Wie lange dauert die Integration von Dokuflex mit unserem Active Directory?

Eine Standardintegration mit AD/LDAP wird in unter einer Stunde im Administrationspanel konfiguriert: Domain-Controller-URL, Bind DN, Base DN und Attribut-Mapping. Für Umgebungen mit ADFS oder SAML beträgt die typische Bereitstellung 2 bis 4 Stunden inklusive Metadatenaustausch, Zertifikate und Tests mit Pilotnutzern.

SSO in Dokuflex: Active Directory, ADFS, OAuth, SAML, CAS und 2FA

Q: Welche Authentifizierungsstandards unterstützt Dokuflex?

Dokuflex unterstützt nativ Active Directory (LDAP/LDAPS), ADFS, SAML 2.0, OAuth 2.0, OpenID Connect (OIDC), Microsoft Entra ID (vormals Azure AD), Google Workspace, Okta, CAS (Central Authentication Service) und lokale Authentifizierung mit Passwortrichtlinien. Über jeden dieser Standards lässt sich 2FA/MFA aktivieren (TOTP, SMS, E-Mail, Push, WebAuthn/FIDO2 für Administratoren).

Q: Kann 2FA nur für Administratoren oder bestimmte Rollen aktiviert werden?

Ja. Dokuflex erlaubt MFA-Richtlinien nach Rolle, Gruppe, Netzwerkursprung (IP/CIDR) und Sensibilität der Aktion (Dokument signieren, Zahlung freigeben, Daten exportieren). Standardmäßig ist MFA für Administratoren verpflichtend und für die übrigen Nutzer konfigurierbar.

Q: Funktioniert SSO mit externen Nutzern oder Partnern?

Ja. Sie können mehrere Identitätsprovider gleichzeitig konfigurieren: internes AD für Mitarbeitende, OIDC mit Google oder Microsoft für externe Mitwirkende und lokale Authentifizierung für gelegentliche Lieferanten. Jeder Ablauf behält seine eigene MFA-Richtlinie, sein Rollen-Mapping und seinen unabhängigen Audit-Trail.

Q: Welchen Compliance-Mehrwert bringt das SSO von Dokuflex?

Die SSO/MFA-Funktionen von Dokuflex sind auf das spanische ENS-Sicherheitsrahmenwerk (Kategorie HOCH), ISO/IEC 27001, NIS2 (verstärkte Zugangskontrolle), DSGVO (Datenminimierung und Zugangskontrolle) und eIDAS2 in Kombination mit qualifizierter Signatur abgestimmt. Jede Authentifizierung wird im unveränderlichen Audit-Log aufgezeichnet.

Q: Lässt sich die lokale Authentifizierung deaktivieren, sobald SSO eingerichtet ist?

Ja. Sobald SSO validiert ist, kann erzwungen werden, dass 100 % des Zugriffs über den unternehmenseigenen IdP läuft – nur ein Break-Glass-Administratorkonto mit verstärkter MFA und Nutzungsprotokollierung bleibt erhalten. Dies ist die empfohlene Konfiguration für Organisationen unter NIS2 oder ENS High.

Warum ein BPM unternehmensweites SSO benötigt

Ein BPM verwaltet Vorgänge, Verträge, Rechnungen, Signaturen und Freigaben. Mit anderen Worten: personenbezogene, finanzielle und rechtliche Daten. Jeder Nutzer, der sich außerhalb des Unternehmensperimeters authentifiziert, ist ein Risikovektor und eine zusätzliche Identität, die gepflegt werden muss.

Ohne SSO stapeln sich vier Probleme: schwache oder mehrfach verwendete Passwörter, ehemalige Mitarbeitende mit aktiven Zugängen, Audit-Logs, die sich nicht mit dem unternehmensweiten SIEM korrelieren lassen, sowie ein On- und Offboarding, das sich über Wochen statt Minuten zieht.

Wird SSO an Ihre Wahrheitsquelle angebunden (Active Directory, Entra ID oder Google Workspace), deaktiviert ein HR-Offboarding den Dokuflex-Zugang im selben Provisioning-Zyklus. Ohne Tickets, ohne Excel-Listen.

Unterstützte Protokolle im Überblick

Was out-of-the-box abgedeckt ist – ohne kundenspezifische Entwicklung und ohne versteckte Premium-Module:

Protokoll / Standard	Typischer Anwendungsfall	Support
Active Directory (LDAP/LDAPS)	Authentifizierung gegen das unternehmenseigene AD, on-premise oder hybrid.	✓ Nativ
ADFS (Active Directory Federation Services)	SAML/WS-Fed-Föderation über AD für Windows-Server-Umgebungen.	✓ Nativ
SAML 2.0	Standard-SSO mit jedem SAML-IdP (Okta, OneLogin, Ping, Auth0, Keycloak…).	✓ Nativ
OAuth 2.0 + OpenID Connect (OIDC)	Moderne Authentifizierung mit Authorization-Code- + PKCE-Flows.	✓ Nativ
Microsoft Entra ID (vormals Azure AD)	SSO mit Microsoft 365, Conditional Access, Claims und Gruppen.	✓ Nativ
Google Workspace	SSO mit Google-Unternehmenskonten via OIDC oder SAML.	✓ Nativ
CAS (Central Authentication Service)	Übliches SSO in Universitäten und öffentlichen Verwaltungen mit CAS 3.x.	✓ Nativ
Kerberos / SPNEGO	Transparentes Single Sign-On im Intranet mit Windows-Sitzung.	✓ Nativ
2FA / MFA	TOTP (Google Authenticator, Authy, Microsoft Authenticator), SMS, E-Mail, Push.	✓ Nativ
WebAuthn / FIDO2	Passkeys, YubiKey und biometrische Authentifikatoren für Administratoren.	✓ Nativ
Digitales Zertifikat + eID	Authentifizierung per kryptografischer Smartcard (AC FNMT, ACA, ANCERT, Camerfirma).	✓ Nativ
SCIM 2.0 (Provisionierung)	Automatische Synchronisation von Nutzern und Gruppen vom IdP.	✓ Nativ

Alle Protokolle sind im Business-Plan und höher enthalten – ohne Aufpreis pro Nutzer und ohne separate „Enterprise Security"-Lizenz.

Active Directory und LDAP/LDAPS

Das häufigste Szenario in mittelständischen Unternehmen mit einer Windows-Domain. Dokuflex kommuniziert mit dem Domain-Controller über LDAPS (LDAP über TLS) und authentifiziert den Nutzer, ohne das Passwort jemals zu speichern.

Was Sie in weniger als einer Stunde konfigurieren:

DC-URL: ldaps://dc.empresa.local:636
Technischer Bind DN (Service-Account mit Lesezugriff).
Such-Base-DN: OU=Usuarios,DC=empresa,DC=local
Attribut-Mapping: sAMAccountName, mail, memberOf für Rollen.
Zugehörigkeits-Filter: nur Nutzer in der Gruppe CN=Dokuflex-Users,OU=Apps.

Für hybride Umgebungen (AD on-premise + Entra ID in der Cloud) empfehlen wir, die Authentifizierung an Entra ID via OIDC zu delegieren und LDAP ausschließlich für Backoffice-Integrationen vorzuhalten.

ADFS und SAML 2.0

Wenn Ihre Organisation Anwendungen bereits über ADFS oder einen SAML-IdP (Okta, OneLogin, Ping Identity, Auth0, Keycloak, Shibboleth) föderiert, lässt sich Dokuflex in wenigen Schritten als Service Provider anschließen:

Laden Sie die SP-Metadaten von Dokuflex herunter (XML mit entityID, ACS-URL und Zertifikat).
Importieren Sie sie in Ihren IdP als neue Relying Party / Application.
Definieren Sie die Claims, die in der SAML-Assertion übertragen werden: NameID, email, groups, department.
Laden Sie die IdP-Metadaten im Dokuflex-Panel hoch.
Mappen Sie SAML-groups → Dokuflex-Rollen.

Wir unterstützen SP-Initiated SSO, IdP-Initiated SSO, Single Logout (SLO), signierte und verschlüsselte Assertions sowie automatische Zertifikatsrotation.

OAuth 2.0 und OIDC mit Google und Microsoft Entra ID

Für Organisationen mit Cloud-Identität ist OAuth 2.0 + OpenID Connect (Authorization Code + PKCE) der empfohlene Flow. Es ist der moderne Standard: Token-Rotation, Refresh-Tokens, als JWT signierte Claims.

M

Microsoft Entra ID

Sie registrieren Dokuflex als Anwendung in Ihrem Tenant, konfigurieren die Redirect URI, definieren Scopes (openid, email, profile, groups) und erzwingen optional Conditional Access.

App Registration mit HTTPS-Redirect-URI.
Entra-ID-Gruppen → Dokuflex-Rollen.
Conditional Access (IP, Gerät, Session-Risiko).
MFA delegiert an Entra ID (Authenticator-App, FIDO2).

G

Google Workspace

Sie legen einen OAuth-Client in der Google Cloud Console an, beschränken die Domain (hd=empresa.com) und mappen Workspace-Gruppen auf Rollen.

Client ID + Client Secret in Google Cloud.
Domain-Beschränkung, um persönliche Konten auszuschließen.
Workspace-Gruppen → Dokuflex-Rollen via Directory API.
2FA delegiert an Google (Authenticator, Titan Key).

In beiden Fällen speichert Dokuflex weder das Passwort noch den Authentifizierungsfaktor: Die Sitzung lebt in Ihrem IdP, Dokuflex erhält ausschließlich das signierte Token.

CAS (Central Authentication Service)

CAS ist der dominierende Standard in öffentlichen Universitäten, Krankenhäusern und Behörden in Spanien und Europa. Dokuflex implementiert CAS 3.x als Client:

Konfiguration der cas-server-url.
Validierung des Service-Tickets via /serviceValidate.
Auslesen von Attributen (Abteilung, Rolle) aus der CAS-Antwort.
Föderierter Logout (Single Sign-Out) mit Benachrichtigung an den CAS-Server.

Wenn Ihre Organisation mit cl@ve, Cl@ve Firma, AutenticaIDP oder anderen IdPs des öffentlichen Sektors arbeitet, lassen sich diese ebenfalls über föderiertes SAML 2.0 integrieren.

2FA / MFA: Faktoren und Richtlinien

Wenn der unternehmenseigene IdP bereits MFA erzwingt (Entra ID Conditional Access, Google 2-Step), respektiert Dokuflex dies, ohne einen zusätzlichen Faktor anzufordern. Wenn nicht, wendet Dokuflex MFA direkt beim Login an.

Unterstützte Faktoren:

TOTP (RFC 6238): Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden.
WebAuthn / FIDO2: YubiKey, Geräte-Passkeys (Touch ID, Windows Hello), Titan-Schlüssel.
SMS (mit den von NIST empfohlenen Einschränkungen für sensible Umgebungen).
E-Mail-OTP für externe Nutzer ohne Firmen-Smartphone.
Push-Benachrichtigung aus der mobilen Dokuflex-App.
Digitales Zertifikat + eID als zweiter Faktor bei Signaturvorgängen.

Konfigurierbare Richtlinien: verpflichtend für Administratoren, bedingt nach Rolle, nach IP (intern ohne MFA / extern mit MFA), nach Sensibilität (signieren, exportieren, freigeben > X €) und nach Sitzungs-Inaktivität.

Automatische Provisionierung (SCIM 2.0) und JIT

Über den Login hinaus synchronisiert Dokuflex auf zwei Arten mit Ihrem IdP:

JIT (Just-In-Time): Der Nutzer wird beim ersten SSO-Login automatisch in Dokuflex angelegt. Praktisch für SAML/OIDC mit Gruppen als Claims.
SCIM 2.0: proaktive Synchronisation aus Entra ID, Okta, OneLogin oder Workspace. Erstellt, aktualisiert und deaktiviert Nutzer und Gruppen in Echtzeit aus dem IdP heraus – ohne manuelle Eingriffe.

Kombiniert: Wenn HR eine Person in Workday/SAP SuccessFactors offboardet, fließt die Änderung zum IdP und von dort innerhalb von Minuten zu Dokuflex. Null verwaiste Zugänge.

Regulatorische Compliance

Das SSO/MFA von Dokuflex ist darauf ausgelegt, folgende Audits zu bestehen:

ENS High

Verstärkte Zugangskontrolle (op.acc.5/6/7), Nachvollziehbarkeit (op.mon.1) und verpflichtende MFA in HOCH-Kategorien (spanischer ENS-Rahmen).

NIS2

Artikel 21: Zugangskontrolle, MFA und Identitätsmanagement als verpflichtende Maßnahmen.

ISO/IEC 27001

Kontrollen A.9 (Zugangskontrolle) und A.8 (Identitätsmanagement), durchgängige Nachvollziehbarkeit.

DSGVO

Datenminimierung (nur notwendige Claims) und Prinzip der minimalen Rechte für personenbezogene Daten.

Jede Authentifizierung, jeder Fehlversuch, jeder MFA-Faktorwechsel und jede Richtlinienänderung wird im unveränderlichen Log von Dokuflex aufgezeichnet und ist per Syslog oder API in Ihr SIEM (Splunk, QRadar, Elastic, Sentinel) exportierbar.

CISO-Checkliste vor dem Rollout

1. Autoritativen IdP gewählt: Entra ID, Google Workspace oder ADFS als einzige Quelle.
2. MFA für Administratoren durchgesetzt: verpflichtend, mit WebAuthn/FIDO2 als empfohlenem Hauptfaktor.
3. Break-Glass-Konto: ein lokales Notfallkonto mit verstärkter MFA und Nutzungsprotokollierung, außerhalb des IdP.
4. Rollen-Mapping validiert: IdP-Gruppen ↔ Dokuflex-Rollen dokumentiert und vom Business freigegeben.
5. SLO getestet: Abmelden im IdP beendet auch die Dokuflex-Sitzung.
6. Logs ans SIEM angebunden: Authentifizierungsereignisse werden an das Security Operations Center gestreamt.
7. Sitzungsrichtlinie: Token-Lebensdauer, Re-Authentifizierung für sensible Aktionen, IP-Allowlist sofern relevant.

Häufig gestellte Fragen

Welche Authentifizierungsstandards unterstützt Dokuflex? +

Active Directory (LDAP/LDAPS), ADFS, SAML 2.0, OAuth 2.0, OpenID Connect, Microsoft Entra ID, Google Workspace, Okta, CAS, Kerberos/SPNEGO, digitales Zertifikat + eID sowie SCIM 2.0 für die Provisionierung. Darüber hinaus 2FA/MFA via TOTP, WebAuthn/FIDO2, SMS, E-Mail und Push.

Wie lange dauert die Integration von Dokuflex mit unserem AD? +

Eine Standardintegration mit AD/LDAP wird in unter 1 Stunde eingerichtet. Für ADFS oder SAML beträgt ein typisches Rollout 2 bis 4 Stunden inklusive Metadatenaustausch, Zertifikate und Tests mit Pilotnutzern. Ein Ingenieur begleitet Sie während der Sitzung.

Kann 2FA nur für Administratoren oder bestimmte Rollen aktiviert werden? +

Ja. MFA-Richtlinien nach Rolle, Gruppe, Netzwerkursprung (IP/CIDR) und Aktions-Sensibilität (signieren, Zahlung freigeben, Daten exportieren). Standardmäßig ist MFA für Administratoren verpflichtend.

Funktioniert SSO mit externen Nutzern oder Partnern? +

Ja. Mehrere IdPs gleichzeitig: internes AD für Mitarbeitende, OIDC mit Google oder Microsoft für externe Mitwirkende, lokale Authentifizierung für gelegentliche Lieferanten. Jeder Ablauf mit eigener MFA-Richtlinie, Rollen-Mapping und Audit-Trail.

Welchen Compliance-Mehrwert bringt das SSO von Dokuflex? +

Abgestimmt auf ENS High, ISO/IEC 27001, NIS2 (verstärkte Zugangskontrolle), DSGVO (Datenminimierung und Zugangskontrolle) und eIDAS2 in Kombination mit qualifizierter Signatur. Alles wird im unveränderlichen Audit-Log aufgezeichnet.

Lässt sich die lokale Authentifizierung deaktivieren, sobald SSO eingerichtet ist? +

Ja. Sobald SSO validiert ist, lässt sich erzwingen, dass 100 % des Zugriffs über den unternehmenseigenen IdP laufen – nur ein Break-Glass-Konto mit verstärkter MFA und Nutzungsprotokollierung bleibt erhalten. Es ist die empfohlene Konfiguration für Organisationen unter NIS2 oder ENS High.

SSO in Dokuflex: Active Directory, ADFS, OAuth, SAML, CAS und 2FA — alle Standards der Unternehmensauthentifizierung