Einblicke in Hintergrundprozess nach klick auf Weiter mit Microsoft
- Windows NTLM (nur vor Ort)
- Microsoft Active Directory Federation Services
- Microsoft Azure Active Directory
- Zugehörige KBAs
Alle diese Methoden erfordern eine individuelle Konfiguration außerhalb von DocuWare, da diese Anmeldemethoden mit Diensten kommunizieren, die nicht Teil der DocuWare-Installation sind.
Um diesen Prozess zu verstehen, haben wir eine Übersicht für Sie vorbereitet.
Lesen Sie diesen Abschnitt, um zu verstehen, warum die Anwendung wissen muss, welcher Benutzer den Zugang beantragt: Warum ist überhaupt eine Anmeldung erforderlich?
NTLM:
Wenn Sie auf Weiter mit Microsoft klicken, handelt der Client-PC die Benutzeranmeldung mit dem Server aus.
Erst wenn der Server auf diese Anfrage mit dem Status 200 antwortet, können Sie auf die Ressource zugreifen.
Dieser Vorgang ist völlig unabhängig von DocuWare, da diese Aushandlung über das Windows-Protokoll NTLM erfolgt.
DocuWare benötigt lediglich die Information, welcher Benutzer angemeldet werden soll und vergleicht diese Information mit der Netzwerk-ID des DocuWare-Benutzers.
Wird ein Benutzer mit der gleichen ID gefunden, wird dieser angemeldet.
Die Unterseiten (Settings etc.) von DocuWare sind bei der Einrichtung bereits mit der Grundkonfiguration angelegt und können nach Ihren Wünschen weiter konfiguriert werden.
Um einen reibungslosen Ablauf von NTLM zu gewährleisten, müssen Konfigurationen in der DocuWare-Konfiguration, auf dem Client und auf dem Server vorgenommen werden.
Wenn Sie sich für NTLM als Anmeldeverfahren entschieden haben, können Sie mit diesem generellen Troubleshooting Guide fortfahren: Troubleshooting NTLM.
Gegebenenfalls müssen weitere Sicherheitsmaßnahmen durch Ihren Systemadministrator getroffen werden.
Microsoft Active Directory Federation Services und Microsoft Azure Active Directory
Wenn Sie auf Weiter mit Microsoft klicken, wird der Website-Besucher auf die Anmeldeseite (Ziel URL definiert in Issuer URL) Ihres ADFS oder AAD weitergeleitet. Im Falle eines erfolgreichen Logins wird der Besucher von Ihrem Identity Provider auf den Identity-Service (Ziel URL definiert in Callback URL) von DocuWare zurückgeleitet. Der Login-Status und die Benutzerinformationen werden über OpenID Connect an DouWare übertragen. https://help.docuware.com/#/home/85703/2/2
- Damit DocuWare weiß, wohin der Besucher übertragen werden soll, fügen Sie in der DocuWare-Konfiguration die richtige Issuer-URL ein. Die Issuer URL ist Ihrem Identity Provider hinterlegt.
- Damit Ihr Identity Provider weiß, wohin er den Besucher im Falle einer erfolgreichen Anmeldung zurückschicken soll, müssen Sie die korrekte Callback-URL in Ihre ADFS- oder AAD-Konfiguration einfügen. Die Callback-URL ist in den Organisationseinstellungen von DocuWare hinterlegt.
- ADFS- und AAD-bezogene KBAs finden Sie hier: Verwandte KBAs In den Anleitungen erfahren Sie auch, wo die Issuer URL und die Callback-URL zu finden ist.
Multi-Faktor-Authentifizierung:
Für ADFS und AAD kann es sinnvoll sein, MFA zu konfigurieren.
In DocuWare muss nur die Single-Sign-On-Verbindung konfiguriert werden, da der MFA-Prozess innerhalb von ADFS oder AAD durchgeführt wird. Ist der MFA-Vorgang erfolgreich, werden der Anmeldestatus und die Informationen über OpenID Connect zurück an DocuWare übertragen.
OpenID Connect: https://help.docuware.com/#/home/85703/2/2
Warum ist ein Login überhaupt notwendig?
Eine Login-Methode ist im wesentlichen vergleichbar mit Ordner- und Dateiberechtigungen auf Ihrem PC.
Das gleiche Prinzip gilt für eine Webseite.
Welcher Benutzer möchte auf die Webseite zugreifen, und was darf dieser Benutzer auf dieser Webseite sehen. Im Falle von DocuWare: Ist der Benutzer in DocuWare angelegt, und welche Rechte hat er in DocuWare.
Diese Dinge sind für diesen Prozess wichtig:
Welche Ressource wird angefordert (Definiert durch Aufruf der Webseite)
Welcher Benutzer bittet um Zugang (Wird über die jeweilige Login Methode geliefert)
Hat dieser Benutzer eine Lizenz, um sich anzumelden (Definiert durch DocuWare)
Welche Berechtigung hat der Benutzer. (Rechtevergabe indirekt über Gruppenmitgliedschaft wenn Gruppe Mitglied einer Rolle ist, Gruppenmitgliedschaft kann durch AD bereitgestellt werden)