Question:
SSOで使用するためにMicrosoft Active Directory Federation Servicesに接続する方法を教えてください。
Solution:
以下のガイドに従ってください;
SSOで使用するためにMicrosoft Active Directory Federation Servicesに接続する方法を教えてください。
Solution:
以下のガイドに従ってください;
- DocuWare ConfigurationsページにあるOrganization Settingsプラグインで、Security セクションに移動し、シングルサインオンオプションを 有効に します。
- AD FS Server Managerに移動し、[Tools and AD FS Managements]をクリックします。
- Service > Endpoints に移動 し、 OpenId Connect Discovery エンドポイントを見つけます。
- 以前シングルサインオンが有効になっていた Organization Settings プラグインに戻る 。 Security > Enable single sign-on with your identity provider > Configure single-sign-on connection. 最初の ドロップダウンからMicrosoft Active Directory Federation servicesを選択 します。
- 発行者 URL 入力フィールドに、OpenId Connect の検出エンドポイント URL を挿入します。 例として:ADFS ホストが"https://myadfs.net" で、発見 エンドポイントが "/adfs/.well-known/openid-configuration" の場合、 "https://myadfs.net/adfs/.well-known/openid-configuration"を入力する必要があります。
- AD FS設定に戻り、 アプリケーショングループを選択 する。
- 右サイドバーの " Add Application Group ... "をクリックする。
- アプリケーショングループの名前と説明(例:「DocuWare」)を選択し、 タイプとして 「Web APIにアクセスするサーバーアプリケーション 」を選択 し、 「次へ」をクリック します。
- クライアントIDが生成されます。IDをコピーしてDocuWareに移動します。
- クライアントID」フィールドにクライアント識別子を貼り付け、提供されたコールバックURLを コピーして設定を保存します。設定が完了したら、AD FSに戻ります。
- AD FSの設定内で、[リダイレクトURI]ボックスにコールバックURLを 貼り付けて[追加]をクリックし、[ 次へ] をクリック します。
- 次のウィンドウで、アプリケーション認証情報を選択するよう求められますが、これは 必要 ありません。Generate a shared secret(共有秘密を生成する )を選択して次に進みます。
- 次の 画面で、[Identifier]ボックスが あります。 ステップ9で提供さ れたクライアントIDをコピーし、[Add]をクリックします。全く同じであることが重要です。入力が完了したら、[次へ]をクリック します。
- デフォルト設定のまま 、[次へ]をクリックします。
- 先ほど作成したアプリケーションを選択し、許可スコープの 一番下のリストでallatclaims、 profile 、 openidを 選択 し、 Nextをクリックします。
- すべてが正しく設定されていることを確認し、アプリケーションの作成を終了します。
- 新しく作成した アプリケーション・グループをダブルクリックすると、プロパティ・ウィドウが開きます。DocuWare Web APIをダブルクリック します。
- 新しいウィンドウで、"Issuance Transform Rules"タブを選択し、ルールを追加します。
- 請求ルールのテンプレートの ドロップダウンから 「LDAP属性を請求として送信 する」を選択し、[ 次へ]をクリックします。
- 次のウィンドウで、クレームルールの名前を選択します(例:「DocuWare object guidrule」 )。Attribute store ]ドロップダウンで[Active Directory]を選択し、 下の表で [LDAP Attribute ]フィールドに [objectGUID] 、[ Outgoing ClaimType]フィールドに[oid] と入力します。
- Finish を選択 し、変更を適用します。
- 設定を保存すると、ユーザーはDocuWareのユーザー名と パスワードでログインでき、Microsoft経由のシングルサインオンも使用できます。DocuWareのログインデータを 使用したログインは、現時点では無効にできません。
オプション「ログイン時に既存のユーザーを自動的にリンクする」についての注意事項:
このオプションを有効にすると、ユーザーが初めてシングルサインオンでログオンするときに、DocuWareは、対応するユーザー名とメールアドレスを持つ一致する既存のDocuWareユーザーを検索します。DocuWareのユーザー名は、ローカル部分(@の前の最初の部分)と一致し、DocuWareのメールアドレスは、Active Directoryの完全なユーザー名と一致する必要があります。
ユーザー名とメールアドレスが一致した場合のみ、Active DirectoryのユーザーアカウントとDocuWareのユーザーアカウントを接続できます。
例:
ユーザー名: peggy.jenkins@peters-engineering.net
DocuWareのユーザー名: peggy.jenkins (pjenkinsまたはpeggyjではありません。@文字の前の値と完全に一致する必要があります。)
DocuWareメールアドレス: peggy.jenkins@peters-engineering.net
シングルサインオンを使用するために、ユーザー同期アプリを介してDocuWareユーザーを作成する必要はありません。新しいユーザーを手動で作成したり、インターフェイスを介してインポートしたりしても、外部ユーザー
アカウントとDocuWareアカウントは自動的に同期されます。一旦ユーザーが割り当てられると、その時点から外部オブジェクトIDを通じてユーザーが認識されます。
つまり、電子メールアドレスおよび/またはユーザー名が一致しなくなった場合でも、ユーザーは認識されます。
この KBA は、オンプレミス組織とクラウド組織の両方に適用されます。
ご注意:この記事は英語からの翻訳です。この記事に含まれる情報は、オリジナルの英語版製品に基づくものです。翻訳版の記事で使用されている文法などには、細かい誤りがある場合があります。翻訳の正確さを完全に保証することは出来かねますが、ほとんどの場合、十分な情報が得られると思われます。万が一、疑問が生じた場合は、英語版の記事に切り替えてご覧ください。