Cet article fournit des informations sur la zone Configuration de DocuWare > Sécurité.
Dans cette section, vous définissez les paramètres de sécurité de votre organisation DocuWare. Chaque paramètre a un statut de Activé ou Désactivé. Si un paramètre est Activé, il peut augmenter la sécurité de votre organisation.
Sécurité de connexion
Politique de mot de passe
Une politique de mot de passe empêche les utilisateurs d'utiliser des mots de passe non sécurisés.
Spécifiez les exigences minimales pour les mots de passe de tous les utilisateurs :
Longueur minimum du mot de passe
Caractères requis
Période de validité du mot de passe
Temps de notification avant l'expiration du mot de passe
Nombre maximum de connexions échouées
Durée pendant laquelle un compte est verrouillé après le nombre maximum de connexions échouées
Lisez la note sur la nouvelle politique de mot de passe, qui est activée par défaut pour toutes les nouvelles organisations DocuWare créées à partir de la version 7.12 et suivantes. La politique de mot de passe par défaut ne s'applique pas aux organisations créées avant la version 7.12.
Vérification en deux étapes
Avec DocuWare 7.13 et les versions ultérieures, les administrateurs DocuWare peuvent activer et désactiver la vérification en deux étapes pour tous les utilisateurs de l'organisation. Avec DocuWare 7.14 et les versions ultérieures, il est possible d'exiger la vérification en deux étapes pour tous les utilisateurs.
Si la vérification en deux étapes est activée, les utilisateurs doivent saisir leur nom d'utilisateur, leur mot de passe et un code de vérification pour se connecter à DocuWare. DocuWare utilise des mots de passe à usage unique temporels (TOTP) comme codes de vérification. La norme TOTP est prise en charge par la plupart des applications d'authentification sur les téléphones portables.
Comment fonctionne un mot de passe à usage unique
Un mot de passe à usage unique (OTP) est un code numérique ou alphanumérique qui ne peut être utilisé qu'une seule fois pour vérifier l'identité d'un utilisateur. Contrairement à un mot de passe statique, un OTP est généré à la demande, généralement par une application d'authentification ou un jeton matériel, à l'aide d'une clé secrète partagée avec DocuWare. La variante la plus courante, le mot de passe temporel à usage unique (TOTP), combine ce secret avec l'heure actuelle pour produire un code à six chiffres qui change toutes les 30 secondes. Puisque chaque code n'est valide que pour un bref intervalle et que le secret ne quitte jamais l'appareil de l'utilisateur, les TOTP réduisent considérablement les risques d'attaques par rejeu, de vol d'identifiants et d'hameçonnage. Lorsqu'un utilisateur saisit l'OTP pendant la connexion, DocuWare exécute le même algorithme et la même référence temporelle pour vérifier le code ; si les résultats correspondent, l'accès est accordé.
Dans DocuWare, un OTP est appelé « code de vérification » par souci de cohérence avec le nom de la fonctionnalité « vérification en deux étapes ».
Les options disponibles dépendent de l'activation ou de l'obligation de la vérification en deux étapes :
Activer la vérification en deux étapes pour tous les utilisateurs
Lorsque l'option Activer… est activée, tous les utilisateurs ont la possibilité de configurer la vérification en deux étapes pour leur compte individuel. C'est ce qu'on appelle le modèle d'acceptation. Si vous souhaitez imposer la vérification en deux étapes à des utilisateurs ou des groupes d'utilisateurs, consultez l'option Exiger la vérification en deux étapes pour tous les utilisateurs.
Configuration utilisateur : chaque utilisateur peut activer la vérification en deux étapes dans son profil DocuWare : DocuWare Web Client > Profil & Paramètres > onglet Sécurité. Les utilisateurs devront également utiliser une application d'authentification — voir le point suivant.
Application d'authentification : pour se connecter à DocuWare avec la vérification en deux étapes, les utilisateurs ont besoin d'une application d'authentification compatible TOTP sur leur appareil mobile. DocuWare prend en charge une gamme d'applications d'authentification largement utilisées, y compris Microsoft Authenticator, Google Authenticator et Duo Mobile.
Vérification en deux étapes désactivée : lorsque la vérification en deux étapes est désactivée dans les paramètres de sécurité, les utilisateurs ne peuvent plus se connecter avec la vérification en deux étapes ; seuls le nom d'utilisateur et le mot de passe sont requis. DocuWare n'envoie aucune notification automatique, de sorte que les utilisateurs remarqueront simplement que le deuxième facteur n'est plus demandé.
Si l'administrateur réactive plus tard la vérification en deux étapes, chaque utilisateur doit configurer l'application d'authentification à nouveau, là encore sans aucun message système. Un changement soudain de ce paramètre est source de confusion et d'appels d'assistance inutiles. Désactivez-le uniquement lorsque cela est absolument nécessaire et informez les utilisateurs à l'avance.
Exiger la vérification en deux étapes pour tous les utilisateurs
Lorsque l'option Exiger… est activée en plus de l'option Activer…, chaque utilisateur doit s'authentifier avec un code de vérification à chaque connexion. Il n'est pas possible de se connecter sans un code de vérification valide. Veuillez lire le guide de déploiement à la fin de ce chapitre avant d'exiger la vérification en deux étapes pour tous les utilisateurs.
Configuration utilisateur : les utilisateurs qui n'ont pas encore configuré la vérification en deux étapes sont invités à le faire lors de leur prochaine connexion. Après avoir saisi leur nom d'utilisateur et leur mot de passe, DocuWare affiche un code QR qu'ils doivent scanner avec leur application d'authentification pour terminer la configuration. À partir de ce moment, chaque connexion nécessite un code de vérification après la saisie du nom d'utilisateur et du mot de passe.
Application d'authentification : pour se connecter à DocuWare avec la vérification en deux étapes, les utilisateurs ont besoin d'une application d'authentification compatible TOTP sur leur appareil mobile. DocuWare prend en charge une gamme d'applications d'authentification largement utilisées, y compris Microsoft Authenticator, Google Authenticator et Duo Mobile.
Vérification en deux étapes non plus exigée : si vous supprimez l'obligation, les utilisateurs ayant déjà activé la vérification en deux étapes la conservent. Les utilisateurs qui ne l'ont pas encore configurée ne sont plus invités à le faire, mais ils ont toujours la possibilité de l'activer.
Si vous désactivez la vérification en deux étapes pour l'organisation alors qu'elle est également exigée, DocuWare supprimera d'abord l'obligation, puis désactivera la vérification en deux étapes. Deux boîtes de dialogue d'avertissement correspondantes apparaissent alors successivement.
Exclure des utilisateurs et des rôles : si certains comptes ou rôles doivent être exemptés de cette obligation, ajoutez-les à la liste d'exclusion. Les candidats typiques à l'exclusion sont les comptes de service. Consultez le guide de déploiement de la vérification en deux étapes pour plus de détails.
Changement de téléphone ou d'application d'authentification : les utilisateurs peuvent initier une reconfiguration sous DocuWare Web Client > Profil & Paramètres > onglet Sécurité. Cette opération supprime le lien avec l'ancien appareil et lance le processus de configuration pour un nouveau.
Important : connexion invité et vérification en deux étapes
La connexion invité n'est pas soumise à la vérification en deux étapes ni à l'authentification unique (SSO), même si ces méthodes sont imposées pour le compte utilisateur désigné comme invité. En savoir plus sur la connexion invité et la vérification en deux étapes.
Suivre l'adoption et l'utilisation de la vérification en deux étapes
Après avoir activé la vérification en deux étapes pour votre organisation, une colonne correspondante est ajoutée dans la liste Utilisateurs de la Gestion des utilisateurs. Cette colonne indique quels utilisateurs ont déjà activé la vérification en deux étapes, ce qui vous permet de suivre l'adoption au sein de votre organisation.
Suivez la connexion d'un utilisateur spécifique à un moment précis dans Configuration DocuWare > Rapports d'audit.
Guide pratique pour un déploiement sûr de la vérification en deux étapes
Étape 1 : assurer la redondance des administrateurs
Avant d'activer la vérification en deux étapes, vérifiez qu'il existe au moins deux comptes d'administrateur d'organisation, chacun disposant d'un second facteur indépendant (par exemple, des téléphones ou des jetons matériels distincts). Pour les installations sur site, vérifiez également qu'il existe deux administrateurs système, chacun disposant d'un second facteur indépendant.
Si un seul compte d'administrateur existe : créez un deuxième compte d'administrateur dès maintenant. Configurez son second facteur sur un appareil indépendant (par exemple, un jeton matériel ou un téléphone séparé) et conservez-le dans un endroit sûr (par exemple, un coffre-fort verrouillé). Cela garantit l'accès à DocuWare si l'administrateur principal perd son téléphone.
Étape 2 : identifier les comptes de service
Dressez la liste de tous les comptes de service et des intégrations automatisées qui s'authentifient auprès de DocuWare. Ces comptes ne peuvent pas effectuer de vérification interactive en deux étapes et doivent être exclus tout au long du processus.
Étape 3 : identifier le groupe pilote
Dressez la liste de tous les profils utilisateur dans DocuWare. Sélectionnez un profil comme groupe pilote — idéalement un petit groupe techniquement compétent (par exemple, le personnel informatique).
Étape 4 : communiquer le changement
Informez tous les utilisateurs avant d'exiger la vérification en deux étapes :
Ce qui change : la vérification en deux étapes sera exigée lors de la connexion
Date d'effet : date précise par groupe, le groupe pilote en premier, les autres suivront
Ce que les utilisateurs doivent faire : avoir leur téléphone ou leur appareil d'authentification à portée de main lors de la prochaine connexion ; ils seront guidés tout au long de la configuration
Où obtenir de l'aide : contact du support en cas de problème
Étape 5 : exiger la vérification en deux étapes pour le groupe pilote
Ouvrez Configuration > Sécurité > Vérification en deux étapes
Sélectionnez Exiger la vérification en deux étapes pour tous les utilisateurs
Ajoutez tous les profils et comptes de service à la liste d'exclusion, de sorte que seul le groupe pilote ne soit pas exclu.
Avant de commencer, assurez-vous qu'il y a au moins deux administrateurs (voir étape 1).
Ne poursuivez pas tant que la phase pilote n'est pas confirmée comme réussie.
Étape 6 : déploiement progressif
Une fois la phase pilote réussie, supprimez progressivement les profils de la liste d'exclusion — un profil (ou quelques-uns) à la fois :
1. Supprimez le profil suivant de la liste d'exclusion et enregistrez
2. Vérifiez que les utilisateurs concernés peuvent se connecter et configurer la vérification en deux étapes avec succès
3. Résolvez tout problème avant de continuer
4. Répétez jusqu'à ce que tous les profils soient supprimés de la liste d'exclusion
Après cette dernière étape, seuls les comptes de service devraient rester exclus.
Que faire si l'utilisateur a perdu son téléphone portable ?
Si un utilisateur DocuWare a perdu son téléphone portable, il ne peut plus se connecter à DocuWare. La boîte de dialogue de connexion DocuWare invite l'utilisateur à contacter son administrateur. Les options de l'administrateur dépendent des paramètres de sécurité de l'organisation.
Cas 1 : la vérification en deux étapes est activée, mais non exigée pour l'organisation
Dans ce cas, l'administrateur DocuWare peut désactiver la vérification en deux étapes dans Configuration DocuWare > Gestion des utilisateurs > utilisateur xxx en décochant la case Vérification en deux étapes, afin que l'utilisateur puisse se connecter à DocuWare avec son nom d'utilisateur et son mot de passe.
.png)
Cas 2 : la vérification en deux étapes est exigée pour l'organisation
L'administrateur DocuWare ne peut pas désactiver la vérification en deux étapes pour cet utilisateur, car cela enfreindrait la politique de sécurité de l'entreprise. L'administrateur peut envoyer un lien de réinitialisation dans Configuration DocuWare > Gestion des utilisateurs > utilisateur xxx :
.png)
Le lien désactivera la vérification en deux étapes précédente de l'utilisateur et l'invitera à configurer un nouveau téléphone ou une nouvelle application d'authentification. L'utilisateur ne pourra pas se connecter sans code de vérification.
Expiration de la session
En cas d'inactivité, un utilisateur peut être déconnecté automatiquement de DocuWare Client et de la Configuration DocuWare. Si aucune entrée n'est faite dans un certain temps, l'utilisateur reçoit d'abord une notification avec un message approprié avant d'être déconnecté et redirigé vers la fenêtre de connexion.
Si le délai d'attente est dépassé, l'utilisateur est déconnecté de toutes les fenêtres du navigateur DocuWare Client et de la configuration DocuWare. En cliquant n'importe où dans un onglet du navigateur, le compte à rebours est réinitialisé. Les activités automatiques du client DocuWare telles que les notifications ne réinitialisent pas la minuterie. Les modifications non enregistrées sont perdues lorsque vous vous déconnectez.
Ce paramètre s'applique à tous les utilisateurs de l'organisation.
Dans DocuWare Forms, la déconnexion automatique ne prend effet que pour les formulaires non publics. Les formulaires publics ne nécessitent pas de connexion réelle et sont donc exemptés du délai.
Authentification unique
L'authentification unique (SSO) permet aux utilisateurs d'accéder à DocuWare en utilisant leurs identifiants d'entreprise, de sorte qu'ils n'ont pas besoin de mémoriser les noms d'utilisateur et mots de passe distincts DocuWare. Cette fonctionnalité simplifie l'expérience de connexion et peut améliorer la sécurité en utilisant les méthodes d'authentification du fournisseur d'identité de l'entreprise, telles que l'authentification à deux facteurs.
Pour activer l'authentification unique dans DocuWare, vous devez intégrer votre organisation DocuWare avec un fournisseur d'identité externe. Vous devez avoir accès au fournisseur d'identité pour effectuer l'intégration.
La boîte de dialogue de configuration SSO a légèrement changé avec DocuWare 7.13. En outre, un bouton Test a été ajouté. Si vous utilisez la version 7.12 ou une version antérieure de DocuWare, vous remarquerez peut-être que certains éléments sont situés à différents endroits et que vous ne pouvez pas tester votre configuration avant de l'enregistrer. Les options de configuration elles-mêmes n'ont cependant pas changé.
DocuWare prend en charge plusieurs types de fournisseurs d'identité — voir ci-dessous. Chaque organisation DocuWare peut se connecter à un seul fournisseur d'identité externe.
Microsoft Entra ID
Microsoft Entra ID, anciennement appelé Azure Active Directory, est une solution complète de gestion d'identité et d'accès qui fournit un accès sécurisé aux applications et aux ressources pour les organisations de toutes tailles.
Open ID Connect (OIDC)
OpenID Connect (OIDC) est un standard ouvert largement utilisé pour l'implémentation de l'authentification unique (SSO) entre différentes applications et services. La plupart des fournisseurs d'identité professionnels prennent en charge OIDC.
En savoir plus sur l'utilisation d'un fournisseur d'identité externe compatible OIDC.
En savoir plus sur une configuration d'exemple en utilisant Okta.
Microsoft Active Directory Federation Services (ADFS)
Microsoft Active Directory Federation Services (AD FS) est une solution d'authentification unique (SSO) qui permet aux organisations de fournir un accès authentifié aux applications et aux systèmes au-delà des frontières organisationnelles.
Remarque : Microsoft recommande d'utiliser Microsoft Entra ID au lieu d'ADFS (source) et pourrait déprécier cette fonctionnalité dans le futur.
Forcer l'authentification unique
Ce paramètre contrôle si les utilisateurs peuvent toujours se connecter avec leurs identifiants DocuWare ou doivent s'authentifier exclusivement par l'intermédiaire du fournisseur d'identité externe (IdP).
Désactivé : les utilisateurs peuvent choisir soit la méthode : le nom d'utilisateur/mot de passe DocuWare ou le fournisseur d'identité externe.
Activé : tous les utilisateurs doivent s'authentifier via le fournisseur d'identité externe. Les identifiants DocuWare sont bloqués à moins que l'utilisateur ou le rôle ne soit ajouté à la liste d'exclusion. Les administrateurs peuvent utiliser cette liste pour permettre à des comptes spécifiques de contourner le SSO.
La liste d'exclusion devient visible dès que vous activez l'option Forcer l'authentification unique :.png)
Important : testez la configuration SSO avant de l'appliquer
Testez la configuration SSO en profondeur avant de l'appliquer. Si la connexion échoue, tous les utilisateurs, y compris les administrateurs de l'organisation, pourraient être bloqués.
Guide pratique pour un déploiement sûr de « Forcer l'authentification unique »
Lorsque vous configurez l'authentification unique (SSO) dans DocuWare en tant qu'administrateur, vous avez deux options pour fournir la fonctionnalité aux utilisateurs :
SSO optionnel – Les utilisateurs peuvent se connecter avec leur nom d'utilisateur/mot de passe DocuWare ou via SSO.
SSO forcé − Activez Forcer l'authentification unique pour tous les utilisateurs. Les utilisateurs doivent s'authentifier par l'intermédiaire du fournisseur d'identité externe (IdP) à moins qu'ils n'appartiennent à une liste d'exclusion.
Suivez les trois étapes ci-dessous pour activer le SSO forcé :
Étape 1 – Activez SSO et testez-le
1. Dans Configuration DocuWare > Sécurité, configurez votre fournisseur d'identité. Mais laissez « Forcer SSO » décoché pour le moment.
2. Demandez à plusieurs utilisateurs internes de se connecter via SSO pour confirmer la configuration.
3. Si vous importez des utilisateurs avec DocuWare User Synchronization ou le provisionnement des utilisateurs, vérifiez que ces comptes peuvent également se connecter via SSO.
4. Veillez à ce que chaque administrateur de l'organisation puisse s'authentifier via SSO. Gardez à l'esprit au moins un administrateur pour la liste d'exclusion (voir Étape 2).
Étape 2 – Identifiez les comptes à exclure
Les comptes à exclure sont généralement
• Les utilisateurs externes (par exemple, partenaires ou clients) non gérés par l'IdP
• Les comptes de service utilisés par des applications externes
• Les comptes exécutant des tâches DocuWare internes (non requis depuis DocuWare 7.13)
• Tout autre compte qui doit rester basé sur un mot de passe (par exemple, aucun accès à internet)
Comment les trouver :
1. Allez dans Configuration DocuWare > Gestion des utilisateurs et cliquez sur Exporter les utilisateurs au format CSV.
2. Ouvrez le fichier dans Excel et cherchez des domaines de messagerie en dehors de votre entreprise ; ce sont probablement des utilisateurs externes.
3. Examinez les intégrations et les processus de travail pour localiser les comptes de service.
Étape 3 – Lancez le SSO forcé
1. Activez Forcer l'authentification unique pour tous les utilisateurs.
2. Ajoutez tous les utilisateurs ou rôles à la liste d'exclusion afin que personne ne soit bloqué.
3. Au cours des prochains jours ou des prochaines semaines, supprimez les exclusions par étapes, confirmant que chaque groupe peut se connecter via SSO.
4. Une fois terminé, ne laissez que les comptes identifiés à l'étape 2 dans la liste d'exclusion.
5. Gardez au moins un compte administrateur exclu par sécurité.
Testez toujours la connexion SSO après chaque modification. Si l'IdP devient indisponible et qu'aucune exclusion n'existe, tous les utilisateurs, y compris les administrateurs, pourraient être bloqués.
Restreindre l'accès public
Dans DocuWare 7.11 et inférieur, cette section a été désignée comme Connexion Invité. Dans la version 7.12 de DocuWare, elle a été mise à jour en Restreindre l'accès public.
La connexion invité permet à tous ceux qui ont un accès réseau à votre organisation (l'« invité ») d'accéder à DocuWare sans fournir d'identifiants. Les autorisations accordées à l'utilisateur invité s'alignent sur celles de l'utilisateur DocuWare désigné comme invité. En fonction de ces autorisations, les « invités » pourraient gravement nuire à votre système.
Si vous désactivez Restreindre l'accès public, vous pouvez définir l'option utilisateur invité, qui apparaîtra sur la page de connexion de DocuWare.
Important : gardez « Restreindre l'accès public » activé si possible
Si vous désactivez Restreindre l'accès public, vous mettez votre système DocuWare à la disposition des utilisateurs externes qui ne vérifient pas leur identité à l'aide d'un nom d'utilisateur et d'un mot de passe. Cela engendre un risque pour la sécurité. Considérez soigneusement si vous souhaitez désactiver ce paramètre de sécurité.
Important : la connexion invité contourne la vérification en deux étapes et l'authentification unique
La connexion invité n'est pas soumise à la vérification en deux étapes (2SV) ni à l'authentification unique (SSO), même si ces méthodes sont imposées pour le compte utilisateur désigné comme invité. Par exemple, si le compte utilisateur « Elizabeth Cash » est configuré comme connexion invité et qu'Elizabeth Cash est tenue d'utiliser la 2SV ou le SSO, toute personne utilisant la connexion invité accède tout de même au système sans mot de passe, sans second facteur ni authentification SSO. L'invité opère avec toutes les autorisations attribuées à Elizabeth Cash.
Avant d'activer la connexion invité, vérifiez que le compte utilisateur désigné dispose d'autorisations minimales. Sachez que l'obligation d'utiliser la 2SV ou le SSO pour l'organisation ne restreint pas l'accès invité.
Types de fichier
Les types de fichiers saisis dans Types de fichiers restreints sont bloqués pour l'archivage dans DocuWare. Activez l'une des listes pour bloquer les types de fichiers inclus ou créez une nouvelle liste. Les restrictions s'appliquent à toutes les armoires de l'organisation.
Les listes de types de fichiers restreints sont également disponibles sous forme de liste d'autorisation et de liste de blocage pour la configuration du plein texte.
Connexions externes
Localisations d'URL externes sécurisées
Cette fonctionnalité améliore la sécurité des URL stockées en tant que données d'index dans les documents. Cela permet de s'assurer que les URL ne soient cliquables que si elles sont dirigées vers des emplacements préapprouvés et sécurisés, atténuant ainsi le risque d'URL malveillantes qui auraient pu être incorporées avant le stockage du document dans DocuWare.
Pour marquer un emplacement comme sécurisé, il doit être ajouté à cette liste d'autorisations. Ajoutez ici tous les domaines ou URL pertinents, sans « https:// ». Une fois qu'un domaine est intégré dans cette liste d'autorisations, tous ses sous-domaines et pages associés sont également considérés comme sécurisés par défaut.
Intégration de portail
Avec DocuWare 7.13, la section Intégration de portail (anciennement dans « Passerelle centrale ») est intégrée dans Configuration DocuWare > Sécurité.
La section Intégration de portail n'est visible que pour les administrateurs d'organisation DocuWare Cloud.
Seuls les domaines que vous ajoutez ici pourront accéder aux ressources DocuWare de votre organisation. Par exemple, si une boîte de dialogue de recherche DocuWare doit être intégrée à votre portail Web afin que les clients puissent rechercher des documents dans DocuWare, le domaine de votre portail Web doit être ajouté ici. Si un domaine n'est pas répertorié ici, son portail Web ne pourra pas intégrer ces éléments tels que des formulaires, des listes de résultats, des boîtes de dialogue et autres.
Vous trouverez plus de détails sur l'intégration d'URL dans Introduction à l'intégration d'URL.
Entrez les domaines sous la forme « https://sousdomaine.siteweb.com » ou « http://sousdomaine.siteweb.com ».
Contrôle d'accès par IP
Avec DocuWare 7.13, la section Contrôle d'accès par IP (anciennement dans « Passerelle centrale ») est intégrée dans Configuration DocuWare > Sécurité.
La section Contrôle d'accès par IP n'est visible que pour les administrateurs d'organisation DocuWare Cloud.
Les utilisateurs ne peuvent accéder à une organisation DocuWare Cloud que via les adresses IP saisies dans la passerelle centrale. Cela permet par exemple aux organisations de contrôler quels appareils peuvent accéder à leurs services, empêchant ainsi l'accès non autorisé.
Entrez des adresses IP ou des plages d'adresses IP spécifiques à partir desquelles les services DocuWare Cloud doivent être accessibles. Par exemple, vous pouvez restreindre l'accès afin que seuls les employés se connectant depuis votre réseau d'entreprise puissent utiliser DocuWare.
Tant qu'aucune adresse IP n'est listée ici, toutes les adresses IP ont accès à l'organisation DocuWare Cloud.
Cependant, si une adresse IP est saisie, le contrôle d'accès prend effet et seules les adresses spécifiées ici ont accès à l'organisation Cloud.
DocuWare ne prend actuellement en charge que le protocole Internet version 4 (IPv4).
Le contrôle des domaines et des adresses IP réduit les risques d'une attaque en s'assurant que seul le trafic de données souhaité entre sur le réseau. La sécurité est améliorée en empêchant les sites Web non autorisés ou malveillants de faire des demandes au nom de vos utilisateurs.