「invoiceAgent上でユーザー管理ってどうやったらいいの?」
「具体的なユーザー管理方法を知りたい」
と疑問に感じていませんか。

invoiceAgent上で部署間を跨ぐ文書管理をする場合、ユーザー別のフォルダーアクセス権を整理する必要があります。一方で、ユーザー管理は新年度ごとの組織変更や中途入社などにより頻繁に変更が必要ですので、効率的なユーザー管理手法を知ることが、invoiceAgentを活用する第一歩です。

当記事では、invoiceAgentのユーザー情報(ユーザー・グループ・ロール)の効率的な管理方法について解説します。

invoiceAgentのユーザー管理

invoiceAgentの具体的なユーザー管理方法を紹介する前に、invoiceAgentにおけるユーザー管理の考え方をご紹介します。

ユーザー操作権限の管理

ユーザー操作権限の管理におけるポイントは以下の通りです。

• • ユーザーはグループに所属し、グループにロールを設定します。
  • 設定したロールにより利用できる機能を制限できます。
  • ユーザーは複数のグループに所属でき、グループには複数のロールを設定できます。
  • invoiceAgentで用意しているシステムのグループやロールは、すべての登録方法で変更、削除ができません

<操作権限の考え方>

ただし、グループやロールを複数設定した場合、ロールに設定されている内容は以下の優先順位で適用される点に注意ください。拒否が最優先されます。

• • 拒否 > 許可 > 空欄(未設定)

ユーザーフォルダーアクセス権の管理

フォルダーとファイルには、グループまたはユーザー単位にアクセス権を設定できます。ユーザーはアクセス権があるフォルダーやファイルのみが表示され、検索もアクセス権があるフォルダーやファイルのみが対象です。

また、ロールの特権「フォルダーのフルアクセス」が許可されていないユーザーはフォルダーが表示されない状態になります。したがって、表示を許可する場合はフォルダーにアクセス権の設定が必要です。

<フォルダーのアクセス権の設定>

上記と同様にファイルに対してもアクセス権の設定ができます。

<ファイルアクセス権の設定>

上記のようにフォルダーやファイルにアクセス権を設定してもらうと、ユーザー別に閲覧可能なフォルダーやファイルを制限することができます。例えば以下のフォルダーについて、アクセス権を与えた場合には以下のような制御が可能です。

• • A01_共通

  • C01_営業課

<許可されたフォルダーのみ閲覧可能>

invoiceAgentのユーザー情報設定方法

invoiceAgentのユーザー情報の設定方法を解説していきます。いくつか設定方法がありますので、自社の要件に適合した方法を選択して設定するようにしてください。

ユーザー情報の登録方法はオンプレとクラウドで異なる

前提として、ユーザー情報の登録方法は、利用できる方法がオンプレミス版とクラウド版で異なります。オンプレミス版とクラウド版の違いを理解したうえでの設定方法選択が重要です。

<ユーザー情報の登録方法>

ローカルユーザーとドメインユーザー

invoiceAgentで作成するユーザーとグループは以下の通りです。

• • 「ローカルユーザー」
  • 「ローカルグループ」

Active Directoryなど外部認証サーバーからinvoiceAgentに連携したユーザーとグループは、「ドメインユーザー」、「ドメイングループ」といいます。ユーザーのログイン時にドメイン(デフォルト設定可能)を指定可能です。

ドメインは外部認証ドメイン(Active DirectoryやDr.Sumの連携)とSAMLドメイン(SAML認証)があり、登録方法により処理対象になるケースと処理対象外になるケースがあります。「ドメインユーザー」は、所属グループの追加のみ可能で、追加できるのは「ローカルグループ」のみです。

また、「ドメイングループ」は、ロールの追加とSPA Mobileのアーカイブフォルダーの変更のみが可能で、その他のグループ情報は変更できません。加えて、「ドメインユーザー」と「ドメイングループ」は、invoiceAgent上では削除できません。

<invoiceAgent画面での操作可否>

ユーザー情報を連携する9つの方法

ユーザー情報をinvoiceAgentに連携する手段は以下の9つあります。自社の要件に応じて方法を選択してください。ただし、ユーザー情報の登録方法は、利用できる方法がオンプレミス版とクラウド版で異なる点に留意が必要です。

<ユーザー情報を連携する9つの方法>

方法①:画面入力(オンプレミス/クラウド利用可能)

サーバー環境の設定のカテゴリ「ユーザーとグループ」で登録、変更、削除します。ユーザー、グループ、ロールの管理画面については、以下のURLのマニュアルをご確認ください。

方法②:CSVファイルインポート/エクスポート(コマンド)(オンプレミス利用可能)

invoiceAgentをインストールした環境で、コマンドを実行してユーザー情報のCSVファイルをインポート/エクスポートします。ユーザーはローカルとSAMLドメインに属するユーザーが対象で、外部認証ドメインは対象外です。グループはローカルのみ対象で、外部認証ドメインは対象外です。SAMLドメインは更新のみできます。

<連携イメージ>

インポート方法は以下の通りです。

1. 1. ユーザー、グループ、ロール(カスタム)を登録/更新します。
   2. ユーザー、グループの削除は、別のコマンドで実行します。
   3. ロール(カスタム)の削除は、No.1の画面入力で実施します。
   4. ユーザーの所属グループの割り当てや削除は、ユーザーの登録/更新だけでなく、別のコマンドで実行することも可能です。
   5. CSVファイルのヘッダー有無、指定されていない項目の処理方法、など、コマンドのオプションで指定な内容があります

 

ユーザー、グループ、ロールのコマンドについては、以下のURLのマニュアルをご確認ください。

 

方法③:CSVファイルインポート/エクスポート(画面操作)(クラウド利用可能)

コマンドを実行してユーザー情報のCSVファイルをインポート/エクスポートするオンプレミス版の機能と同様に、クラウド版では画面操作でユーザー情報のCSVファイルをインポート/エクスポートできます。処理の対象は、コマンドによるCSVファイルインポート/エクスポートと同様です。

<連携イメージ>

なお、クラウド版固有の動きとして以下がありますので留意下さい。

• • インポートCSVファイルで登録済みユーザーのパスワードを指定していない場合は、既存のパスワードは更新しません。
  • ユーザー名に「admin」と指定した場合は、所属グループに「AdminiGroup」グループが自動設定されます。
  • エクスポートCSVファイルのヘッダーは必ず出力されます。
  • エクスポートされるCSVファイルのエンコーディングは、「UTF-8 BOMあり」です。

詳細は以下のURLのマニュアルをご確認ください。

 

方法④:Active Directory連携(オンプレミス/クラウド利用可能)

外部認証サーバーからActive Directoryのユーザーとグループを連携し、invoiceAgentのユーザーとグループとして利用します。クラウド版はBridge Service経由で外部認証サーバーからinvoiceAgentに連携します。

<連携イメージ>

外部認証サーバーと同期するスケジュールは、頻度(毎日/毎週:曜日指定/毎月:日指定)と時間(サーバーの現地時間)を設定できます。Active Directoryのユーザーとグループを連携する主な仕様は以下のとおりです。

• • 連携したユーザーとグループは、「ドメインユーザー」と「ドメイングループ」で登録され、毎回洗い替えされます。
  • ドメインユーザーは、Active Directoryの自ドメインのグループ、外部認証設定画面で指定したローカルグループに所属します。
  • 外部認証設定画面で「ユーザーはActive Directoryグループの上位グループに所属する」をチェックオンに設定した場合は、ドメインユーザーは、直接所属しているグループと上位階層のグループの両方に所属します。
  • Active Directoryのグループは連携せず、ユーザーのみを連携することも可能です。
  • ドメイングループには「閲覧ユーザー」ロールが割り当てれます。
  • ユーザー数が上限(ライセンス数)を超えた場合は、すべてのユーザーの取り込みに失敗します。
    外部認証設定画面でフィルター設定によって連携するユーザーを絞り込めます。

 

詳細は以下のURLのマニュアルをご確認ください。

 

方法⑤:Active Directory連携(Windows統合認証)(オンプレミス利用可能)

Active Directoryのユーザーを管理し、Active Directoryのユーザー情報を利用してシングルサインオンができます。IISを使用しない認証方式と、IISを使用する認証方式の2通りの方式があります。

IISを使用しない認証方式

IISを使用しない認証方式の前提条件は以下の通りです。

• • プロキシ経由で接続しないこと
  • invoiceAgent社内サーバーのOSが、Windowsであること(Linuxは不可)
  • invoiceAgentのサービスは、Windows組み込みのユーザー(Windowsインストール直後のデフォルト)で実行すること
  • invoiceAgentでActive Directory認証の設定が作成され、同期済みとなっていること

承認フローは以下の通りです。

<フローイメージ>

1. 1. invoiceAgentへNegotiateまたはNTLMで認証します。
   2. 統合Windows認証で認証されたユーザーIDをもとに、Active Directoryに対してユーザーを取得し、invoiceAgentに情報を返します。
   3. invoiceAgentからユーザーへ認証結果を返し、認証が完了します。

IISを使用する認証方式

IISを使用する認証方式の前提条件は以下の通りです。

• • プロキシ経由で接続しないこと
  • NETBIOS名にマルチバイト文字が含まれるドメインを使用していないこと
  • IISが動作するサーバーが、Active Directoryに参加していること
  • invoiceAgentでActive Directory認証の設定が作成され、同期済みになっていること
  • Apache JServ Protocol(AJP)Connectが有効になっていること

 

承認フローは以下の通りです。

<フローイメージ>

 

1. 1. IISへNegotiateまたはNTLMで認証します。
   2. 認証されたユーザーIDがinvoiceAgentに共有されます(AJP)。
   3. Acitve Directoryに対してユーザーを取得し、invoiceAgentへ情報を返します。
   4. invoiceAgentからIISに認証結果を返します。
   5. IISからユーザーへ認証結果を返し、認証が完了します。

 

Windows統合認証の詳細は以下のURLのマニュアルをご確認ください。

 

方法⑥:SAML認証(オンプレミス/クラウド利用可能)

外部システムとinvoiceAgentを連携し、SAML認証でシングルサインオンができます。前提条件は以下の通りです。

• • 外部システムがADFS(Active Directoryフェデレーションサービス)やOpenAMなど、SAMLに対応した認証サーバーを利用していること
  • 認証サーバーがADFSの場合、WebブラウザからinvoiceAgentにHTTPS接続できること
  • IdPサーバーとinvoiceAgentサーバーのシステム日時が一致していること

 

認証フローは以下の通りです。

<フローイメージ>

1. 1. invoiceAgentへ接続します。
   2. SAML認証要求が作成され、IdPへリダイレクトします。
   3. IdPからユーザーへユーザー認証します。
   4. IdPからinvoiceAgentへ認証結果がSAML応答として、リダイレクトします。
   5. invoiceAgentでSAML認証応答の情報をもとに認証されます。必要に応じてユーザーおよびグループを登録します。

 

SAML認証の主な仕様は以下のとおりです。

• • SAML認証の設定をすると、SAMLドメインが追加されます。
  • SAMLドメインと外部認証ドメインは同じドメインにできません。
  • 外部システムのユーザー情報とinvoiceAgentのSAML認証ユーザーをマッチングして認証するため、外部システムのユーザーと同名のユーザーをinvoiceAgentに登録します。
  • 外部システムからinvoiceAgentにログインする際に、ユーザーやグループを自動でinvoiceAgentに登録するように設定できます。
  • ユーザー情報を自動でinvoiceAgentに登録する場合、SAML認証画面で指定したローカルグループに所属します。

 

詳細は以下のURLのマニュアルをご確認ください。

方法⑦:ウイングアーク製品連携(RDE)(オンプレミス利用可能)

社内帳票サーバーのRDEで使用しているデータベースに直接接続し、ユーザーとグループをinvoiceAgentで使用するPostgreSQLのユーザー情報管理テーブルにインポート可能です。invoiceAgentをインストールした環境で、コマンドを実行してインポートします。

<連携イメージ>

詳細は以下のURLのマニュアルをご確認ください。

 

方法⑧:ウイングアーク製品連携(Dr.Sum)(オンプレミス/クラウド利用可能)

社内DBサーバーからDr.Sumのユーザーとグループを連携し、invoiceAgentのユーザーとグループとして利用します。クラウド版はBridge Service経由で社内DBサーバーからinvoiceAgentに連携可能です。

<連携イメージ>

 

方法⑨:WebAPI連携(オンプレミス/クラウド利用可能)

WebAPIを利用してJSON形式のユーザー情報をinvoiceAgentに登録/更新/削除します。WebAPIでユーザー情報を処理できる内容は以下のとおりです。

<WebAPIでユーザー情報を処理できる内容>

 

詳細は以下のURLのマニュアルをご確認ください。

 

まとめ ユーザー管理を適切に行おう

ユーザー管理手法を知ることで、今後の文書管理を効率的に進めることができます。上記で紹介した9つの管理方法をぜひ活用ください。