DocuWare では、シングルサインオンの Identity Provider として Microsoft Entra ID (旧称 Azure Active Directory) をサポートしています。 DocuWare を Microsoft Entra ID に接続する方法は、以下の通りです。
構成ダイアログは DocuWare 7.13 で多少変更されていますが、構成の内容自体は変更されていません。
"DocuWare の構成" > "一般" > "セキュリティ" の順に移動し、"シングルサインオンを有効にする" オプションを有効にします。
Azure ポータルで Entra ID を開きます。 Microsoft Entra ID で新しいアプリ登録を作成します。
サポートされているアカウントの種類を選択します。
4. API のpermissionsを構成します。 最も基本的な API 構成では、User.Read にアクセス許可"Delegated" およびアクセス許可の状態 "Granted" が構成された Microsoft.Graph のみが必要です。 より高度な API/アクセス許可設定がサポートされていますが、すべての機能が十分にテストされているわけではありません。
.png)
5. 新しく作成したアプリ登録に新しいリダイレクト URI を追加します。
6. コールバックURL を "DocuWare の構成" > "一般" > "セキュリティ" > "接続" の順に移動した先でコピーして "URI (Web)" フィールドに貼り付け、"ID トークン" オプションを有効にします。
最終的な結果は以下のようになります。
アプリ登録の概要にある Application (Client) ID をコピーし、"エンドポイント" 下にある URL を "OpenID Connect メタデータドキュメント" にコピーします。そしてこれらを DocuWare の"セキュリティ" > "シングルサインオン接続の構成" の順に移動した先で "Client ID" またはIssuer URL に追加します。
8. "コールバック URL" の下に "テスト" ボタンがあります。 このボタンをクリックすると、新しい並列タブが開きます。管理者はそこで Microsoft の資格情報を入力し、構成が正常に機能するかどうかをテストすることができます。
テストせずに設定を保存しようとすると、偶発的なエラーを防止するための警告ダイアログが表示されます。 ここではテストが完了していない構成を保存することによって生じるリスクを確認する必要があります。
9. 設定を保存すると、ユーザーは DocuWare のユーザー名とパスワードを使用してログオンするか、Microsoft を経由するシングルサインオンを利用するかを選択できるようになります。
注意:
"セキュリティレベル: 高" オプションについて
新しい SSO 構成のデフォルトのセキュリティレベルは "標準" に設定されています。 セキュリティレベル "標準" は、ほぼすべてのユースケースで十分に機能します。
セキュリティレベル "高" ではクライアントシークレットが必須であり、推奨されています。 これは "Client ID" の下にあるラジオボタンを選択することで変更できます。 選択すると UI が更新され、新しいテキストフィールドが表示されます。 フィールドの内容はビジュアルハッキングから保護されています。
この Client Secret Key は、"証明書とシークレット" セクションの Entra ID アプリケーション登録設定で生成する必要があります。 Entra ID 管理者は新しいクライアントシークレットを生成することができます。 このシークレットは、Entra ID セッションが終了すると非表示になります。
"ログイン時に既存のユーザーを自動的にリンクする" オプションについて
このオプションを有効化すると、ユーザーがシングルサインオンで初めてログインする際に DocuWare が適切なユーザー名とメールアドレスを持つ既存の DocuWare ユーザーを検索するようになります。
Microsoft Entra ID と DocuWare に同じユーザー名とメールアドレスが保存されている必要があります。
DocuWare のユーザー名は、Microsoft Entra ID でのユーザーのメールアドレスのローカル部分 (@ までの前半部分) に一致している必要があります。
Microsoft Entra ID のユーザーアカウントと DocuWare のユーザーアカウントは、ユーザー名とメールアドレスの両方が一致している場合にのみリンクされます。
例:
Entra ID のユーザープリンシパル名: peggy.jenkins@peters-engineering.net
DocuWare のユーザー名: peggy.jenkins
DocuWare のメールアドレス: peggy.jenkins@peters-engineering.net
シングルサインオンを利用するために User Synchronization アプリで DocuWare ユーザーを作成する必要はありません。 新規ユーザーを手動で作成する場合やインターフェースを介してインポートする場合でも、外部のユーザーアカウントと DocuWare アカウントは自動的に照合されます。 ユーザーが割り当てられると、その時点からすぐに外部のオブジェクト ID に基づいて識別されるようになります。 これは、メールアドレスやユーザー名が一致しなくなった場合でもユーザーが認識されることを意味しています。
シングルサインオンの強制
シングルサインオンの強制の詳細については、こちらをご覧ください。