en dos pasos correctamente
3. Resuelva cualquier problema antes de continuar
4. Repita hasta que todos los perfiles se hayan eliminado de la lista de exclusión
Tras el último paso, solo las cuentas de servicio deberían permanecer excluidas.
¿Qué hacer si el usuario ha perdido el teléfono móvil?
Si un usuario de DocuWare ha perdido el teléfono móvil, no podrá iniciar sesión en DocuWare. El cuadro de diálogo de inicio de sesión de DocuWare solicita al usuario que se ponga en contacto con su administrador. Las opciones del administrador dependen de la configuración de seguridad de la organización.
Caso 1: la verificación en dos pasos está activada, pero no es obligatoria para la organización
En este caso, el administrador de DocuWare puede desactivar la verificación en dos pasos en Configuración de DocuWare > Gestión de usuarios > usuario xxx desmarcando la casilla Verificación en dos pasos, para que el usuario pueda iniciar sesión en DocuWare con nombre de usuario y contraseña.
.png)
Caso 2: la verificación en dos pasos es obligatoria para la organización
El administrador de DocuWare no puede desactivar la verificación en dos pasos para este usuario, ya que esto infringiría la política de seguridad corporativa. El administrador puede enviar un enlace de restablecimiento en Configuración de DocuWare > Gestión de usuarios > usuario xxx:
.png)
El enlace desactivará la verificación en dos pasos anterior del usuario y le pedirá que configure un nuevo teléfono o aplicación de autenticación. El usuario no podrá iniciar sesión sin un código de verificación.
Tiempo de espera de la sesión
En caso de inactividad, se puede cerrar la sesión de un usuario automáticamente en DocuWare Client y en la Configuración de DocuWare. Si no se lleva a cabo ninguna entrada en un periodo de tiempo determinado, el usuario recibe primero una notificación con un mensaje apropiado antes de que se cierre su sesión y se le redirija a la ventana de inicio de sesión.
Si se supera el tiempo de espera, se cierra la sesión del usuario de todas las ventanas del navegador de DocuWare Client y de la Configuración de DocuWare. Hacer clic en cualquier parte de la pestaña del navegador hará que el temporizador se restablezca. Las actividades automáticas de DocuWare Client, como las notificaciones, no reinician el temporizador. Los cambios no guardados se descartan al cerrar la sesión.
Esta configuración se aplica a todos los usuarios de la organización.
En DocuWare Forms, el cierre de sesión automático solo tiene efecto para los formularios no públicos. Los formularios públicos no requieren un inicio de sesión real y, por lo tanto, están exentos del tiempo de espera.
Inicio de sesión único
El inicio de sesión único (SSO) permite que los usuarios accedan a DocuWare usando sus credenciales corporativas, por lo que no necesitan recordar nombres de usuario y contraseñas de DocuWare independientes. Esta funcionalidad simplifica la experiencia de inicio de sesión y puede mejorar la seguridad utilizando los métodos de autenticación del proveedor de identidad corporativo, como la autenticación de dos factores.
Para habilitar el inicio de sesión único en DocuWare, debe integrar su organización de DocuWare con un proveedor de identidad externo. Necesita tener acceso al proveedor de identidad para realizar la integración.
El diálogo de configuración de SSO ha cambiado ligeramente con DocuWare 7.13. Además, se ha añadido un botón Probar. Si está ejecutando DocuWare versión 7.12 o anterior, puede notar que algunos elementos están ubicados en diferentes lugares y que no puede probar su configuración antes de guardarla. Sin embargo, las opciones de configuración no han cambiado.
DocuWare es compatible con varios tipos de proveedores de identidad (véase a continuación). Cada organización de DocuWare puede conectarse a un único proveedor de identidad externo.
Microsoft Entra ID
Microsoft Entra ID, anteriormente conocido como Azure Active Directory, es una solución integral de gestión de identidades y acceso que proporciona acceso seguro a aplicaciones y recursos para organizaciones de todos los tamaños.
Lea más información sobre cómo configurar SSO con Microsoft Entra ID como proveedor de identidad externo (en inglés).
Open ID Connect (OIDC)
OpenID Connect (OIDC) es un estándar abierto ampliamente utilizado para implementar el inicio de sesión único (SSO) en diversas aplicaciones y servicios. La mayoría de los proveedores de identidad profesionales son compatibles con OIDC.
Lea más información sobre cómo usar un proveedor de identidad externo compatible con OIDC.
Lea más información sobre una configuración de muestra usando Okta (en inglés).
Servicios de federación de Active Directory (ADFS) de Microsoft
Servicios de federación de Active Directory (AD FS) de Microsoft es una solución de inicio de sesión único (SSO) que permite a las organizaciones proporcionar acceso autenticado a aplicaciones y sistemas a través de fronteras organizacionales.
Nota: Microsoft recomienda usar Microsoft Entra ID en lugar de ADFS (fuente) y podría dejar de ofrecer esta función en el futuro.
Forzar inicio de sesión único
Este ajuste controla si los usuarios aún pueden iniciar sesión con sus credenciales de DocuWare o deben autenticarse exclusivamente a través del proveedor de identidad externo (IdP).
Deshabilitado: los usuarios pueden elegir cualquiera de los dos métodos: nombre de usuario y contraseña de DocuWare o el proveedor de identidad externo.
Habilitado: todos los usuarios deben autenticarse a través del proveedor de identidad externo. Las credenciales de DocuWare se bloquean a menos que el usuario o el rol se añada a la lista de exclusión. Los administradores pueden utilizar esta lista para permitir que cuentas específicas eludan SSO.
La lista de exclusiones se muestra tan pronto como active la opción Forzar inicio de sesión único:.png)
Importante: pruebe la configuración de SSO antes de forzarla
Pruebe la configuración de SSO a fondo antes de forzarla. Si la conexión falla, todos los usuarios, incluidos los administradores de la organización, podrían quedarse bloqueados.
Guía práctica para una implementación segura de Forzar inicio de sesión único
Cuando usted, como administrador, configure el inicio de sesión único (SSO) en DocuWare, tendrá dos opciones para implementar la función para los usuarios:
SSO opcional: los usuarios pueden iniciar sesión con su nombre de usuario y contraseña de DocuWare o mediante SSO.
SSO forzado: active Forzar autenticación de inicio de sesión único para todos los usuarios. Los usuarios deben autenticarse a través del proveedor de identidad externo (IdP) a menos que pertenezcan a una lista de exclusión.
Siga los tres pasos siguientes para activar el SSO forzado:
Paso 1: activar SSO y probarlo
1. En Configuración de DocuWare > Seguridad, configure su proveedor de identidad. Deje «Forzar SSO» desmarcado por ahora.
2. Pida a varios usuarios internos que inicien sesión a través de SSO para confirmar la configuración.
3. Si importa usuarios con DocuWare User Synchronization o la provisión de usuarios, verifique que esas cuentas también pueden iniciar sesión a través de SSO.
4. Asegúrese de que todos los administradores de la organización pueden autenticarse a través de SSO. Tenga en cuenta al menos un administrador para la lista de exclusión (véase el paso 2).
Paso 2: identificar las cuentas a excluir
Las cuentas típicas para las exclusiones son:
• Usuarios externos (por ejemplo, socios o clientes) no gestionados por el IdP
• Cuentas de servicio utilizadas por aplicaciones externas
• Cuentas que ejecutan trabajos internos de DocuWare (no es necesario a partir de DocuWare 7.13)
• Cualquier otra cuenta que deba seguir basada en contraseña (por ejemplo, sin acceso a internet)
Cómo encontrarlas:
1. Vaya a Configuración de DocuWare > Gestión de usuarios y haga clic en Exportar usuarios como CSV.
2. Abra el archivo en Excel y busque dominios de correo electrónico fuera de su empresa; es probable que sean usuarios externos.
3. Revise integraciones y flujos de trabajo para localizar cuentas de servicio.
Paso 3: implementar SSO forzado
1. Habilite Forzar autenticación de inicio de sesión único para todos los usuarios.
2. Añada todos los usuarios o roles a la lista de exclusión para que nadie quede bloqueado.
3. En los próximos días o semanas, elimine las exclusiones por etapas y confirme que cada grupo puede iniciar sesión a través de SSO.
4. Cuando termine, deje solo las cuentas identificadas en el paso 2 en la lista de exclusión.
5. Mantenga al menos una cuenta de administrador excluida como red de seguridad.
Pruebe siempre la conexión SSO después de cualquier cambio. Si el IdP deja de estar disponible y no existen exclusiones, todos los usuarios, incluidos los administradores, podrían quedarse bloqueados.
Restringir el acceso público
En DocuWare 7.11 o anterior, esta sección se llamaba Inicio de sesión de invitado. En la versión 7.12 de DocuWare se ha actualizado a Restringir el acceso público.
El inicio de sesión de invitado permite que cualquier persona con acceso a la red de su organización (el «invitado») acceda a DocuWare sin proporcionar ninguna credencial. Los permisos otorgados al usuario invitado se alinean con los del usuario de DocuWare designado como invitado. Dependiendo de estos permisos, los «invitados» podrían causar daños graves a su sistema.
Si desactiva Restringir el acceso público, puede establecer la opción de usuario invitado, que aparecerá en la página de inicio de sesión de DocuWare.
Importante: mantenga «Restringir el acceso público» activado siempre que sea posible
Si desactiva Restringir el acceso público, su sistema de DocuWare estará disponible para usuarios externos que no verifican su identidad mediante nombre de usuario y contraseña. Esto supone un riesgo para la seguridad. Considere detenidamente si desea desactivar este ajuste de seguridad.
Importante: el inicio de sesión de invitado omite la verificación en dos pasos y el inicio de sesión único
El inicio de sesión de invitado no está sujeto a la verificación en dos pasos (2SV) ni al inicio de sesión único (SSO), incluso si estos métodos son obligatorios para la cuenta de usuario designada como invitado. Por ejemplo, si la cuenta de usuario «Elizabeth Cash» está configurada como inicio de sesión de invitado y Elizabeth Cash tiene la obligación de usar 2SV o SSO, cualquier persona que utilice el inicio de sesión de invitado seguirá accediendo al sistema sin contraseña, sin segundo factor y sin autenticación SSO. El invitado opera con todos los permisos asignados a Elizabeth Cash.
Antes de activar el inicio de sesión de invitado, verifique que la cuenta de usuario designada tiene los permisos mínimos. Tenga en cuenta que exigir 2SV o SSO para la organización no restringe el acceso de invitados.
Tipos de archivo
Los tipos de archivo introducidos en Tipos de archivo restringidos están bloqueados para el archivado en DocuWare. Habilite una de las listas para bloquear los tipos de archivo incluidos o cree una lista nueva. Las restricciones se aplican a todos los archivadores de la organización.
Las listas de tipos de archivo restringidos también están disponibles como lista de permitidos y lista de bloqueo para la configuración del texto completo.
Conexiones externas
Ubicaciones de URL externas seguras
Esta funcionalidad mejora la seguridad de las URL almacenadas como datos de índice dentro de los documentos. Garantiza que solo se pueda hacer clic en las URL si dirigen a ubicaciones seguras y aprobadas previamente, lo que reduce el riesgo de URL maliciosas que podrían haberse incrustado antes del almacenamiento del documento en DocuWare.
Para marcar una ubicación como segura, debe añadirse a esta lista de permitidos. Añada todos los dominios o URL relevantes aquí, sin «https://». Una vez que un dominio está incluido en esta lista de permitidos, todos sus subdominios y páginas asociados también se consideran seguros por defecto.
Integración en el portal
Con DocuWare 7.13, la sección Integración en el portal (anteriormente en «Central Gateway») está integrada en los ajustes de Configuración de DocuWare > Seguridad.
La sección Integración en el portal solo es visible para los administradores de la organización de DocuWare Cloud.
Solo los dominios que añada aquí podrán acceder a los recursos de DocuWare de su organización. Por ejemplo, si un diálogo de búsqueda de DocuWare debe incrustarse en su portal web para que los clientes puedan buscar documentos en DocuWare, el dominio de su portal web debe añadirse aquí. Si un dominio no aparece en la lista, su portal web no podrá incrustar elementos como formularios, listas de resultados, diálogos, etc.
Obtenga más información sobre la integración de URL en Introduction URL integration (en inglés).
Introduzca dominios como «https://subdomain.webseite.com» o «http://subdomain.website.com».
Control de acceso basado en IP
Con DocuWare 7.13, la sección Control de acceso basado en IP (anteriormente en «Central Gateway») está integrada en los ajustes de Configuración de DocuWare > Seguridad.
La sección Control de acceso basado en IP solo es visible para los administradores de la organización de DocuWare Cloud.
Los usuarios solo pueden acceder a una organización de DocuWare Cloud a través de las direcciones IP introducidas en la puerta de enlace central. Esto permite a las organizaciones controlar, por ejemplo, qué dispositivos pueden acceder a sus servicios, impidiendo accesos no autorizados.
Introduzca direcciones IP específicas o rangos de direcciones IP desde los que los servicios de DocuWare Cloud deban ser accesibles. Por ejemplo, puede restringir el acceso para que solo los empleados que se conecten desde su red corporativa puedan usar DocuWare.
Mientras no se indique ninguna dirección IP aquí, todas las direcciones IP tienen acceso a la organización de DocuWare Cloud.
Sin embargo, si se introduce una dirección IP, el control de acceso entra en vigor y solo las direcciones especificadas aquí tendrán acceso a la organización en la nube.
Actualmente, DocuWare admite el Protocolo de Internet versión 4 (IPv4).
El control de dominios y direcciones IP reduce los riesgos de un ataque al garantizar que solo el tráfico de datos deseado entra en la red. La seguridad se mejora impidiendo que sitios web no autorizados o maliciosos realicen solicitudes en nombre de sus usuarios.