Tech Brief – empower® Lösungen und Produkte

Benötigte Berechtigungen: IT-Admin

Unten finden Sie eine Tabelle mit einem Überblick über alle technologischen Anforderungen und Spezifikationen für empower^®.

Technologie

Frontend (Desktop): .NET Framework, WPF

Frontend (Web): React, TypeScript

Frontend (Mac):  SwiftUI, React, TypeScript

Backend: .NET8, .NET Framework, Traefik, Consul

Hosting: Azure (Verwendung von Azure VMs, Azure SQL, etc.)

Monitoring: Azure Monitor, Prometheus, Grafana

Browser-Support

Chrome: Aktuellste Version

Safari: Aktuellste Version

Microsoft Edge: Aktuellste Version

Mozilla: Aktuellste Version

Internet Explorer: Nicht unterstützt

Cloud Platform und Sicherheit

Das empower Backend und die Web-Komponenten werden auf Microsoft Azure Resources gehostet (Azure VMs, Azure SQLs, etc.)

Daten werden innerhalb der Azure-Plattform gespeichert (PaaS).

Microsoft Azure ist unter anderem mit ISO 27001 und PCI DSS zertifiziert.

Für weitere Informationen zur Sicherheit und Compliance von Microsoft Azure siehe Microsoft Trust Center.

Microsoft Azure bietet SLA von 99,95 % für Kubernetes (Website und API) und 99,99 % für die Datenspeicherung.

Für weitere Informationen zu Microsoft SLA siehe Service Level Agreements (SLA) for Online Services.

Skalierung

Das empower^® Backend wird unter Berücksichtigung der Skalierbarkeit entwickelt und gehostet.

Geofencing

empower^® kann in allen verfügbaren öffentlichen Azure-Regionen gehostet werden. Während des Einrichtungsprozesses arbeiten wir mit unseren Kunden zusammen, um die optimale Region zu bestimmen.

Azure stellt sicher, dass die Backups die geografische Region des Tenants nicht verlassen, indem es gepaarte Datenzentren innerhalb derselben Geografie verwendet.

Für weitere Informationen siehe Azure Regionenpaare und nicht verpaarte Regionen.

Das bedeutet auch, dass die Backups von Tenants, die in der EU gehostet werden, in einer anderen Region gespeichert werden, die ebenfalls in der EU liegt.

Datenspeicher

Alle Daten werden in SQL Azure gespeichert, mit regelmäßigen Backups, die bei Bedarf eine punktgenaue Wiederherstellung ermöglichen.

Temporäre Cache-Daten werden auf Azure VMs gespeichert.

Gast- und Datenisolierung

Die Isolierung von anderen Microsoft-Azure-Kunden wird durch das Azure-Backend verwaltet.

Mit Ausnahme von empower^® Express verwendet empower^® Single-Tenant-Datenbanken und Anwendungsserver für jeden Kunden, wodurch verhindert wird, dass ein Benutzer auf Daten aus anderen Tenants zugreift.

Eine fein abgestufte Zugriffskontrolle auf der Ebene von Bibliotheksordnern stellt sicher, dass Benutzer nur Aufgaben ausführen können, für die sie autorisiert wurden.

Für empower^® Express, eine mandantenfähige Umgebung, wird dasselbe robuste Zugriffskontrollsystem verwendet, um Kundendaten zu isolieren.

Verschlüsselung

Die gesamte Kommunikation zwischen dem empower^® Backend und Clients (sowohl Desktop- und Web-Komponenten als auch Integrationen von Drittanbietern) ist SSL-verschlüsselt (TLS Version 1.2/1.3).

Alle Daten im Ruhezustand (sowohl Datenbanken als auch VMs/Festplatten) werden durch die von der Azure-Plattform verwaltete Verschlüsselung im Ruhezustand verschlüsselt (AES-256 Bit).

Open-Source-Komponenten

Es wird eine Auswahl sicherer und qualifizierter Open-Source-Komponenten verwendet, die ständig auf Patches und Sicherheitslücken überprüft werden.

Auftragsdatenverarbeitungsvertrag

Auf unseren allgemeinen Auftragsdatenverarbeitungsvertrag können Sie unter DPA zugreifen.

Für die empower^® Express Plattform können Sie unter Right Aligned – Terms and Conditions auf den Auftragsdatenverarbeitungsvertrag zugreifen.

Authentifizierung

Open ID Connect wird standardmäßig mit Microsoft Entra ID und Okta unterstützt. Andere OIDC-Anbieter, auch proprietäre, können auf Anfrage verwendet werden.

Bei On-Premises-Installationen wird auch die Windows-Authentifizierung (Active Directory) mit Kerberos und NTLM unterstützt.

Benutzerbereitstellung

empower^® unterstützt SCIM zur Bereitstellung von Benutzerkonten.

Zusätzlich zu SCIM wird die aktive Synchronisierung von Benutzern (Abrufen von Benutzern vom Identitätsanbieter) für On-Premises Active Directory, Microsoft Entra ID und Okta unterstützt.

Single Sign-On

Microsoft Entra ID über App in Microsoft Entra ID (mit Open ID Connect).

Okta über die App in Okta (mit Open ID Connect).

On-Premises-Installationen können auch Windows-Authentifizierung (Kerberos/NTLM) für SSO verwenden.

IT-Sicherheitszertifikate von empower^® als Organisation

Wir verfügen über eine ISO 27001-Zertifizierung.

Unser Zertifikat kann unter folgendem Link abgerufen werden:

Zertifikat anzeigen

Logging

Erfolgreiche und fehlgeschlagene Anmeldungen werden von dem vom Kunden verwendeten Identitätsanbieter (Azure Directory, Microsoft Entra ID, Okta, etc.) erfasst.

Das Datum der letzten Anmeldung für einzelne Benutzer wird ebenfalls auf Datenbankebene protokolliert.

Privilegierte Verwaltungsvorgänge durch das empower^® Operations Team werden in Azure und unserem externen Monitoring-System protokolliert.

Verwendete Ports für die Kommunikation zwischen Gerät und Anwendung

Lizenzregistrierung: Port 443 – DNS: activate.madeinoffice.com oder activate.empowersuite.com – Protokoll: TCP/IP

Client-Verbindung zum Backend: Port 443 – DNS: URL zu Ihrem Anwendungsserver – Protokoll: TCP/IP