DocuWare はシングルサインオンの ID プロバイダーとして Microsoft Active Directory Federation Services をサポートしています。DocuWare を Active Directory Federation Services に接続する方法は以下のとおりです。
1.DocuWare 構成で、組織設定 > セキュリティ領域に移動し、シングルサインオンオプションを有効にします。
2.AD FS サーバーマネージャーに移動します。
3.ツール、AD FS の管理の順にクリックします。
4.サービス > エンドポイントに移動し、OpenId Connect 検出エンドポイントを見つけます。
5.DocuWare 構成に切り替えます。組織設定 > セキュリティ > シングルサインオンを有効にする > シングルサインオン接続を構成に移動します。ID プロバイダーとして Microsoft Active Directory Federation services を選択します。
6.[発行者 URL] 入力フィールドに OpenId Connect 検出エンドポイントの URL を挿入します。例:ADFS ホストが「https://myadfs.net」に存在し、検出エンドポイントが「/adfs/.well-known/openid-configuration」に存在する場合は、「https://myadfs.net/adfs/.well-known/openid-configuration」と挿入する必要があります。
7.AD FS 設定に戻り、アプリケーショングループを選択します。
8.右側のサイドバーでアプリケーショングループの追加...をクリックします。
9.アプリケーショングループの名前と説明を選択し (「DocuWare」など)、Web API にアクセスするサーバーアプリケーションのオプションを選択して、次へをクリックします。
10.クライアント ID が生成されます。これをコピーして、DocuWare に移動します。
11.[クライアント ID] フィールドにクライアント ID を貼り付け、指定されたコールバック URL をコピーして設定を保存し、AD FS に切り替えます。
12.AD FS 構成に移動し、コールバック URL をリダイレクト URI ボックスに貼り付けて、追加をクリックします。次へをクリックします。
13.次のウィンドウでは不要なアプリケーションの資格情報を選択するように求められます。共有シークレットを生成するを選択して続行します。
14.次の画面には [識別子] ボックスが表示されます。前のステップで取得したクライアント ID をコピーして、追加をクリックします。クライアント ID は正確にコピーする必要があります。次へをクリックします。
15.次の画面では既定の設定を変更せずに次へをクリックします。
16.作成したアプリケーションを選択します。下部にある許可されているスコープリストで allatclaims、profile、openid を選択します。次へをクリックします。
17.すべてが正しくセットアップされていることを確認し、アプリケーションの作成を完了します。
18.新しく作成したアプリケーショングループをダブルクリックします。ウィンドウが開きます。DocuWare Web API をダブルクリックします。
19.新しいウィンドウで発行変換規則タブを選択し、ルールを追加します。
20.新しく開いたウィンドウで、要求規則テンプレートのドロップダウンから LDAP 属性を要求として送信を選択します。次へをクリックします。
21.要求規則名を選択します(「DocuWare オブジェクト GUID 規則」など)。属性ストアから Active Directory を選択します。下部にあるテーブルで、LDAP 属性フィールドに objectGUID と入力し、出力方向の要求の種類フィールドに oid と入力します。
22.完了をクリックし、変更を適用します。
23.設定を保存すると、ユーザーは DocuWare のユーザー名とパスワードを使用してログインすることも、Microsoft のシングルサインオンを使用してログイオンすることもできます。現時点では DocuWare のログインデータを使用したログインを無効にすることはできません。
[ログイン時に既存のユーザーを自動的にリンクする] オプション
このオプションを有効にすると、ユーザーがシングルサインオンで初めてログインするとき、DocuWare は対応するユーザー名とメールアドレスを使用してマシンを検索し、既存の DocuWare ユーザーを見つけます。DocuWare ユーザー名はローカル部 (@より前の文字列) と一致し、DocuWare メールアドレスは Active Directory のフルユーザー名と一致する必要があります。
Active Directory ユーザーアカウントと DocuWare ユーザーアカウントは、ユーザー名とメールアドレスの両方が一致する場合にのみ接続されます。
例:
ユーザー名: peggy.jenkins@peters-engineering.net
DocuWare ユーザー名: peggy.jenkins
DocuWare メールアドレス: peggy.jenkins@peters-engineering.net
シングルサインオンを使用するため、ユーザー同期アプリを介して DocuWare ユーザーを作成する必要はありません。新しいユーザーを手動で作成した場合や、インターフェースを使用してインポートした場合も、外部ユーザーアカウントと DocuWare アカウントの同期は自動的に行われます。
ユーザーが割り当てられた直後から、そのユーザーは外部オブジェクト ID に基づいて認識されるようになります。これはメールアドレスやユーザー名が一致しなくなった場合でも、ユーザーが認識されることを意味します。
シングルサインオンを使用したログアウトのセキュリティ設定
Azure Active Directory には DocuWare の顧客や管理者が気付かない可能性のある既定の設定がいくつかあります。
ブラウザセッションの持続性に関する既定の設定
ブラウザセッションの持続性が有効になっている場合、ユーザーは「サインインの状態を維持しますか?」というプロンプトが表示されて認証が適切に行われた後、個人デバイスでセッションを続行するかどうかを選択できます。ユーザーがこのオプションを有効にすると、アプリケーションから単純にログアウトできなくなります。シングルサインオントークンは無効化/削除されなくなり、他のアプリケーションで有効なままになります。
これはセキュリティ上のリスクをもたらします。例えば、DocuWare Cloud でシングルサインオンを使用してインターネットカフェにログオン/ログオフした場合、Microsoft にはログオンしたままになります。次にログオンしたユーザーは、接続されているすべてのシステムにアクセスすることができます。
トークンの有効期間に関する既定の設定
デフォルトでは [サインインの状態を維持] オプションのトークンは (既定の設定を変更していない) デバイス上で 90 日間有効になります。これにより、リスクが一層高まります。アプリケーションによっては最大 180 日間有効になります (構成の設定によって異なります)。
したがって、DocuWare では以下の対策を講じることをお勧めします。
Azure ActiveDirectory の条件付きアクセスに関するガイドラインに従って、セッショントークンの有効期間を制御します。
Azure Active Directory で DocuWare のサインイン頻度に関するオプションを定義します。
ブラウザセッションを持続させるオプションを無効にします。
Microsoft Logon ダイアログから [サインインの状態を維持] オプションを削除します。
次のセクションにはこれらの対策に関する情報を記載しています。
ログアウトセキュリティ設定の構成に関する注意事項
ブラウザセッションの持続性については、Microsoft によって詳しく文書化されています。
要約:
「条件付きアクセス」に関するドキュメントは、Azure Active Directory のログインポリシーの概念を説明しています。ポリシーはトークンの有効性を構成する際に使用できます。
例えば、トークンはアカウント、クライアント (デバイス)、リソースで構成されます。トークンの有効期間を構成する代わりに、ポリシーを使用してログインの頻度、つまり特定のリソースを使用するときにユーザーが再認証する必要がある間隔を定義できます。重要なアプリケーションでは通常、ユーザーは再ログオンする必要がありますが、あまり重要ではないリソースのトークンは長期間有効になります。
この機能は OAUTH2 プロトコルや OIDC プロトコルを実装しているアプリケーションに統合できます。
このセキュリティ概念のもう 1 つの重要な側面は、[サインインの状態を維持] 機能の管理です。持続的なセッションの有効性はモバイルアプリケーションやシックアプリケーションには役立ちますが、クライアント機能が Web アプリケーションによって提供されるユースケースには適していません。
上述したアクセス制御ポリシーが [サインインの状態を維持] 設定によって上書きされないようにするには、この機能を無効にします。つまり、ブラウザセッションを持続させる構成を決して有効にしないようにします。
また、[サインインの状態を維持] を選択するオプションは、[組織のサインインページにブランドを追加する] 設定を使用して、[Microsoft でログインする] ダイアログボックスから削除できます。