DocuWare は、シングルサインオン (SSO) のための OpenID Connect (OIDC) 標準をサポートしています。 DocuWare を OIDC Identity Provider に接続するためのガイドラインをお読みください。
大半のプロフェッショナルな Identity Provider が OIDC をサポートしています。 ただし、これはオープン標準であるため、構成は Identity Provider によって異なります。
Identity Provider 内でアプリケーションを設定し、それを DocuWare に接続する必要があるはずです。 詳細については、ご利用の Identity Provider までお問い合わせください。
OpenID を使用して Identity Provider に接続する
"DocuWare の構成" > "一般" > "セキュリティ" > "シングルサインオン" の順に移動します。
次のスクリーンショットは、SSO の構成ダイアログを示しています。 説明はその下にあります。
.png)
シングルサインオン接続の構成
シングルサインオン接続の構成ダイアログのセクションで、Identity Provider と DocuWare 間の接続を指定します。
DocuWare と外部の Identity Provider は URL を介して通信を行います。DocuWare は Issuer URL を介して Identity Provider にアクセスし、Callback URL を介して情報を取得します。
Client ID と Client Secret Key は、ご利用の Identity Provider から取得します。
属性マッピング
DocuWare のユーザーが外部の Identity Provider を通じて認証を行えるようにするには、各ユーザーが両方のシステムで一意に識別可能になっている必要があります。 したがって、DocuWare と Identity Provider は共通するユーザー属性のセットを共有する必要があります。
"属性" という用語は異なる場合があります
"属性" という用語は OIDC 標準では定義されていません。代わりに、Identity Provider は "Claim"、"プロパティ" などの類似の名称を使用する場合があります。 属性名も異なる場合があります。たとえば、DocuWare の "username" が Identity Provider 側では "userID" として表示されたりする場合があります。 こういった違いがあるため、マッピングの構成とテストは慎重に行ってください。
"ログイン時に既存のユーザーを自動的にリンクする" オプションを有効にして、属性のマッピングが正しく機能するようにしてください。 非標準の設定で DocuWare User Synchronization 2 を使用している場合にのみ、これを無効化してください。
Scope
OIDC は OAuth 2.0 を基盤として構築されています。 DocuWare が必要とする属性を提供する OAuth 2.0 の Scope を選択してください。 ほとんどの場合、デフォルトの Scope である openid と profile で十分です。
"UserInfo エンドポイントが提供する追加の Claim を有効にする" を有効にすると、DocuWare はそのエンドポイントから返される属性も取得します。
UserInfo エンドポイントの使用はログイン処理の速度を低下させるため、 profile または email の Scope を通じて必要な属性が利用できない場合にのみ有効化してください。
メールアドレス
DocuWare は、ユーザーと Identity Provider を照合するための主キーとしてメールアドレスを使用します。 すべてのユーザーが両方のシステムでメールアドレスを保有していることをご確認ください。 ご利用の Identity Provider では、属性 (例: "email") が既にこの値を保持しています。
その属性の正確な名前をこちらに入力します。これにより、DocuWare がアドレスを取得し、外部のユーザーを対応する DocuWare ユーザーにリンクさせることができます。
ユーザー名
DocuWare がユーザー名として使用する属性を選択します。 この値は外部のディレクトリ内でユーザーを一意に識別し、既存の DocuWare のユーザー名と完全に一致する必要があります。
外部 ID
Identity Provider が各ユーザーに固有の ID を発行している場合には、この値を含む属性を選択してください。 専用の外部 ID によってマッピング処理が高速化され、セキュリティが向上します。
個別の ID が存在しない場合には、各ユーザーに固有の別の属性 (メールアドレス、ユーザー名、ユーザー ID など) を選択してください。
外部のプロバイダー ID
Identity Provider インスタンス自体に固有の識別子を指定します。 これは、同じプロバイダーの複数のインスタンスを操作する場合にのみ必要となります。
テスト
"テスト" ボタンをクリックして SSO 接続を確認します。 変更を保存した後は必ずこのテストを実行してください。
シングルサインオンを強制する
この設定は、ユーザーが DocuWare の資格情報で引き続きサインインできるかどうかや、外部の Identity Provider (IdP) 経由でのみ認証を行う必要があるかどうかを制御します。
無効: ユーザーは、DocuWare のユーザー名とパスワードか外部の Identity Provider のいずれかの方法を選択できます。
有効: すべてのユーザーは外部の Identity Provider を介して認証を行う必要があります。 ユーザーまたは役割が除外リストに追加されない限り、DocuWare の資格情報はブロックされます。 管理者はこのリストを使用して特定のアカウントがシングルサインオン (SSO) をバイパスできるように設定することができます。
注: SSO の設定を適用する前には、十分にテストを実行してください。 接続に失敗した場合、組織管理者を含むすべてのユーザーがロックアウトされてしまう可能性があります。
シングルサインオンの強制の安全な導入手順のガイド
管理者として DocuWare でシングルサインオン (SSO) を構成する場合、この機能をユーザーに展開するには以下の 2 種類の方法があります。
オプションの SSO – ユーザーは DocuWare のユーザー名とパスワードを使用してサインインするか、SSO を介してサインインすることができます。
強制的な SSO – "すべてのユーザーにシングルサインオン認証を強制する" を有効にします。 除外リストに含まれていない限り、ユーザーは外部の Identity Provider (IdP) を介して認証を行う必要があります。
強制的な SSO を有効化するには、以下の 3 つの手順に従います。
ステップ 1 – SSO を有効化してテストを行う
1. "DocuWare の構成" > "セキュリティ" の順に移動した先で、Identity Provider を設定します。 ただし、"SSO を強制する" のチェックボックスは現時点では外したままにしておいてください。
2. 複数の内部ユーザーに SSO 経由でのログインを依頼し、設定を確認します。
3. DocuWare User Sync またはユーザープロビジョニングでユーザーをインポートする場合には、それらのアカウントが SSO 経由でもログインできることをご確認ください。
4. すべての組織管理者がシングルサインオン (SSO) を介して認証できるようにします。 除外リストでは、少なくとも 1 人の管理者を考慮に入れておく必要があります (ステップ 2 を参照)。
ステップ 2 – 除外するアカウントを特定する
除外するアカウントの典型的な例は、以下の通りです。
• IdP によって管理されていない外部のユーザー (例: パートナーや顧客)
• 外部のアプリケーションによって使用されるサービスアカウント
• 内部の DocuWare ジョブを実行するアカウント (DocuWare 7.13 以降は不要)
• パスワードベースを維持する必要があるその他のアカウント (例: インターネットへのアクセスがない場合)
見つける方法は以下の通りです。
1. "DocuWare の構成" > "ユーザーの管理" の順に移動し、"ユーザーを CSV としてエクスポート" をクリックします。
2. Excel でファイルを開き、社外のメールドメインを探し出します。これらは外部のユーザーのものである可能性が高いです。
3. 統合とワークフローを確認し、サービスアカウントを特定します。
ステップ 3 – 強制的な SSO を展開する
1. "すべてのユーザーにシングルサインオン認証を強制する" を有効にします。
2. 除外リストにすべてのユーザーまたは役割を追加し、誰もロックアウトされないようにします。
3. 数日から数週間をかけて段階的に除外を削除していき、各グループが SSO を介してログインできることを確認します。
4. 完了したら、除外リストにはステップ 2 で特定したアカウントのみを残します。
5. 安全策として、管理者アカウントを少なくとも 1 つ除外した状態を維持してください。
変更を加えた後は、必ず SSO 接続をテストしてください。 IdP が利用できなくなった場合に除外設定が存在しないと、管理者を含むすべてのユーザーがロックアウトされてしまう可能性があります。