Die folgenden Voraussetzungen müssen erfüllt sein, um mit der Browseranwendung "DMS-Viewer" auf eine lokale BRZ-DMS Umgebung zugreifen zu können. Dies wird z.B. bei der Integration von einem lokalen DMS in eine BRZ 365 Construction oder BI benötigt.


Benötigte DMS-Lizenzen

  • Bei Nutzung einer lokalen DMS-Installation:
    Freie Benutzerlizenz für DMS Web-Client (oder alternativ DMS Windows-Client)
  • Bei Nutzung von BRZ 365 DMS:
    DMS-Benutzerlizenz für den jeweiligen Benutzer


Technische Anforderungen (bei reinem Zugriff aus dem internen Netz oder durch einen VPN-Client)

  • Aktive interne Netzwerkverbindung bzw. VPN auf dem Endgerät
  • Installierte, aktuelle lokale BRZ-DMS Umgebung
  • Verknüpfter DNS-Namen (z.B. „dms.kunde.de“), der auf die interne IP-Adresse des DMS-Servers verweist.
  • Öffentlich beglaubigtes SSL-Zertifikat für den DNS-Namen (z.B. „dms.kunde.de“) zur HTTPS-Verschlüsselung. Ein selbst signiertes („self-signed“) SSL-Zertifikat ist nicht ausreichend. Dieses muss in der IIS-Komponente auf dem DMS-Server installiert werden. 

Mit den obigen Voraussetzungen kann der lokale BRZ-DMS-Server über eine URL im internen Netz erreichbar gemacht werden und ist dann per Browser erreichbar.


Schaubild für den Client-Zugriff und die Integration zwischen lokalem DMS-Server und BRZ 365



Technische Anforderungen (bei zusätzlichem Zugriff auch aus dem Internet)

  • Aktive Internetverbindung auf dem Endgerät
  • Installierte, aktuelle lokale BRZ-DMS Umgebung
  • Internetanschluss mit fester IPv4-WAN-Adresse und verknüpften DNS-Namen (z.B. „dms.kunde.de“), der auf die öffentliche feste IP-Adresse verweist.
  • NAT fähige Firewall mit Portweiterleitung (siehe unten)
  • Öffentlich beglaubigtes SSL-Zertifikat für den DNS-Namen (z.B. „dms.kunde.de“) zur HTTPS-Verschlüsselung. Ein selbst signiertes („self-signed“) SSL-Zertifikat ist nicht ausreichend. Dieses muss in der IIS-Komponente auf dem DMS-Webserver installiert werden.
  • Erweiterte Sicherheitsfunktionen (siehe unten) werden empfohlen.


Mit den obigen Voraussetzungen kann der lokale BRZ-DMS-Server über eine URL im Internet erreichbar gemacht werden und ist dann per Browser erreichbar.


Portweiterleitung für den DMS-Client/Viewer (HTTPS):

  1. Beispiel: https://dms.kunde.de (extern, 443 TCP) -> https://dms-servername:8085 (intern, 8085 TCP)
  2. Beispiel (alternativ): https://dms.kunde.de (extern, 8085 TCP) -> https://dms-servername:8085 (intern, 8085 TCP)
     

Portweiterleitung für DMS-Webservice (HTTPS):

Diese Weiterleitung ist nur notwendig, wenn auch der Metasonic Webservice aus dem Internet

erreichbar sein soll. Dies ist z.B. für eine Hybrid Umgebung mit BRZ 365 Finance / Construction notwendig; sofern lediglich der DMS-Viewer genutzt werden soll, wird diese Portweiterleitung nicht benötigt.

  1. Beispiel: https://dms.kunde.de (extern, 443 TCP) -> https://dms-servername:8091 (intern, 8091 TCP)
  2. Beispiel (alternativ): https://dms.kunde.de (extern, 8091 TCP) -> https://dms-servername:8091 (intern, 8091 TCP)


Falls sowohl der DMS-Client/Viewer als auch der DMS-Webservice freigeschaltet werden müssen (alternativ könnten auch zwei unterschiedliche DNS-Namen mit jeweils einem öffentlichen SSL-Zertifikat genutzt werden):

  1. DMS-Client/Viewer: https://dms.kunde.de (extern, 443 TCP) -> https://dms-servername:8085 (intern, 8085 TCP)
  2. DMS-Webservice: https://dms.kunde.de (extern, 8091 TCP) -> https://dms-servername:8091 (intern, 8091 TCP)


Schaubild für externen Zugriff bzw. Hybrid Betrieb mit BRZ 365 Construction/BI



Wichtiger Hinweis:

Durch die Freischaltung des BRZ DMS Servers in das Internet entsteht eine Angriffsfläche auf das lokale Netzwerk. Aus diesem Grund müssen je nach angestrebtem Sicherheitsniveau weitere technische Sicherheitsfunktionen implementiert werden. Falls in einer Hybrid Umgebung mit BRZ 365 Finance / Construction lediglich der Datenaustausch via Webservice genutzt wird, kann über ein Whitelisting auf der Kunden-Firewall die Angriffsfläche stark verringert werden, sodass eine minimale IT-Sicherheit ausreichend ist. Der Austausch zu/von BRZ findet ausschließlich über die IP 40.119.134.146 statt, daher sollte diese auf Kundenseite gewhitelistet werden.

 

Für eine minimale IT-Sicherheit werden seitens BRZ folgende Punkte empfohlen: 

  1. Backup der Daten 
  2. Sicheres DMS-Kennwort nach BSI-Empfehlung bei allen DMS-Benutzern 
  3. Aktuelles Betriebssystem und aktuelle BRZ DMS Version 
  4. Moderner Virenscanner (z.B. Defender for Server) auf dem BRZ DMS Server 
  5. Moderne Firewall (z.B. Sophos) mit Netzwerkbedrohungsfilter (IDS/IPS) 

 

Falls auf dem DMS-Server auch von einem externen Client (ohne VPN) auf dem DMS-Server zugegriffen werden soll, sind aufgrund der erhöhten Angriffsfläche folgende Punkte empfohlen: 

  1. Aufteilung des DMS-Server in einen DMS-Archiv-Server (internes Netz) und einen DMS-Webserver (DMZ)
  2. Geo-Blocking 
  3. Web-Application-Firewall (WAF) mit intelligenten Sicherheitsfunktionen 
  4. Permanentes Monitoring & regelmäßige Security-Audits


Administrative Anforderungen

  • Jeder DMS-Benutzer, der den DMS-Viewer nutzen möchte, benötigt in seinem Benutzerprofil das sogenannte „Basisprofil Web“, damit er Zugriff auf den DMS Web-Client erhält. Die Zuweisung dieses Profils erfolgt in der DMS Administrations-Anwendung (DocAdmin oder Enterprise Manager).


Support

Bitte geben Sie diese Anforderungen an Ihren IT-Dienstleister weiter. Sofern Sie bzgl. der technischen Anforderungen Beratung oder Unterstützung benötigen, stehen Ihnen unsere Spezialisten vom IT-Consulting gerne zur Verfügung (kostenpflichtige Leistung).

Bei Fragen zu DMS-Themen hilft Ihnen unser DMS-Support gerne weiter.