ユーザープロビジョニングは、オンプレミスのActive DirectoryからユーザーとグループをDocuWareに同期します。ユーザーアカウントを手動で作成・管理する代わりに、ディレクトリサービスとDocuWare間の接続を構成することで、ユーザーアカウント、グループメンバーシップ、およびステータスの変更がスケジュールに従って自動的に転送されます。
セットアップは3つのパートで構成されます。DocuWareでのユーザープロビジョニングプラグインとアプリ登録の構成、ユーザープロビジョニングコンフィグレーターアプリケーションでのActive Directoryへの接続設定、そしてWindowsタスクスケジューラによる同期のスケジュール設定です。
DocuWare側の構成は、DocuWare 環境設定 > 全般 > ユーザープロビジョニングおよびDocuWare 環境設定 > Integrations > アプリの登録で行います。ユーザープロビジョニングコンフィグレーターは、ユーザープロビジョニングプラグインのページから別途ダウンロードできます。
この記事はDocuWareオンプレミス 7.14以降を対象としています。DocuWareオンプレミス 7.12または7.13でのユーザープロビジョニングについては、こちらをご覧ください。
ユーザープロビジョニング用のDocuWare構成
ユーザープロビジョニングコンフィグレーターを使用する前に、DocuWareで機能を有効にし、アプリ登録を作成します。アプリ登録は、コンフィグレーターがDocuWareシステムに対して認証するための資格情報を提供します。
DocuWare 環境設定 > 全般 > ユーザープロビジョニングに移動し、ユーザープロビジョニングを有効にするを有効にします。
Identity Providerドロップダウンで、On Premiseを選択します。
アプリの登録ドロップダウンで、既存のアプリ登録を選択するか、アプリの登録を作成を選択して新しいアプリ登録を作成します。
新しいアプリ登録を作成した場合は、アプリケーションの名前を入力します。
作成したアプリ登録から、Application (Client) IDとClient Secretをコピーします。Doneボタンをクリックします。
ユーザープロビジョニングテナントURLとToken endpoint URLをコピーします。
これで、ユーザープロビジョニングコンフィグレーターをDocuWareに接続するために必要な4つの値が揃いました。
Application (Client) ID
Client Secret
ユーザープロビジョニングテナントURL
およびToken endpoint URL
プラグインページからユーザープロビジョニングコネクタツールをダウンロードし、Saveボタンをクリックします。
ユーザープロビジョニングコンフィグレーターの設定
ユーザープロビジョニングコンフィグレーターは、DocuWareとActive Directoryの両方の接続設定を保存するデスクトップアプリケーションです。複数のディレクトリサーバーから同期する必要がある場合は、複数の構成を作成できます。
前の手順でダウンロードした
Docuware.userSyncOnPrem.zipを展開し、UserProvisioningConfiguratorフォルダを開いて、UserProvisioningConfigurator.exeを実行します。Create Configuration Fileを選択します。
環境としてDocuWare On-Premiseを選択し、Continueボタンをクリックします。
前のセクションの手順7で取得した4つの資格情報の値(Application (Client) ID、Client Secret、ユーザープロビジョニングテナントURL、Token endpoint URL)を入力します。必要に応じてTest Connectionで検証できます。
Add Configurationを選択して、ディレクトリ接続の構成を開始します。
構成の編集を開始すると、さまざまな設定のタブメニューが表示されます。既定では、Generalタブのすべてのオプションがtrueに設定されています。
Connectionタブをクリックし、LDAPまたはMicrosoftを選択します。
必要な情報を追加します。
BaseDNとGroups DNは以下の構文に従う必要があります。
Groups DNの例:
cn=Admins,dc=example,dc=comまたはcn=Developers,ou=IT,dc=company,dc=orgBaseDNの例:
dc=example,dc=comまたはou=IT,dc=company,dc=org
ObjectsタブとMappingsタブには、選択したADタイプに基づいて必要なデータが事前入力されています。
必要に応じて、Domain InformationタブでCreate Network IDオプションを有効にします。このオプションはDocuWareオンプレミス環境でのみサポートされています。
ドメイン名を入力します。
適切なNetworkIdAttributeを設定します。例:
userPrincipalName注意:これらの属性は新しく作成されたユーザーにのみ追加されます。既にプロビジョニングされたユーザーの場合、これらの属性は後から更新されません。
Test Configurationボタンをクリックして構成をテストできます。
Groupsタブをクリックし、次にConnect to ADボタンをクリックします。
利用可能なグループの一覧が表示されます。プロビジョニングが必要なグループを選択できます。
グループを選択した後、再度構成をテストできます。
構成を保存すると、プロビジョニング接続ビューに表示されます。各構成は更新または削除できます。
複数のサーバーやActive Directoryへの接続を作成するには、それぞれに個別の構成を作成する必要があります。
プロビジョニング接続データを入力し、少なくとも1つの有効な構成を作成したら、Saveをクリックしてプロビジョニングファイルを保存できます。
ユーザープロビジョニングコンフィグレーターアプリケーションを閉じます。構成はすでに保存されており、次のフォルダにあります:
C:\ProgramData\DocuWare\UserProvisioningConfig次に、ユーザーとグループの同期を実行するためのWindowsタスクを作成してスケジュールします。
Windowsタスクスケジューラを開き、基本タスクの作成をクリックします。
ウィザードに表示される手順に従います。タスクの名前を入力します。
同期をトリガーするタイミングを選択します。
Actionを選択します。
実行するタスクと、使用する引数(構成)を選択します。
プログラム/スクリプトには、DocuWare\PowerTools\UserProvisioning\UserSyncExeを参照し、UserProvisioning.exeを選択します。
引数には、Windowsアプリケーションからコピーしたファイル名(
userProvisioning_config_1.json)を入力します。
Finishをクリックし、同期が完了するのを待ちます。
同期が完了すると、ユーザープロビジョニングコンフィグレーターに以下の情報が表示されます。
失敗したユーザーやグループがある場合、Timestampフィールドを以前の日付に編集することで、同期タスクを再実行できます。
ログは次の場所にあります:
C:\ProgramData\DocuWare\UserProvisioningConfig
注意事項:
ユーザープロビジョニングで作成された新しいユーザーには、3時間有効なパスワードリセットリンクを含むウェルカムメールが送信されます。SMTPサーバーの構成を推奨します。構成されていない場合、システムのパフォーマンスに悪影響を及ぼす可能性があります。
同期を実行するユーザーアカウントが、Active Directory内の関連するすべてのユーザープロパティを読み取る権限を持っていることを確認してください。適切な同期のために必要です。
DocuWare CloudシステムでADFSをIdentity Providerとして使用してSSOを正しく構成するには、ユーザー名のマッピング属性として
userPrincipalNameを設定することを強く推奨します。同期グループからユーザーを削除しても、ユーザーは無効化されません。グループから削除されるだけです。DocuWareでユーザーを正しく無効化するには、Active Directoryでそのアカウントを無効化する必要があります。
外部ディレクトリから完全に削除されたユーザーは、DocuWareでは自動的に更新されません。ユーザープロビジョニングアプリは、定義済みの既存ユーザーの変更のみを同期します。外部ディレクトリからユーザーが削除された場合、プロビジョニング対象のグループも変更されない限り(メンバーシップの変更やタイムスタンプのリセットなど)、アプリはその変更を検出しません。その場合、DocuWareではユーザーがグループから削除されますが、アクティブなままとなります。
以下の表は、外部ディレクトリ(Active Directoryなど)でのユーザー変更が、ユーザープロビジョニングによるDocuWareのユーザー同期にどのように影響するかを説明しています。
外部ディレクトリのステータス | DocuWareアプリのユーザー同期 | DocuWare |
ユーザーが無効化された | ステータスを転送する | ユーザーが無効化される |
ユーザーが外部ディレクトリ内で移動された | ユーザーが同期グループに属さなくなったことを検出する | ユーザーはアクティブなまま |
ユーザーがディレクトリから削除された | 他のグループ変更やタイムスタンプのリセットがない限り、変更を転送しない。その場合、ユーザーはグループから削除される | ユーザーはアクティブなまま |