DocuWare 組織のセキュリティ設定

Prev Next

この記事では、DocuWare の構成 > セキュリティの順に移動した先の領域に関する情報を提供します。

ここでは、DocuWare 組織のセキュリティ設定を定義します。 すべての設定には "有効" または "無効" のステータスがあります。 設定が "有効" に設定されている場合は、組織のセキュリティが向上する可能性があります。

ログインセキュリティ

パスワードポリシー

パスワードポリシーは、ユーザーによる安全ではないパスワードの使用を制限します。 ここでは、すべてのユーザーを対象としたパスワードの最低要件を指定します。

  • 最小限のパスワードの長さ

  • 必須の文字

  • パスワードの有効期限

  • パスワードの有効期限切れの前の通知期間

  • ログインの最大試行回数

  • ログイン試行回数の上限を超えてアカウントがロックされた場合の持続時間

新しいパスワードポリシーに関する注意事項をご確認ください。このポリシーはバージョン 7.12 以降で作成されたすべての新しい DocuWare 組織に対して既定で有効化されています。 既定のパスワードポリシーは、バージョン 7.12 以前に作成された組織には適用されません。

セッションのタイムアウト

ユーザーが一定時間操作を行わなかった場合、DocuWare クライアントおよび DocuWare の構成から自動的にログアウトされます。 一定時間内に操作が行われなかった場合、ユーザーは最初に適切なメッセージが表示された通知を受け取り、その後にログアウトされてログイン画面へとリダイレクトされます。

タイムアウト時間を超過した場合、ユーザーはすべての DocuWare クライアントのブラウザーウィンドウからログアウトされ、DocuWare の構成からもログアウトされます。 ブラウザーのタブの任意の場所をクリックすると、タイマーはカウントダウンを開始します。 通知などの自動の DocuWare クライアントアクティビティは、タイマーをリセットしません。 保存されていない変更内容は、ログアウト時に破棄されます。

この設定は組織内のすべてのユーザーに適用されます。

DocuWare Forms では、自動ログアウトは非公開のフォームに対してのみ有効化されます。 公開フォームは実際のログインを必要としないため、タイムアウトの対象外となります。

シングルサインオン

シングルサインオン機能が有効化されると、ユーザーは会社用のユーザー名とパスワードを使用して DocuWare にアクセスできるようになります。

DocuWare でシングルサインオンを有効にするには、DocuWare 組織を外部の ID プロバイダーとリンクします。 外部の ID プロバイダーが二要素認証をサポートしている場合、これを使用して DocuWare のログインプロセスのセキュリティを強化することもできます。

外部の ID プロバイダーとの接続インターフェースは、DocuWare Identity Service です。 ログインの手順は、以下の通りです。クライアントは外部のプロバイダーを使用して認証を行い、その後 DocuWare Identity Service 用のトークンを発行します。 このトークンは、有効期限が切れるか、またはブラウザーのキャッシュがクリアされるまでの間ブラウザーに保持されます。 トークンの有効期限が切れると、ユーザーは新しいトークンを取得するためにもう一度ログインする必要があります。

DocuWare は、"Open ID Connect" プロトコルに準拠するすべての ID プロバイダーと接続可能です。

ID プロバイダーへの接続の設定方法でサンプルをご覧ください。

  • ログイン時に既存のユーザーを自動的に割り当てる

    このオプションを使用すると、DocuWare はユーザーが初めてログインした際にそのユーザーを ID プロバイダーのユーザーアカウントと自動的にリンクします。 この方法のメリットは、シングルサインオンを使用するために DocuWare ユーザーをユーザー同期アプリで作成しなくてもよくなるという点です。 ユーザーを手動でインポートしたり、インターフェースを介してインポートしたりすることもできます。

    • Microsoft を ID プロバイダーとして使用する場合: Microsoft Azure Entra を使用する場合、同じユーザー名とメールアドレスを Azure Entra と DocuWare の両方に保存する必要があります。例は以下の通りです。

      • Microsoft Azure Entra: peggy.jenkins@peters-engineering.net

      • DocuWare: peggy.jenkins または peggy.jenkins@peters-engineering.net

    • その他の ID プロバイダー: このオプションは通常シングルサインオンを利用できるように有効化しておく必要があります。  さらに、ここでも DocuWare のユーザー名と外部のプロバイダーのユーザー名の先頭部分が一致している必要があります。

      • ID プロバイダーのユーザー名: peggy.jenkins@petersengineering.com  

      • DocuWare のユーザー名: peggy.jenkins

      たとえばユーザーが Okta のシングルサインオンを使用して DocuWare に初めてログインする場合、対応する DocuWare のユーザーはユーザー名によって識別されます。 両方のシステムでユーザーがマッピングされると、DocuWare のユーザーはその外部オブジェクト ID によって認識されるようになります。 これは、ユーザー名が一致しなくなったとしてもそのユーザーが引き続き認識されることを意味します。  

  • シングルサインオンによるユーザー認証をすべてのユーザーに強制する

    シングルサインオンが強制されている場合、DocuWare の資格情報による手動ログインはローカルのアプリケーションが DocuWare API に直接アクセスする必要がある場合など、特定のユーザーまたは役割に制限されます。

    シングルサインオンの強制適用は Open ID Connect をサポートする ID プロバイダーを使用することで実現でき、DocuWare Cloud とオンプレミス版の両方で利用可能です。

注意

シングルサインオンの構成を適用する前には、必ずテストを実施してください。シングルサインオンに失敗した場合、すべてのユーザーがロックアウトされる可能性があります。 シングルサインオンの強制対象から少なくとも 1 人の組織管理者を除外し、シングルサインオンに問題が発生した場合でもその管理者が DocuWare にアクセスできるようにしてください。

パブリックアクセスを制限する

DocuWare 7.11 以前では、このセクションは「ゲストログイン」という名前でした。 DocuWare バージョン 7.12 では、「パブリックアクセスを制限する」へと更新されています。

ゲストログインを使用すると、組織へのネットワークアクセス権を持つすべてのユーザー ("ゲスト") が資格情報を入力することなく DocuWare にログインできるようになります。 ゲストユーザーに付与される権限は、ゲストとして指定された DocuWare のユーザーの権限に一致します。 これらの権限によっては、ゲストがシステムに重大な被害をもたらす可能性があります。

"パブリックアクセスを制限する" をオフにすると、ゲストユーザーのオプションを設定できるようになります。このオプションは、DocuWare のログインページに表示されます。

リスク

"パブリックアクセスを制限する” をオフにすると、ユーザー名とパスワードで ID を確認していない外部のユーザーがお客さまの DocuWare システムにアクセスできるようになります。 これは、セキュリティ上のリスクとなります。 このセキュリティ設定を無効化する場合は、十分にご検討ください。

ファイルの種類

制限されたファイルの種類に入力されたファイルの種類は、DocuWare でのアーカイブ化がブロックされます。 リストのいずれかを有効にして含まれているファイルの種類をブロックするか、新しいリストを作成します。 これらの制限は、組織のすべてのファイルキャビネットに適用されます。

制限されたファイルの種類のリストは、フルテキストの構成用に許可リストとブロックリストとしても利用することができます。

外部接続

外部 URL の安全な場所

この機能は、ドキュメント内にインデックスデータとして保存されている URL のセキュリティを強化します。 これは URL がクリック可能になるのを事前に承認された安全な場所にリンクされている場合のみに制限し、DocuWare にドキュメントが保存される前に埋め込まれている可能性のある悪意のある URL によるリスクを軽減します。

特定の場所を安全な場所としてマークするには、その場所をこの許可リストに追加する必要があります。 関連するドメインまたは URL を、"https://" を除いてすべてこちらに追加してください。 この許可リストにドメインが追加されると、そのドメインに関連するすべてのサブドメインおよびページも既定で安全な場所であると見なされます。