DocuWare は、シングルサインオン (SSO) のための OpenID Connect (OIDC) 標準をサポートしています。 DocuWare を OIDC Identity Provider に接続するためのガイドラインをお読みください。
大半のプロフェッショナルな Identity Provider が OIDC をサポートしています。 ただし、これはオープン標準であるため、構成は Identity Provider によって異なります。
Identity Provider 内でアプリケーションを設定し、それを DocuWare に接続する必要があるはずです。 詳細については、ご利用の Identity Provider までお問い合わせください。
OpenID を使用して Identity Provider に接続する
"DocuWare の構成" > "一般" > "セキュリティ" > "シングルサインオン" の順に移動します。
次のスクリーンショットは、SSO の構成ダイアログを示しています。 説明はその下にあります。
.png)
シングルサインオン接続の構成
シングルサインオン接続の構成ダイアログのセクションで、Identity Provider と DocuWare 間の接続を指定します。
DocuWare と外部の Identity Provider は URL を介して通信を行います。DocuWare は Issuer URL を介して Identity Provider にアクセスし、Callback URL を介して情報を取得します。
Client ID と Client Secret Key は、ご利用の Identity Provider から取得します。
属性マッピング
DocuWare のユーザーが外部の Identity Provider を通じて認証を行えるようにするには、各ユーザーが両方のシステムで一意に識別可能になっている必要があります。 したがって、DocuWare と Identity Provider は共通するユーザー属性のセットを共有する必要があります。
"属性" という用語は異なる場合があります
"属性" という用語は OIDC 標準では定義されていません。代わりに、Identity Provider は "Claim"、"プロパティ" などの類似の名称を使用する場合があります。 属性名も異なる場合があります。たとえば、DocuWare の "username" が Identity Provider 側では "userID" として表示されたりする場合があります。 こういった違いがあるため、マッピングの構成とテストは慎重に行ってください。
"ログイン時に既存のユーザーを自動的にリンクする" オプションを有効にして、属性のマッピングが正しく機能するようにしてください。 非標準の設定で DocuWare User Synchronization 2 を使用している場合にのみ、これを無効化してください。
Scope
OIDC は OAuth 2.0 を基盤として構築されています。 DocuWare が必要とする属性を提供する OAuth 2.0 の Scope を選択してください。 ほとんどの場合、デフォルトの Scope である openid と profile で十分です。
"UserInfo エンドポイントが提供する追加の Claim を有効にする" を有効にすると、DocuWare はそのエンドポイントから返される属性も取得します。
UserInfo エンドポイントの使用はログイン処理の速度を低下させるため、 profile または email の Scope を通じて必要な属性が利用できない場合にのみ有効化してください。
メールアドレス
DocuWare は、ユーザーと Identity Provider を照合するための主キーとしてメールアドレスを使用します。 すべてのユーザーが両方のシステムでメールアドレスを保有していることをご確認ください。 ご利用の Identity Provider では、属性 (例: "email") が既にこの値を保持しています。
その属性の正確な名前をこちらに入力します。これにより、DocuWare がアドレスを取得し、外部のユーザーを対応する DocuWare ユーザーにリンクさせることができます。
ユーザー名
DocuWare がユーザー名として使用する属性を選択します。 この値は外部のディレクトリ内でユーザーを一意に識別し、既存の DocuWare のユーザー名と完全に一致する必要があります。
外部 ID
Identity Provider が各ユーザーに固有の ID を発行している場合には、この値を含む属性を選択してください。 専用の外部 ID によってマッピング処理が高速化され、セキュリティが向上します。
個別の ID が存在しない場合には、各ユーザーに固有の別の属性 (メールアドレス、ユーザー名、ユーザー ID など) を選択してください。
外部のプロバイダー ID
Identity Provider インスタンス自体に固有の識別子を指定します。 これは、同じプロバイダーの複数のインスタンスを操作する場合にのみ必要となります。
テスト
"テスト" ボタンをクリックして SSO 接続を確認します。 変更を保存した後は必ずこのテストを実行してください。