Übersicht documents-Funktionsweise

docs365 documents ist in zwei Applikationen aufgeteilt, die Administrationsapplikation und die Benutzerapplikation. In die Administrationsapplikation gelangen Sie auch als Administrator zuerst über die Benutzerapplikation, indem Sie die Schaltfläche Administration rechts unten in der Statuszeile drücken. Die Administrationsapplikation wird dann in einer zweiten Registerkarte im Browser geöffnet und ist folgendermaßen aufgeteilt:

../_images/funktionsweise-ansicht.png

In der Administrations-Oberfläche wird zunächst das Datengitter angezeigt, mit dem man eine gute Übersicht über alle Daten bekommt. Wenn man einen Eintrag bearbeiten möchte, muss man diesen auswählen und auf Bearbeiten klicken oder alternativ einen Doppelklick durchführen.

Das Formular zum Bearbeiten wird dann anschließend anstelle des Datengitters angezeigt. Durch einen Klick auf Zurück in der oberen Titelzeile gelangt man zurück zum Datengitter, mit den beiden Pfeil-Buttons daneben kann man zum vorherigen bzw. nächsten Datensatz springen.

Im linken Arbeitsbereich sehen Sie die Liste der Daten, die Sie bearbeiten können. Sie entsprechen den Kapiteln dieses Handbuchs. Im rechten Arbeitsbereich sehen Sie die Bearbeitungs-Schaltflächen und die Listenansicht der jeweils angelegten Daten.

Übersicht

Im Bereich „Übersicht“ auf der linken Seite werden die lizenzierten und ausgeschöpften Limits angezeigt:

../_images/admin-uebersicht-verbrauch.png

Die zwei Konfigurationen error_to und error_level (aus der settings.ini) wurden in unsere Datenbank migriert. Beide Optionen werden jetzt ebenfalls in dieser Sektion verwaltet. Hier kann per Dropdown-Menü eingestellt werden, ab welchem Ereignis-Loglevel (WARNING, ERROR, CRITICAL) an wen eine Benachrichtigung per E-Mail verschickt werden soll:

../_images/uebersicht-loglevel-warnung.png

Außerdem lässt sich hier das Land für die Mehrwertsteuer einstellen. Zur Zeit werden Deutschland (de), Schweiz (ch) und Österreich (at) unterstützt.

../_images/mwst-anpassung.png

Die Konfiguration lässt sich ebenfalls pro Mandant speichern. Wird bei einem Mandanten kein Mehrwertsteuer-Satz eines Landes ausgewählt, gilt die global konfigurierte Option.

Statuszeile

In der Statuszeile sehen Sie die Schaltflächen Benutzer, Abmelden, SmartClient und Info.

Bei Klick auf [Benutzer] (in dieser Schaltfläche wird der Name des Benutzers angezeigt) erscheint eine Infobox mit Login-Namen, Namen, E-Mail und Rolle des angemeldeten Benutzers.

../_images/statuszeile-nutzer.png

Über diesen Dialog kann auch das Passwort geändert werden.

Gestaltung der Oberfläche

Mit Documents 7.0 wurde eine neue Gestaltung eingeführt. Neben „Classic“ und der voreingestellten Ansicht „Modern dark“ kann nun die Ansicht „Modern light“ gewählt werden.

Möchten Sie diese Gestaltung für die On-Premises-Lösung als Vorgabe einstellen, muss man die Option ext_themes in der Branding-Sektion der settings.ini so anpassen, dass der Wert light als erstes in der Liste steht:

[Branding] ext_themes = light, dark, classic

Auch die Gestaltung von „Modern dark“ hat leichte Änderungen in der Darstellung und Bedienung erhalten:

  • Die aktuell ausgewählten Zeilen eines Datengitters werden nun in einem helleren Grünton und schwarzer Textfarbe angezeigt.

  • Diverse Buttons in der Oberfläche (z.B. der Zurück-Button in vielen Dialogen) haben nun ein flacheres Design.

  • Pflichtfelder im Archivieren-Dialog werden jetzt nicht mehr durch ein grün unterstrichenes Label angezeigt, sondern durch einen hellgelben Hintergrund im Feld. Sobald das Pflichtfeld ausgefüllt ist, wird der Hintergrund weiß angezeigt.

    ../_images/funktionsweise-pflichtfeld.png

  • In allen Tabellen, die direkt bearbeitbare Zellen haben, hat sich die Bedienung verändert: Ein Klick in eine Tabellenzelle, die man bearbeiten möchte, wählt nun nicht mehr automatisch die gesamte Zeile aus. Möchte man eine komplette Zeile auswählen, beispielsweise um sie zu löschen, muss man die Zeile über die neue, ganz linke Checkbox-Spalte auswählen:

    ../_images/funktionsweise-checkbox.png

Login

Mit der Einführung von SmartSearch ging die Einführung einer neuen zentralen Login-Seite einher. Diese kann unter der URL /login aufgerufen werden und ermöglicht die Anmeldung sowohl an docs365 documents als auch an SmartSearch.

Eine sinnvolle Vorauswahl wird automatisch getroffen anhand des verwendeten Gerätes (Mobil oder Desktop). Die Auswahl steht nur zur Verfügung, wenn die Login-Seite direkt durch Eingabe von /login oder durch Weiterleitung von der Root-URL von docs365 documents aufgerufen wird. Ruft der Anwender eine Unterseite innerhalb von docs365 documents auf (z.B. /search oder /admin) und wird aufgrund einer fehlenden Anmeldung auf die Login-Seite weitergeleitet, wird die Auswahl nicht angezeigt.

Die Benutzeroberfläche ist auch auf Englisch verfügbar. Dies kann ebenfalls über diesen Dialog eingestellt werden. Solange dort keine Auswahl getroffen wurde, wird die im Browser eingestellte bevorzugte Sprache verwendet oder Englisch (sofern die bevorzugte Sprache nicht unterstützt ist).

In der settings.ini kann in der Einstellung theme im Abschnitt General konfiguriert werden, welches theme standardmäßig verwendet wird, wenn ein Benutzer kein eigenes theme in seinem User-Profil eingestellt hat. Darüber hinaus kann konfiguriert werden, welche themes dem User grundsätzlich zur Verfügung stehen. Die Einstellung Themes akzeptiert eine komma-getrennte Liste aller themes, die den Benutzern angeboten werden. Das erste theme in der Liste wird als Standard verwendet, wenn ein User kein eigenes eingestellt hat. Verfügbare Werte sind dark und classic.

Die Logout-Schaltfläche meldet Sie aus dem System ab, über die Schaltfläche SmartClient wird die Desktop-Applikation SmartClient heruntergeladen, über die Sie Dokumente in den Eingang von docs365 documents laden können, selbst ohne docs365 documents gestartet zu haben. Die Schaltfläche Info zeigt Ihnen in einer Dialogbox Versions- und Buildnummer von docs365 documents und wie lange Ihre Lizenz gültig ist.

Die Zwei-Faktor-Authentifizierung

Um Ihre sensiblen Daten in docs365 documents (sowohl On-Premise auf Ihrem Server als auch in der Cloud) bestmöglich zu schützen, können Sie neben der herkömmlichen Anmeldung mit einem Passwort die Zwei-Faktor-Authentifizierung (2FA) nutzen.

Eine Zwei-Faktor-Authentifizierung ist, wie der Name schon sagt, eine Identifizierung durch die Kombination von zwei unterschiedlichen Faktoren. Ein Beispiel einer 2FA ist das Geldabheben am Bankautomaten. Sie benötigen den Faktor Bankkarte und den Faktor PIN, um Geld von Ihrem Konto abheben zu können.

In docs365 documents gibt es für die 2FA die Faktoren Passwort und (Zahlen-)Code. Um den Code für die Anmeldung zu generieren, können verschiedene Verfahren genutzt werden. docs365 documents unterstützt die folgenden Möglichkeiten:

  • Eine Authentifizierungs-App (für iOS der Google Authenticator oder OTP Auth, für Android ebenfalls der Google Authenticator oder FreeOTP Authenticator)

  • Ein Hardware-Schlüssel (z.B. der YubiKey)

Auf den nächsten Seiten möchten wir Ihnen die Einrichtung und den Umgang mit der 2FA näherbringen.

Einrichtung der Zwei-Faktor-Authentifizierung – für den Admin

Um für einen Benutzer die Zwei-Faktor-Authentifizierung einzurichten, wechseln Sie bitte in der Administrations-Applikation in den Bereich „Benutzer“. Wählen Sie einen Benutzer aus und klicken Sie auf Benutzer bearbeiten. Standardmäßig ist die Anmeldung mit einem Passwort eingestellt, um dies zu ändern, setzen Sie im Bereich Zweiter Faktor einen Haken bei Aktiviert.

../_images/funktionsweise-2fa.png

Nun können Sie die 2FA konfigurieren. Zuerst müssen Sie wählen, welche Möglichkeit (App oder Hardware-Schlüssel) Sie als zweiten Faktor nutzen möchten. Je nach Wahl ändert sich der weitere Einrichtungsvorgang.

../_images/funktionsweise-2fa-auswahl.png

Möchten Sie, dass der jeweilige Benutzer direkt bei der nächsten Anmeldung die 2FA nutzt, können Sie bei Einrichtung bei der nächsten Anmeldung notwendig einen Haken setzen. In diesem Fall wird der Benutzer nach der Passwort-Anmeldung zur Einrichtung der Zwei-Faktor-Authentifizierung weitergeleitet, um diese selbst durchführen zu können (dies ist nur bei der Nutzung einer App möglich). So ist sichergestellt, dass eine Anmeldung durch den Benutzer nur mit eingerichteter 2FA erfolgen kann.

../_images/funktionsweise-2fa-nutzer.png

Ebenso können Sie auch „Vertrauenswürdige Geräte zulassen“. So muss der Nutzer nur bei der ersten Anmeldung an einem Computer einen Code eingeben.

2FA mit dem YubiKey

Haben Sie sich für Faktortyp Hardwareschlüssel (YubiKey) entschieden, muss dieser bei der ersten Inbetriebnahme für jeden Benutzer eingerichtet werden.

../_images/funktionsweise-2fa-yubikey.png

Um den YubiKey für einen Benutzer zu personalisieren, muss er mit dem Anmeldevorgang bei docs365 documents verknüpft werden. Diese Einrichtung starten Sie mit dem Button Einrichten, vorher müssen Sie die vorgenommenen Einstellungen einmal speichern.

Nun ist es notwendig, einen vom YubiKey erzeugten privaten Schlüssel („Secret Key“) in den Anmeldedaten zu hinterlegen. Um diesen Secret Key zu bekommen, stecken Sie den jeweiligen YubiKey in einen USB-Slot. Nun sollte er erkannt werden und die Personalisierung kann starten (Achtung – wird er nicht erkannt, prüfen Sie, ob der YubiKey richtig im Slot steckt. Es ist auch möglich, ihn falschherum einzustecken!).

Wird er erkannt, können Sie den YubiKey einrichten. Dazu laden Sie bitte das YubiKey Personalization Tool von der yubico-Homepage herunter, öffnen es und folgen diesen Vorgaben:

  • Wählen Sie den OATH-HOTP-Modus aus.

  • Wählen Sie Quick aus.

In dem danach folgenden Dialog müssen die Einstellungen wie folgt vorgenommen werden:

  • Ein Configuration Slot muss ausgewählt werden. Wenn der YubiKey nicht noch gleichzeitig für ein anderes System verwendet wird, sollte hier der Slot 1 verwendet werden.

  • Die Checkbox OATH Token Identifier darf nicht aktiviert sein.

  • HOTP Length muss auf 8 Digits eingestellt werden.

  • Die Checkbox Hide secret muss ausgeschaltet werden, damit der Secret Key angezeigt wird.

Am Ende sollte der Dialog wie folgt aussehen:

../_images/funktionsweise-2fa-yubikey-dialog.png

Klicken Sie nun auf Regenerate, um einen neuen Schlüssel zu erzeugen, und anschließend auf Write Configuration, um den YubiKey mit diesem Schlüssel zu programmieren. Falls das Tool Sie auffordert, eine Logdatei zu speichern, sichern Sie diese an einem beliebigen Ort.

../_images/funktionsweise-2fa-yubikey-code.png

Im letzten Schritt müssen Sie den im Textfeld Secret Key angezeigten Text auswählen und kopieren, um ihn dann im Einrichtungsdialog von docs365 documents einzufügen und mit dem ersten vom YubiKey erzeugten Code zu verifizieren.

Bei der Einrichtung bekommen Sie zusätzlich eine Liste mit Sicherheits-Codes, die Sie als Backup speichern können, um im Notfall Zugang zu docs365 documents haben (falls der Benutzer seinen Hardwareschlüssel vergessen oder verloren hat). Diese Liste können Sie dem Benutzer zusammen mit dem YubiKey aushändigen.

../_images/funktionsweise-2fa-backup.png

Nach einem Klick auf Weiter ist die Einrichtung erfolgreich abgeschlossen.

../_images/funktionsweise-2fa-yubikey-anmeldung.png

Nun können Sie den YubiKey dem zugehörigen Nutzer übergeben. Dieser kann sich ab jetzt mit seinem Passwort und einem Code des YubiKeys in seinem Documents-Account anmelden.

2FA mit einer Authentifizierung-App

Neben einem Hardwareschlüssel gibt es für jedes Smartphone diverse Apps, mit denen ein Authentifizierungscode für eine 2FA erzeugt werden kann. Für dieses Dokument wurde die App Google Authenticator genutzt, welche sowohl für IOS als auch Android erhältlich ist.

Um die 2FA mit einer App als zweitem Faktor einzurichten, wählen Sie bitte im Benutzerprofil im Bereich Zweiter Faktor als Faktortyp die Authentifizierungs-App (TOTP):

../_images/funktionsweise-2fa-app.png

Hier können Sie einen Haken bei Einrichtung bei nächster Anmeldung notwendig setzen, so dass der Benutzer bei der nächsten Anmeldung zum Einrichtungsdialog weitergeleitet wird. Die Einrichtung ist um einiges unkomplizierter als die Einrichtung eines Hardware-Schlüssels und wird in der Regel vom Benutzer selbstständig mit dem eigenen Smartphone durchgeführt.

Einrichtung der Zwei-Faktor-Authentifizierung – für den Benutzer

../_images/funktionsweise-2fa-app-nutzer.png

Nachdem Ihr Admin in Ihrem Benutzerprofil die Nutzung einer Authentifizierungs-App als zweiten Faktor gespeichert hat, müssen Sie nun als ersten Schritt eine solche App auf Ihr Smartphone laden. Den Google Authenticator finden Sie für ein Android-Gerät im PlayStore, für ein iPhone im AppStore.

Bei der nächsten Anmeldung wird docs365 documents Sie darauf hinweisen, dass Sie diese App benötigen, um Zugang zu Documents zu haben:

../_images/funktionsweise-2fa-app-meldung.png

Mit einem Klick auf Los geht‘s werden Sie durch den Konfigurationsprozess geführt:

../_images/funktionsweise-2fa-app-code.png ../_images/funktionsweise-2fa-app-konfiguration.png

Für die Verknüpfung Ihrer App mit Ihrem Documents-Zugang müssen Sie nun den Barcode-Scanner in der App nutzen.

Nun wird ein Code erzeugt, den Sie bitte in das zugehörige Feld eingeben.

Mit einem Klick auf Prüfen und Weiter in der Documents-Oberfläche bekommen Sie eine Liste mit Codes als Backup.

../_images/funktionsweise-2fa-app-backup.png

Diese Codes müssen sicher verwahrt werden, denn Sie dienen als Ersatz-Codes, damit Sie auch Zugang zu Ihrem Documents haben, falls Sie mal Ihr Handy vergessen haben oder der Akku leer ist.

Mit Weiter ist die Einrichtung des Google Authenticators abgeschlossen.

Um einen Code für die Anmeldung zu erzeugen, öffnen Sie die App auf Ihrem Smartphone und geben den Code in das Anmeldefeld bei docs365 documents ein:

../_images/funktionsweise-2fa-app-coderzeugung.png

Da das Verfahren auf dem TOTP-Verfahren basiert (Time-based One-time Password) und daher zeitgesteuert ist, ändert sich der Code alle 30 Sekunden. Innerhalb dieser Zeit ist der angezeigte Code gültig.

Nun können Sie docs365 documents wie gewohnt nutzen.

Verlust des Authentifizierungsgeräts

Falls Sie einmal das Smartphone zuhause vergessen haben oder der Akku leer ist, können Sie auf Ihre Liste mit den Ersatz-Codes zurückgreifen, um sich bei docs365 documents anzumelden.

Sollte es zu längeren Ausfällen Ihrer Anmeldehilfen kommen, wie durch den Verlust des YubiKeys oder des Smartphones, melden Sie sich bitte bei Ihrem Administrator, damit er in Ihrem Benutzerkonto die 2FA vorrübergehend ausschaltet und sich um die Beschaffung eines neuen Zugangs kümmern kann.

Rate-Limiting für fehlgeschlagene Anmeldeversuche

Immer, wenn ein Anmeldeversuch fehlschlägt oder ein Code für die Zwei-Faktor-Authentifizierung falsch ist, wird die IP-Adresse der Anfrage temporär in der Datenbank geloggt. Wenn es innerhalb der letzten Minute von der gleichen IP-Adresse oder aus ähnlichen Subnetzen zu viele fehlerhafte Versuche gegeben hat, werden alle weiteren Login-Versuche abgelehnt, sodass man bis zu einer Minute warten muss, bis eine Anmeldung wieder erlaubt ist. Wenn das Rate-Limiting für fehlgeschlagene Anmeldeversuche überschritten ist, wird eine entsprechende Fehlermeldung mit dem HTTP-Status-Code 429 (Too Many Requests) ausgegeben.

Damit man das Rate-Limiting nicht einfach durch den Wechsel der IP-Adresse umgehen kann (was insbesondere für IPv6 wichtig ist), werden auch ähnliche Subnetze beachtet.

Bei IPv4 werden für jedes Minuten-Intervall folgende Limits für fehlgeschlagene Anmeldeversuche erzwungen:

  • 20 von der gleichen IP-Adresse.

  • 200 aus dem gleichen /24-Subnetz.

  • 2000 aus dem gleichen /20-Subnetz.

Bei IPv6 sind die Limits pro Minute wie folgt:

  • 20 von der gleichen IP-Adresse.

  • 200 aus dem gleichen /64-Subnetz.

  • 400 aus dem gleichen /56-Subnetz.

  • 1000 aus dem gleichen /48-Subnetz.

  • 2000 aus dem gleichen /32-Subnetz.

Fehlgeschlagene Anmeldeversuche, die länger als eine Minute her sind, werden regelmäßig wieder aus der Datenbank gelöscht.

Datensätze bearbeiten

Im mittleren Arbeitsbereich oben finden Sie die Schaltflächen Aktualisieren, Suchen, + Neu, Bearbeiten und x Löschen sowie deaktivierte anzeigen. Diese Schaltflächen funktionieren für alle Daten gleich und werden deshalb hier zentral beschrieben.

../_images/funktionsweise-datensaetze-bearbeiten.png

Aktualisieren bedeutet, dass die Ansicht neu aufgebaut wird. Dies kann nötig sein, wenn Änderungen an einer anderen Stelle (beispielsweise in einem zweiten Browser-Tab) durchgeführt wurden, sich aber auf die hier dargestellten Datensätze auswirken.

Die Schaltfläche Suchen funktioniert für alle Datensätze gleich: Über der jeweiligen Liste erscheint eine Zeile, in der sie Feldnamen auswählen, Zielwerte eingeben und diese mit verschiedenen Vergleichsoperatoren suchen können. Sie können auch Suchanfragen verketten.

../_images/funktionsweise-suche.png

Mit + Neu wird ein neuer Benutzer, ein neues Archiv, ein neuer Speicher usw. angelegt. Abhängig vom Datensatz wird die Erstellmaske im rechten Arbeitsbereich oder über dem mittleren Arbeitsbereich dargestellt.

Mit Bearbeiten können Sie den ausgewählten Datensatz ändern.

Die Schaltfläche x Löschen wird manchmal ausgegraut, falls der Datensatz nicht sofort gelöscht werden kann. Zum Beispiel können keine Speicher gelöscht werden, solange noch Ablageorte mit ihnen verbunden sind.

Mit einem Haken bei deaktivierte anzeigen sehen Sie auch die Datensätze, die deaktiviert wurden. Dazu benötigen Sie die entsprechende Berechtigung.

Alle Listen im mittleren Arbeitsbereich können sortiert werden, indem man auf die Spaltenköpfe klickt. Durch einen einfachen Klick auf den Spaltenkopf wird die Sortierreihenfolge umgedreht.

Außerdem haben Sie dann am rechten Ende des Spaltenkopfes einen Dropdown-Pfeil, über den Sie abermals die Sortierreihenfolge ändern können bzw. Spalten ein- und ausblenden können. Durch Drag & Drop der Spaltentitel kann die Reihenfolge der angezeigten Spalten angepasst werden.

../_images/funktionsweise-sortierreihenfolge.png

Versionierung von Vorgängen

Es ist möglich, eine neue Version eines Vorgangs zu erzeugen, die im Vergleich zum vorherigen Vorgang veränderte Daten enthält. Die alte Version bleibt dabei vollständig und revisionssicher erhalten.

Eine neue Version wird revisionssicher gespeichert, wenn

  • revisionssichere Felder geändert werden.

  • das Dokument im Anhang geändert wird.

  • ein Anhang hinzugefügt/entfernt wird. Wenn in einer Rolle die Option „Dokumente hinzufügen“ erlaubt ist, können in einem Vorgang noch nachträglich Dokumente hinzugefügt werden. Die neue Version enthält dann sowohl die alten als auch neu hinzugekommenen Dokumente und die alte Version bleibt ohne die neuen Dokumente weiterhin als versteckter Vorgang verfügbar.

Beim Erzeugen einer neuen Version geschieht folgendes:

  1. Der im Datengitter angezeigte Datensatz wird vollständig kopiert. Werte für eigene Datenfelder können dabei verändert werden (bislang nur in der API unterstützt). Einige Felder (Archivuser, Archivdatum) können nicht verändert werden und werden von der Originalversion unverändert übernommen.

  2. Bestehende Dokumente werden mit dem neuen Vorgang verknüpft und eventuelle neue Dokumente hinzugefügt. Auch wenn ein Dokument nun gleichzeitig an mehreren Vorgängen anhängt, wird es nur einmal im Speicher abgelegt, sodass das Erzeugen von neuen Versionen nur sehr wenig Speicherplatz benötigt.

  3. Das neue Feld Version wird um eins hochgezählt. Der Originalvorgang startet grundsätzlich mit Version 1.

  4. Es wird ein Historien-Eintrag im Vorgang geschrieben, dass eine neue Version erzeugt wurde.

  5. Die vorherige Version des Vorgangs wird als versteckt markiert. Somit bekommen normale Benutzer nur noch die neue Version zu sehen, die alte kann aber von Administrator-Benutzern optional noch aufgerufen und auch wieder sichtbar gemacht werden.

Alle Versionen eines Vorgangs teilen sich eine gemeinsame Historie und Bemerkungen. Wenn bei einem Vorgang die Terminplanung konfiguriert ist, wird der Termin auf die neue Version migriert.

Die neue Version des Vorgangs hat eine eigene ID und eine neue Hash-ID. Externe Systeme, die sich diese IDs merken, sollten ihre gespeicherten Werte daher entsprechend aktualisieren, damit die aktuelle Version angezeigt wird. Die alte Version bleibt unter der alten ID weiterhin abrufbar.

Bearbeiten von Dokumenten

Im SmartClient ist es möglich, bestehende angehängte Dokumente zu bearbeiten und durch eine veränderte Datei zu ersetzen, wobei wiederum eine neue Version des Vorgangs im Archiv angelegt wird. Damit ein Dokument bearbeitet werden kann, muss die Option Dokumente bearbeiten in der Rollenkonfiguration aktiviert werden.

Mit dem Stift-Button kann der Bearbeitungsmodus für das Dokument begonnen werden:

../_images/funktionsweise-dokumentebearbeiten.png

Sobald ein Dokument von einem Benutzer in den Bearbeitungsmodus geschaltet wird, ist es für alle anderen Benutzer für die Bearbeitung gesperrt: Um Konflikte zu vermeiden, kann ein einzelnes Dokument nie von zwei Benutzern gleichzeitig bearbeitet werden.