ユーザープロビジョニングデスクトップアプリケーションを起動する前に、DocuWare 環境設定 > アプリの登録およびDocuWare 環境設定 > ユーザープロビジョニングで接続を構成します。
1. ユーザープロビジョニングデスクトップアプリケーションの登録
DocuWare 環境設定 > 統合 > アプリの登録に移動します。
アプリの登録プラグインで、新しいアプリの登録を選択します。
アプリの登録を作成ポップアップで、Webアプリケーションオプションを選択し、続行をクリックします。
.png)
アプリの登録で以下を行います。
名前を入力します。
付与タイプとしてクライアント資格情報オプションを選択します。
保存ボタンをクリックします。
.png)
以下をコピーします。
Application (Client) ID
Client Secret
DocuWare 環境設定に戻り、全般 > ユーザープロビジョニングに移動します。
ユーザープロビジョニングプラグインで、ユーザープロビジョニングを有効にするオプションを有効にします。
テキストボックスに表示されたテナントURLとトークンエンドポイントの値をコピーします。
.png)
これで、ユーザープロビジョニングオンプレミスアプリケーションをDocuWareシステムに接続するために必要なすべての情報が揃いました。
Application (Client) ID
Client Secret
テナントURL
トークンエンドポイント
2. ユーザープロビジョニングデスクトップアプリケーションとDocuWareの接続
ユーザープロビジョニングオンプレミスアプリケーションは、DocuWareのインストールフォルダにあります。アクセスするには、次のパスにあるUserProvisioningサブフォルダに移動します:C:\Program Files(x86)\DocuWare\PowerTools\UserProvisioning
アプリケーション設定を構成するには、UserProvisioning.WPF\UserProvisioningConfigurator.exeファイルを開き、新規作成をクリックします。
.png)
新しいダイアログ環境の選択で、DocuWare On-Premiseを選択します。次へをクリックします。
.png)
アプリケーションをDocuWareに接続するための詳細情報を入力します。前の章の手順9に戻り、必要な情報をコピーしてここのテキストボックスに貼り付けます。
次に、追加をクリックしてActive Directoryへの接続を構成します。
.png)
Active Directoryに関する情報を入力します。
名前を入力します。この名前は、Windowsタスクスケジューラの構成にも必要です(以下を参照)。
接続タイプを選択します(LDAPまたはMicrosoft)。
BaseDNとGroups DNは以下の構文に従う必要があります。
Groups DNの例:cn=Admins,dc=example,dc=comまたはcn=Developers,ou=IT,dc=company,dc=org
BaseDNの例:dc=example,dc=comまたはou=IT,dc=company,dc=org
必要に応じて、「Create Network ID」オプションを有効にします。このオプションはDocuWareオンプレミス環境でのみサポートされています。
ドメイン名を入力します。
適切なNetworkIdAttributeを設定します。例:userPrincipalName
注意:これらの属性は新しく作成されたユーザーにのみ追加されます。既にプロビジョニングされたユーザーの場合、これらの属性は後から更新されません。
グループセクション - 同期するグループはそれぞれ個別の行に入力します。グループ名は自動的に入力されます。ただし、DocuWareシステムでグループ名を変更したい場合は、カスタム名を入力できます。ネストされたグループもすべて、対応するユーザーとともに作成されます。
.png)
構成済みのActive Directory接続ダイアログのサンプルを以下に示します。
.png)
構成を保存すると、前のウィンドウに名前が表示されます(手順4も参照)。
.png)
構成名の横に、アクティブ化、編集、削除のオプションが表示されます。
複数のサーバーやActive Directoryに接続する必要がある場合は、各接続に対して個別の構成を作成します。
保存ボタンをクリックします。
ユーザープロビジョニングオンプレミスアプリケーションを閉じます。
構成はすでに保存されており、次のフォルダにあります:C:\ProgramData\DocuWare\UserProvisioningConfig
.png)
3. 同期を実行するためのWindowsタスクスケジューラの構成
Windowsタスクスケジューラに切り替えます。ユーザーとグループの同期を実行するためのWindowsタスクを作成してスケジュールします。
Windowsタスクスケジューラを開き、基本タスクの作成をクリックします。
.png)
ウィザードに表示される手順に従います。まず、タスクの名前を入力します。
.png)
同期をトリガーするタイミングを選択します。
.png)
操作としてプログラムの開始を選択します。次へをクリックします。
.png)
実行するタスクと、使用する引数を選択します。
ここでの引数とは、前の章の手順8で保存したユーザープロビジョニング構成のことです。Windowsアプリケーションからコピーしたファイル名(userProvisioning_config_1.json)を入力します。
.png)
プログラム/スクリプトには、DocuWare\PowerTools\UserProvisioning\UserSyncExeを参照し、UserProvisioning.exeを選択します。
.png)
完了をクリックします。同期が自動的に開始されます。 同期が完了するのを待ちます。
同期が完了すると、ユーザープロビジョニングコンフィグレーターに以下の情報が表示されます。
.png)
1人または複数のユーザーやグループの同期が失敗した場合、Timestampフィールドを以前の日付に編集することで、同期タスクを再実行できます。
ユーザープロビジョニングの構成は次の場所にあります:C:\ProgramData\DocuWare\UserProvisioningConfig
ログは次の場所にあります:C:\ProgramData\DocuWare\Logs\UserProvisioning
注意事項:
ユーザープロビジョニングで作成された新しいユーザーには、3時間有効なパスワードリセットリンクを含むウェルカムメールが送信されます。SMTPサーバーの構成を推奨します。構成されていない場合、システムのパフォーマンスに悪影響を及ぼす可能性があります。
同期を実行するユーザーアカウントが、Active Directory内の関連するすべてのユーザープロパティを読み取る権限を持っていることを確認してください。適切な同期のために必要です。
DocuWare CloudシステムでADFSをIdentity Providerとして使用してSSOを正しく構成するには、ユーザー名のマッピング属性としてuserPrincipalNameを設定することを強く推奨します。
同期グループからユーザーを削除しても、ユーザーは無効化されません。グループから削除されるだけです。DocuWareでユーザーを正しく無効化するには、Active Directoryでそのアカウントを無効化する必要があります。
外部ディレクトリから完全に削除されたユーザーは、DocuWareでは自動的に更新されません。ユーザープロビジョニングアプリは、定義済みの既存ユーザーの変更のみを同期します。外部ディレクトリからユーザーが削除された場合、プロビジョニング対象のグループも変更されない限り(メンバーシップの変更やタイムスタンプのリセットなど)、アプリはその変更を検出しません。その場合、DocuWareではユーザーがグループから削除されますが、アクティブなままとなります。
以下の表は、外部ディレクトリ(Active Directoryなど)でのユーザー変更が、ユーザープロビジョニングによるDocuWareのユーザー同期にどのように影響するかを説明しています。
外部ディレクトリのステータス | DocuWareアプリのユーザー同期 | DocuWare |
ユーザーが無効化された | ステータスを転送する | ユーザーが無効化される |
ユーザーが外部ディレクトリ内で移動された | ユーザーが同期グループに属さなくなったことを検出する | ユーザーはアクティブなまま |
ユーザーがディレクトリから削除された | 他のグループ変更やタイムスタンプのリセットがない限り、変更を転送しない。その場合、ユーザーはグループから削除される | ユーザーはアクティブなまま |