Die folgenden Voraussetzungen müssen erfüllt sein, um mit dem DMS-Viewer (Browseranwendung) aus dem Internet (z.B. über BRZ 365 Finance / Construction) auf eine lokale BRZ-DMS Umgebung zugreifen zu können.


Benötigte DMS-Lizenzen

  • Bei Nutzung einer lokalen DMS-Installation:
    Freie Benutzerlizenz für DMS Web-Client (oder alternativ DMS Windows-Client)
  • Bei Nutzung von BRZ 365 DMS (z.B. für BRZ TeamsBuilder):
    DMS-Benutzerlizenz für den jeweiligen Benutzer


Technische Anforderungen

  • Aktive Internetverbindung auf dem Endgerät

Zusätzlich - nur bei Nutzung einer lokalen DMS-Installation:

  • Installierte, aktuelle lokale BRZ-DMS Umgebung
  • Internetanschluss mit fester IPv4-WAN-Adresse und verknüpften DNS-Namen (z.B. „dms.kunde.de“)
  • NAT fähige Firewall
  • Öffentlich beglaubigtes SSL-Zertifikat für den DNS-Namen (z.B. „dms.kunde.de“) zur HTTPS-Verschlüsselung. Ein selbst signiertes („self-signed“) SSL-Zertifikat ist nicht ausreichend.

Mit den obigen Voraussetzungen kann der lokale BRZ-DMS-Server in das Internet über eine URL freigeschaltet und ist dann per Browser erreichbar. Hierzu ist es notwendig, eine Portweiterleitung (NAT) auf der Firewall einzurichten und das SSL-Zertifikat auf dem BRZ DMS Server zu installieren: 


Portweiterleitung für den DMS-Client/Viewer (HTTPS):

  1. Beispiel: https://dms.kunde.de (extern, 443 TCP) -> http://dms-servername:8085 (intern, 8085 TCP)
  2. Beispiel (alternativ): https://dms.kunde.de (extern, 8085 TCP) -> https://dms-servername:8085 (intern, 8085 TCP)
     

Portweiterleitung für DMS-Webservice (HTTPS):

Diese Weiterleitung ist nur notwendig, wenn auch der Metasonic Webservice aus dem Internet

erreichbar sein soll. Dies ist z.B. für eine Hybrid Umgebung mit BRZ 365 Finance / Construction notwendig; sofern lediglich der DMS-Viewer genutzt werden soll, wird diese Portweiterleitung nicht benötigt.

  1. Beispiel: https://dms.kunde.de (extern, 443 TCP) -> http://dms-servername:8091 (intern, 8091 TCP)
  2. Beispiel (alternativ): https://dms.kunde.de (extern, 8091 TCP) -> https://dms-servername:8091 (intern, 8091 TCP)


Falls sowohl der DMS-Client/Viewer als auch der DMS-Webservice freigeschaltet werden müssen (alternativ könnten auch zwei unterschiedliche DNS-Namen mit jeweils einem öffentlichen SSL-Zertifikat genutzt werden):

  1. DMS-Client/Viewer: https://dms.kunde.de (extern, 443 TCP) -> http://dms-servername:8091 (intern, 8091 TCP)
  2. DMS-Webservice: https://dms.kunde.de (extern, 8091 TCP) -> https://dms-servername:8091 (intern, 8091 TCP)



Wichtiger Hinweis:

Durch die Freischaltung des BRZ DMS Servers in das Internet entsteht eine Angriffsfläche auf das lokale Netzwerk. Aus diesem Grund müssen je nach angestrebtem Sicherheitsniveau weitere technische Sicherheitsfunktionen implementiert werden.

 

Für eine minimale IT-Sicherheit werden seitens BRZ folgende Punkte empfohlen: 

  1. Backup der Daten 
  2. Sicheres DMS-Kennwort nach BSI-Empfehlung bei allen DMS-Benutzern 
  3. Aktuelles Betriebssystem und aktuelle BRZ DMS Version 
  4. Moderner Virenscanner (z.B. Defender for Server) auf dem BRZ DMS Server 
  5. Moderne Firewall (z.B. Sophos) mit Netzwerkbedrohungsfilter (IDS/IPS) 

 

Für eine erhöhte Sicherheit werden folgende Punkte empfohlen: 

  1. Abgrenzung des BRZ DMS Servers in einer dedizierten DMZ 
  2. Geo-Blocking 
  3. Web-Application-Firewall (WAF) mit intelligenten Sicherheitsfunktionen 
  4. Permanentes Monitoring & regelmäßige Security-Audits



Administrative Anforderungen

  • Jeder DMS-Benutzer, der den DMS-Viewer nutzen möchte, benötigt in seinem Benutzerprofil das sogenannte „Basisprofil Web“, damit er Zugriff auf den DMS Web-Client erhält. Die Zuweisung dieses Profils erfolgt in der DMS Administrations-Anwendung (DocAdmin oder Enterprise Manager).

 

Zusätzlich - nur wenn der Aufruf aus BRZ TeamsBuilder erfolgen soll:

  • In der DMS-Umgebung des Kunden muss ein DMS-Benutzeraccount existieren, der die Berechtigung für all diejenigen Dokumentenklassen besitzt, die im TeamsBuilder DMS Viewer zugeordnet werden können sollen.
     Dieser Benutzeraccount wird im TeamsBuilder eingetragen und verwendet, um die Liste aller verfügbaren Dokumentenklassen aus dem DMS abzurufen.



Support

Bitte geben Sie diese Anforderungen an Ihren IT-Dienstleister weiter. Sofern Sie bzgl. der technischen Anforderungen Beratung oder Unterstützung benötigen, stehen Ihnen unsere Spezialisten vom IT-Consulting gerne zur Verfügung (kostenpflichtige Leistung).

Bei Fragen zu DMS-Themen hilft Ihnen unser DMS-Support gerne weiter.