Azure Entra を DocuWare ユーザー プロビジョニングに統合する方法

Prev Next

組織が Azure Entra を使用してツールやサービスへの従業員アクセスを管理している場合、Azure の「Provisioning」機能を活用して、SCIM 経由で DocuWare へのアクセスをユーザーに自動的に付与できます。本ガイドでは、組織にプロビジョニングを設定するため、DocuWareAzure Entra の両方を構成する手順を説明します。

現行バージョンの UserSync (v3) は、次のプロビジョニング機能をサポートしています。

  • ユーザーの自動作成: Azure のエンタープライズ アプリケーションに割り当てられたユーザーは、DocuWare のユーザーとして自動的に作成されます。

  • 属性の同期: Azure 側でユーザー属性 (userName、メールアドレス、有効状態) を更新すると、その変更が DocuWare に反映されます。

  • ユーザーの無効化: Azure でユーザーが無効化されると、DocuWare では「無効」としてマークされ、ログインできなくなります。

Microsoft Azure Entra で新しいアプリケーションを作成する

  1. 次のリンクから Azure ポータルにログインします: Home - Microsoft Azure

  2. Enterprise Applications ページに移動します。

  3. New Application をクリックします。

  1. Create your own application をクリックします:

  1. アプリケーションの Name を選び、次のオプションを選択します。
    Integrate any other application you don't find in the gallery (Non-gallery)

  2. Create をクリックします。

  3. アプリケーションを作成したら、Provisioning に移動します。

  4. Provisioning ModeAutomatic を選択します。

  1. Admin Credentials セクションを開きます。

  2. Azure の構成画面は閉じずに、DocuWare 設定 に切り替えます。

新しい Azure アプリケーションを DocuWare に組み込む

  1. DocuWare で 設定 > 全般 > User Provisioning を開きます。

  2. User Provisioning プラグインで Enable User Provisioning オプションを有効にします。  

  3. Identity Provider ドロップダウンで Azure Entra を選択します。

  4. Application Registration ドロップダウンで、事前に作成したアプリ登録を選択するか、「Create Application Registration」ボタンをクリックします。

  5. Application Name を入力します。

  6. 作成したばかりのアプリ登録から、次の値をコピーします。

    1. Application (Client) ID

    2. Client Secret

  7. Done ボタンをクリックします。

  8. 保存後、2 つの認証方法が選択肢として表示されます。
    OAuth2 Client Credentials GrantBearer Authentication です。

  9. 以降の手順は、選択した認証方法によって異なります。

    1. OAuth2 Client Credentials Grant

      • Tenant URL と Token Endpoint のリンクをコピーします。

      • Entra > 対象のアプリケーション > Manage > Provisioning > Admin Credentials に戻ります。

      • Authentication Method ドロップダウンで OAuth2 Client Credentials Grant が選択されていることを確認します。

      • 手順 5 でコピーしたデータをすべて、該当するフィールドに貼り付けます。

      • 必要なデータがすべて入力されたら、Test Connection ボタンをクリックします。

      • 続けて Save で変更を保存します。

      • 保存後に画面右上にエラーが表示された場合は、もう一度 Save ボタンをクリックします。

    2. Bearer Authentication

      • Tenant URL のリンクと生成された Bearer token をコピーします。

      • Entra > 対象のアプリケーション > Manage > Provisioning > Admin Credentials に戻ります。

      • Authentication Method ドロップダウンで Bearer Authentication が選択されていることを確認します。

      • 先ほどコピーした Tenant URL のリンクと Bearer token を貼り付けます。

      • 必要なデータがすべて入力されたら、Test Connection ボタンをクリックします。

      • 続けて Save で変更を保存します。

DocuWare と Microsoft Entra ID 間でユーザーおよびグループの属性をマッピングする

DocuWare と Microsoft Entra ID 間でユーザーおよびグループの属性をマッピングすることで、両者を対応付けて同期できるようになります。

  1. Microsoft Entra ID を開きます。

  2. ユーザーをマッピングするには、Provisioning > Attribute Mapping > Provision Microsoft Entra ID Users を選択します。

  3. ユーザー属性のマッピングを設定します。

    1. 必須マッピング:

      • userName: Item(Split([userPrincipalName], "@"), 1)

      • active: Switch([IsSoftDeleted], , "False", "True", "True", "False")

      • emails[type eq "work"].value: Coalesce([mail],[userPrincipalName])

      • externalId: objectId

    2. 任意のマッピング:

      • name.givenName: givenName

      • name.familyName: surname

  4. 補足情報

    1. userName 属性をマッピングするには、まずその構成を更新する必要があります。

      • Edit Attribute で userPrincipalName 属性を開きます。

      • マッピングタイプを Expression に変更します。

      • Expression フィールドを次の値に更新します: Item(Split([userPrincipalName], "@"), 1)

      • OK をクリックして保存します。

    2. メール属性をマッピングするには、まずその構成を更新する必要があります。

      • Edit Attribute で emails[type eq "work"].value 属性を開きます。

      • マッピングタイプを Expression に変更します。

      • Expression フィールドを次の値に更新します: Coalesce([mail],[userPrincipalName])

      • OK をクリックして保存します。

    3. externalId 属性を正しくマッピングするには、その構成もあらかじめ更新する必要があります。

      • 次の属性を編集モードで開きます: externalId: mailNickname

      • Source attribute を次の値に変更します: objectId

      • OK をクリックして保存します。

  5. 不要なマッピングをすべて削除し、Save をクリックします。マッピングを削除しないままにすると、更新されたユーザーのプロビジョニング時にエラーが発生する可能性があります。

  6. グループをマッピングするには、Provisioning > Attribute Mapping > Provision Microsoft Entra ID Groups を選択します。

  1. グループのマッピングを設定します。

    1. 不要なマッピング externalId → objectId を削除します。

    2. Target Object Actions の「Delete」オプションを無効にします。

    3. 変更を保存します。

ユーザーおよびグループのプロビジョニング

Entra アプリケーションの Overview ページに移動し、Start Provisioning ボタンをクリックします。

ユーザーのプロビジョニング

  1. Manage > Users and Groups > Add user/group > プロビジョニングするユーザーを選択 > Assign をクリックします。

  2. プロビジョニング対象のユーザーを追加すると、しばらくして自動的にプロビジョニングされるか、必要に応じて手動でプロビジョニングすることもできます。

  1. DocuWare 設定 > 全般 > ユーザー管理 を開きます。

  2. 対象のユーザーが正しくプロビジョニングされているか確認します。

グループのプロビジョニング:

  1. Manage > Users and Groups > Add user/group > プロビジョニングするグループを選択 > Assign をクリックします。
    注意: グループのメンバーをオンデマンドで割り当てる場合は、メンバーもリストに追加する必要があります。

  2. プロビジョニング対象のグループとユーザーを追加すると、しばらくして自動的にプロビジョニングされるか、必要に応じて手動でプロビジョニングすることもできます。

  1. DocuWare 設定 > 全般 > ユーザー管理 を開きます。

  2. 対象のグループとユーザーが正しくプロビジョニングされているか確認します。

グループのプロビジョニング処理に関する補足情報

  1. グループの検索: システムはまず、指定された displayName をもとに既存のグループを検索します。DocuWare に同じ displayName のグループが存在する場合はそのグループを更新し、存在しない場合は新規グループを作成します。

  2. グループの作成および更新の処理:
    a) 新規グループの作成: DocuWare 内に displayName が一致するグループが存在しない場合、サービスは指定されたメンバーで新しいグループを作成します。
    b) 既存グループの更新: 一致するグループが見つかった場合、サービスはそのグループの情報を更新し、新しいメンバーを追加します。既存のメンバーは置き換えられず、新しいメンバーと併せて保持されます。

    最初の同期後にグループのマッピングが確立されると、その後のマッピングは ID 属性を用いて行われます。たとえば、Entra ID 側でグループ名を変更し、その後に更新済みのグループをプロビジョニングしても、グループは ID で識別されます。サービスは DocuWare 内のグループ名をそれに合わせて更新しますが、メンバーは削除されません。

  3. メンバー管理:
    a) メンバーの追加: グループの更新時には、既存のメンバーを保持したまま新しいメンバーが追加されます。
    b) 重複の防止: システムはグループへのメンバー重複登録を回避するように設計されており、グループ内で各メンバーが一意になるようにします。

  4. 基幹システム:Microsoft Entra ID は、プロビジョニングされたすべてのユーザーとグループの基幹システムです。ユーザーのグループへの追加や削除など、すべての変更は Entra ID で行ってください。DocuWare で直接変更を行うことは避けてください。これらの変更は Entra ID に同期されず、不整合が発生する可能性があります。たとえば、DocuWare で同期されたグループからユーザーを手動で削除した場合、プロビジョニングサービスはそのユーザーをグループに再割り当てできません。正しいメンバーシップを復元するには、Entra ID で変更を行ってください。

サポートされているバージョン: DocuWare Cloud