DocuWare prend en charge le standard OpenID Connect (OIDC) pour l'authentification unique (SSO). Lisez ces consignes pour relier DocuWare à un Identity Provider OIDC.
La plupart des Identity Provider professionnels prennent en charge OIDC. Mais comme il s'agit d'un standard ouvert, la configuration sera différente selon l'Identity Provider.
Vous devrez probablement configurer une application au sein de votre Identity Provider pour la connecter à DocuWare. Pour plus d'informations, contactez votre Identity Provider.
Se connecter à un Identity Provider avec OPEN ID
Allez dans Configuration DocuWare > Général > Sécurité > Authentification unique.
La capture d'écran suivante montre la boîte de dialogue de configuration SSO. Vous trouverez des explications en dessous.
.png)
Configurer la connexion à authentification unique
Spécifiez la connexion entre l'Identity Provider et DocuWare dans la section de la boîte de dialogue Configurer l'authentification unique.
DocuWare et le fournisseur d'identité externe communiquent via les URL : DocuWare adresse l'Identity Provider via l'Issuer URL de l'émetteur et reçoit des informations via la Callback URL.
Vous obtiendrez le Client ID et la Client Secret Key auprès de votre Identity Provider.
Mappage des attributs
Pour permettre aux utilisateurs de DocuWare de s'authentifier via un Identity Provider externe, chaque utilisateur doit être identifiable de manière unique dans les deux systèmes. Par conséquent, DocuWare et l'Identity Provider doivent partager un ensemble commun d'attributs utilisateurs.
Les termes pour « attribut » peuvent varier
Le terme « attributs » n'est pas défini dans la norme OIDC ; votre Identity Provider peut aussi les appeler « claims », « propriétés » ou quelque chose de similaire. Les noms d'attributs peuvent également varier — par exemple, le « nom d'utilisateur » de DocuWare peut apparaître comme « identifiant utilisateur » chez l'Identity Provider. À cause de ces différences, assurez-vous de configurer et de tester le mappage avec soin.
Activez l'option Lier automatiquement les utilisateurs existants à la connexion pour vous assurer que le mappage d'attributs fonctionne correctement. Désactivez-la uniquement si vous utilisez DocuWare User Synchronization 2 dans une configuration non standard.
Scopes
OIDC est bâti sur OAuth 2.0. Sélectionnez les scopes OAuth 2.0 qui fourniront les attributs dont DocuWare a besoin. Dans la plupart des cas, les scopes par défaut, openid et profil, sont suffisantes.
Si vous activez Claims supplémentaires fournies par le point de terminaison UserInfo, DocuWare récupérera également tous les attributs renvoyés par ce point de terminaison.
L'utilisation du point de terminaison UserInfo ralentit le processus de connexion, activez-le seulement si les attributs requis ne sont pas disponibles via les scopes profil ou e-mail.
DocuWare utilise l'adresse e-mail comme clé principale pour associer les utilisateurs avec l'Identity Provider. Assurez-vous que chaque utilisateur a une adresse e-mail dans les deux systèmes. Dans votre Identity Provider, un attribut (par exemple, « e-mail ») contient déjà cette valeur.
Entrez ici le nom exact de cet attribut afin que DocuWare puisse récupérer l'adresse et lier l'utilisateur externe à l'utilisateur DocuWare correspondant.
Nom d'utilisateur
Sélectionnez l'attribut que DocuWare doit utiliser comme nom d'utilisateur. Cette valeur doit identifier de manière unique l'utilisateur dans le répertoire externe et doit correspondre exactement au nom d'utilisateur DocuWare existant.
ID externe
Si votre Identity Provider fournit un ID unique pour chaque utilisateur, sélectionnez l'attribut qui contient cette valeur. Un ID externe dédié accélère le processus de mappage et accroît la sécurité.
Si aucun ID distinct n'existe, choisissez tout autre attribut unique pour chaque utilisateur, comme l'adresse e-mail, le nom d'utilisateur ou l'identifiant d'utilisateur.
ID de fournisseur externe
Spécifiez un identifiant unique à l'instance de l'Identity Provider elle-même. Ceci n'est requis que lorsque vous exploitez plusieurs instances du même fournisseur.
Test
Cliquez sur le bouton Tester pour vérifier la connexion SSO. Exécutez toujours ce test après avoir enregistré les modifications.
Forcer l'authentification unique
Ce paramètre contrôle si les utilisateurs peuvent toujours se connecter avec leurs identifiants DocuWare ou doivent s'authentifier exclusivement par l'intermédiaire de l'Identity Provider externe (IdP).
Désactivé : les utilisateurs peuvent choisir soit la méthode : le nom d'utilisateur/mot de passe DocuWare ou l'Identity Provider externe.
Activé : tous les utilisateurs doivent s'authentifier via l'Identity Provider externe. Les identifiants DocuWare sont bloqués à moins que l'utilisateur ou le rôle ne soit ajouté à la liste d'exclusion. Les administrateurs peuvent utiliser cette liste pour permettre à des comptes spécifiques de contourner le SSO.
Remarque : testez la configuration du SSO en profondeur avant de l'appliquer. Si la connexion échoue, tous les utilisateurs, y compris les administrateurs de l'organisation, pourraient être bloqués.
Guide pratique pour un déploiement sûr de « Forcer l'authentification unique »
Lorsque vous configurez l'authentification unique (SSO) dans DocuWare en tant qu'administrateur, vous avez deux options pour fournir la fonctionnalité aux utilisateurs :
SSO optionnel – Les utilisateurs peuvent se connecter avec leur nom d'utilisateur/mot de passe DocuWare ou via SSO.
SSO forcé − Activez Forcer l'authentification unique pour tous les utilisateurs.. Les utilisateurs doivent s'authentifier par l'intermédiaire de l'Identity Provider externe (IdP) à moins qu'ils n'appartiennent à une liste d'exclusion.
Suivez les trois étapes ci-dessous pour activer le SSO forcé :
Étape 1 – Activez SSO et testez-le
1. Dans Configuration DocuWare > Sécurité, configurez votre Identity Provider. Mais laissez « Forcer SSO» décoché pour le moment.
2. Demandez à plusieurs utilisateurs internes de se connecter via SSO pour confirmer la configuration.
3. Si vous importez des utilisateurs avec DocuWare User Sync ou User Provisioning, vérifiez que ces comptes peuvent également se connecter via SSO.
4. Veillez à ce que chaque administrateur de l'organisation puisse s'authentifier via SSO. Gardez à l'esprit au moins un administrateur pour la liste d'exclusion (voir Étape 2).
Étape 2 - Identifiez les comptes à exclure
Les comptes à exclure sont généralement
• Les utilisateurs externes (par exemple, partenaires ou clients) non gérés par l'IdP
• Les comptes de service utilisés par des applications externes
• Les comptes exécutant des tâches DocuWare internes (non requis depuis DocuWare 7.13)
• Tout autre compte qui doit rester basé sur un mot de passe (par exemple, aucun accès à internet)
Comment les trouver :
1. Allez dans Configurations DocuWare > Gestion des utilisateurs et cliquez sur Exporter les utilisateurs au format CSV.
2. Ouvrez le fichier dans Excel et cherchez des domaines de messagerie en dehors de votre entreprise ; ce sont probablement des utilisateurs externes.
3. Examinez les intégrations et les flux de travail pour localiser les comptes de service.
Étape 3 – Lancez le SSO forcé
1. Activez Forcer l'authentification unique pour tous les utilisateurs.
2. Ajoutez tous les utilisateurs ou rôles à la liste d'exclusion afin que personne ne soit bloqué.
3. Au cours des prochains jours ou des prochaines semaines, supprimez les exclusions par étapes, confirmant que chaque groupe peut se connecter via SSO.
4. Une fois terminé, ne laissez que les comptes identifiés à l'étape 2 dans la liste d'exclusion.
5. Gardez au moins un compte administrateur exclu par sécurité.
Testez toujours la connexion SSO après chaque modification. Si l'IdP devient indisponible et qu'aucune exclusion n'existe, tous les utilisateurs, y compris les administrateurs, pourraient être bloqués.