汎用のアイデンティティ・プロバイダーとユーザープロビジョニングの統合方法

Prev Next

SCIMプロトコルによるプロビジョニングをサポートするIDプロバイダーを使用しており、従業員のツールやサービスへのアクセスを管理したい場合、この機能を使用してDocuWareへのアクセスをユーザーに自動的に付与できます。

このガイドでは、DocuWareの設定手順を説明し、組織のプロビジョニングの設定方法をご案内します。

DocuWareは、以下のユーザープロビジョニング機能をサポートしています。

  • ユーザーの自動作成:DocuWareにプロビジョニングされたユーザーは自動的に作成されます。

  • 属性の同期:IDプロバイダーでユーザー属性(userName、email、activeステータスなど)が更新されると、DocuWareに反映されます。

  • ユーザーの無効化:IDプロバイダーでユーザーが無効化されると、DocuWareでも無効としてマークされ、ログインできなくなります。

  • グループの自動作成:DocuWareにプロビジョニングされたグループは自動的に作成され、DocuWareに存在するユーザーが割り当てられます。

  • グループの同期:IDプロバイダーでプロビジョニングされたグループの変更がDocuWareに同期されます。

DocuWareの設定

  1. DocuWare設定を開き、全般 > ユーザープロビジョニングを選択します。

  2. ユーザープロビジョニングプラグインで、ユーザープロビジョニングを有効にするオプションをオンにします。

  3. IDプロバイダードロップダウンで汎用IDプロバイダーを選択します。

  4. アプリケーション登録ドロップダウンで、以前に作成したアプリケーション登録を選択するか、アプリケーション登録を作成ボタンをクリックします。

 5. アプリケーション名を入力します。

  1. 作成したアプリケーション登録から、以下の値をコピーします。

    • Application (Client) ID

    • Client secret

  1. 完了ボタンをクリックします。

  2. 汎用IDプロバイダーの識別子を追加します。

  1. DocuWareのプロビジョニングAPIにアクセスするために、以下の値をコピーします。

    1. Tenant URL

    2. Token Endpoint

  1. 保存ボタンをクリックします。

汎用IDプロバイダーの設定

DocuWareとのSCIMプロビジョニング用に汎用IDプロバイダーを設定する際は、SCIM標準に準拠した正しい属性マッピングで、ユーザーとグループのプロビジョニングを慎重に設定してください。信頼性の高い同期を実現し、プロビジョニングエラーを防ぐためには、適切な設定と最小限のマッピングが不可欠です。

設定上の問題を避けるため、DocuWareのユーザーおよびグループプロビジョニングの動作に関する詳細なドキュメントもご参照ください。こちらからご覧いただけます:ユーザープロビジョニング:API統合ガイド

情報:汎用IDプロバイダーの使用について

DocuWareで定義済みのIDプロバイダーを設定する場合とは異なり、汎用IDプロバイダーオプションを選択すると、属性マッピングを完全に制御できます。

つまり、userName属性にマッピングされた値は、IDプロバイダーから提供されたとおりに使用され、自動的な変更や正規化は行われません。たとえば、メールアドレスをuserNameフィールドにマッピングした場合、完全なメールアドレス(例:user@example.com)がそのまま保持され、プレフィックスのみ(例:user)に短縮されることはありません

この柔軟性により、組織は内部のID標準に合わせてプロビジョニングの動作を調整でき、定義済みプロバイダー設定で発生する可能性のある意図しない変換を回避できます。

プロビジョニングとSSOのユーザーマッピングの整合

ユーザープロビジョニングSSO(シングルサインオン)の両方をDocuWareで使用する場合、SCIMプロビジョニングとSSO認証の間で一貫性を確保することが不可欠です。

ユーザープロビジョニングSSOをシームレスに連携させるには、IDプロバイダーでuserNameemailの両方の属性に同じ値をマッピングしてください。

これが重要な理由は以下のとおりです。

  • SCIMプロビジョニングでは、マッピングされた属性(userNameやemailなど)に基づいてDocuWareでユーザーが作成・識別されます。

  • SSOログインでは、DocuWareは受信したユーザークレーム(通常はSAMLまたはOIDCトークンから)を既存のユーザーと照合します。

  • プロビジョニングとSSOの間で値が異なる場合、DocuWareが認証済みユーザーとプロビジョニング済みアカウントを正しく照合できず、ログインが失敗する可能性があります。

userNameとemail属性のマッピングに関する推奨方法は以下のとおりです。

  • userName → name、email valueにマッピング(例:username、username@example.com)

  • email → email valueにマッピング(例:email@example.com)(userNameと同じでも可)

  • SSOクレームでもusernameemailに同じ値が送信されることを確認してください。

プロビジョニングと認証でこれらの値を同一に保つことで、以下のメリットがあります。

  • SCIMで作成されたユーザーが、SSOログイン時に受信するIDと一致します。

  • ユーザーの重複やログインの問題を回避できます。

  • ユーザーライフサイクル管理の一貫性と予測可能性が維持されます。

このアプローチにより、DocuWareのプロビジョニングと認証の両方のメカニズムが同一の一意識別子に基づいて動作し、システム間で信頼性の高いユーザーマッピングが実現されます。

サポートされているバージョン: DocuWare Cloud