Document Security サーバーの設定 configure-the-document-security-server
- 管理コンソールで、サービス/Document Security/設定/サーバー設定をクリックします。
- 設定を指定し、「OK」をクリックします。
サーバー設定 server-configuration-settings
ベース URL: Document Security URL です。サーバー名とポートが含まれます。ベースに情報が追加されて、接続 URL が作成されます。例えば、/edc/Main.do が追加されて web ページへのアクセスが行われます。また、ユーザーは、この URL を通じて、外部のユーザー登録の招待に応答します。
IPv6 を使用している場合は、コンピュータ名または DNS 名としてベース URL を入力します。 数値 IP アドレスを使用すると、Acrobatはポリシーで保護されたファイルを開けません。 また、サーバーには HTTP セキュア (HTTPS)URL を使用します。
デフォルトのオフラインリース期間: 保護されたドキュメントをユーザーがオフラインで使用できるデフォルトの期間です。この設定により、ポリシーを作成するときに自動オフラインリース期間設定の初期値が決まります。(ポリシーの作成および編集を参照)。リース期間が終了した後、ドキュメントを引き続き使用するには、受信者がそのドキュメントを再び同期する必要があります。
オフラインリースおよび同期の動作方法については、Primer on configuring offline lease and synchronization を参照してください。
デフォルトのオフライン同期期間: ドキュメントが最初に保護されてから、そのドキュメントをオフラインで使用できる最大時間です。
Client Session Timeout: クライアントアプリケーションを使用してログインしたユーザーが Document Security に応答しない場合に、Document Security が切断されるまでの時間(分単位)です。
匿名ユーザーのアクセスを許可: 匿名ユーザーがポリシーで保護されたドキュメントを開くことを許可する、共有ポリシーおよび個人用ポリシーを作成できるようにするときに選択します。(アカウントを持たないユーザーでもドキュメントにアクセスできますが、Document Security にログインしたり、他のポリシーで保護されたドキュメントを使用したりすることはできません)。
バージョン 7 クライアントへのアクセスを無効にする: ユーザーが Acrobat または Reader 7.0 を使用してサーバーに接続できるかどうかを指定します。このオプションを選択した場合、ユーザーはAcrobatまたはReader8.0 以降を使用して、PDFドキュメントに対する Document Security の操作を完了する必要があります。 ポリシーで保護されたドキュメントを開く際に、AcrobatまたはReader8.0 以降を認証モードで実行する必要がある場合は、AcrobatまたはReader7 へのアクセスを無効にする必要があります。 (ユーザーおよびグループのドキュメント権限の指定を参照)。
ドキュメントごとのオフラインアクセスを許可 ドキュメントごとにオフラインアクセスを指定するには、このオプションを選択します。この設定が有効な場合、ユーザーは少なくとも 1 回オンラインで開いたドキュメントのみに対し、オフラインアクセス権があります。
ユーザー名パスワード認証を許可: クライアントアプリケーションが、サーバーへの接続時にユーザー名とパスワード認証を使用できるようにするときにこのオプションを選択します。
Kerberos 認証を許可: クライアントアプリケーションが、サーバーへの接続時に Kerberos 認証を使用できるようにするときにこのオプションを選択します。
クライアント証明書認証を許可: クライアントアプリケーションが、サーバーへの接続時に証明書認証を使用できるようにするときにこのオプションを選択します。
拡張認証を許可 拡張認証を有効にするときに選択し、さらに「拡張認証のランディング URL」を入力します。
このオプションを選択すると、クライアントアプリケーションで拡張認証を使用できるようになります。 拡張認証では、認証プロセスをカスタマイズし、AEM forms サーバーで設定されている様々な認証オプションを使用できます。 例えば、AcrobatおよびReaderクライアントで、AEM forms のユーザー名/パスワードの代わりに SAML ベースの認証を使用できるようになりました。 デフォルトでは、ランディング URL にはサーバー名として localhost が含まれます。サーバー名を完全修飾ホスト名に置き換えます。 拡張認証がまだ有効になっていない場合、ランディング URL のホスト名はベース URL から自動的に入力されます。 詳しくは、 拡張認証プロバイダーの追加.
注意:拡張認証は Adobe Acrobat リリース 11.0.6 以上を使用している Apple Mac OS X でサポートされています。
拡張認証用の推奨された HTML 制御幅 ユーザー資格情報を入力するために Acrobat で開く拡張認証ダイアログの幅を指定します。
拡張認証用の推奨された HTML 制御高さ ユーザーの資格情報を入力するために Acrobat で開く拡張認証ダイアログの高さを指定します。
注意:このダイアログボックスの幅および高さの制限値は次のとおりです。
幅:最小 = 400, 最大 = 900
高さ:最小 = 450、最大 = 800
クライアントの資格情報のキャッシュを有効にする: ユーザーが自分の資格情報(ユーザー名およびパスワード)をキャッシュできるようにするときに選択します。ユーザーの資格情報がキャッシュされている場合、ドキュメントを開くたびに、またはAdobe Acrobatのセキュリティポリシーを管理ページの更新ボタンをクリックするたびに、資格情報を入力する必要はありません。 ユーザーが資格情報を再度入力するまでの日数を指定できます。 日数を 0 に設定すると、資格情報は無期限にキャッシュされます。
Document Security ユーザーおよび管理者の設定 configuring-document-security-users-and-administrators
管理者への Document Security ロールの割り当て assigning-document-security-roles-to-administrators
お使いのAEM forms 環境には、ユーザーおよびグループを作成するための適切な権限を持つ 1 人以上の管理者ユーザーが含まれています。 組織が Document Security を使用している場合は、招待ユーザーおよびローカルユーザーを管理する権限を 1 人以上の管理者に割り当てる必要があります。
また、管理コンソールにアクセスするには、管理コンソールのユーザーロールも必要です。 ( ロールの作成と設定.)
表示されるユーザーおよびグループの設定 configuring-visible-users-and-groups
ポリシー・ユーザーの検索中に選択したドメインのユーザーとグループを表示するには、スーパー管理者またはポリシー・セット管理者が、各ポリシー・セットの表示されるユーザーとグループ・リストにドメイン(User Management で作成)を選択して追加する必要があります。
表示されるユーザーとグループの一覧は、ポリシーセットコーディネーターに表示され、ポリシーに追加するユーザーまたはグループを選択する際にエンドユーザーが参照できるドメインを制限するために使用されます。 このタスクを実行しない場合、ポリシーセットコーディネーターは、ポリシーに追加するユーザーまたはグループを見つけられません。 任意のポリシーセットに対して、複数のポリシーセットコーディネーターを設定できます。
-
Document Security を使用してAEM forms 環境をインストールおよび設定した後、適切なドメインをすべて User Management で設定します。
注意:ポリシーを作成するには、ドメインの作成を済ませておく必要があります。
-
管理コンソールで、サービス/ドキュメント管理/ポリシーをクリックし、「ポリシーセット」タブをクリックします。
-
「グローバルポリシーセット」を選択し、「表示されるユーザーとグループ」タブをクリックします。
-
「ドメインを追加」をクリックし、必要に応じて既存のドメインを追加します。
-
サービス/Document Security/設定/マイポリシーに移動し、「表示されるユーザーとグループ」タブをクリックします。
-
「ドメインを追加」をクリックし、必要に応じて既存のドメインを追加します。
拡張認証プロバイダーの追加 add-the-extended-authentication-provider
AEM forms は、ご使用の環境に合わせてカスタマイズできるサンプル設定を提供しています。 以下の手順を実行します。
- サンプルの WAR ファイルを入手して、デプロイします。 ご使用のアプリケーションサーバーに適したインストールガイドを参照してください。
- forms サーバーに、IP アドレスの代わりに完全修飾名がベース URL として含まれ、HTTPS URL であることを確認します。 詳しくは、 サーバー設定.
- サーバー設定ページから拡張認証を有効にします。 詳しくは、 サーバー設定.
- 必要な SSO リダイレクト URL を User Management 構成ファイルに追加します。 詳しくは、 拡張認証用に SSO リダイレクト URL を追加.
拡張認証用に SSO リダイレクト URL を追加 add-sso-redirect-urls-for-extended-authentication
拡張認証を有効にすると、ユーザーはAcrobat XI またはReaderXI でポリシーで保護されたドキュメントを開き、認証用のダイアログを表示します。 このダイアログでは、Document SecurityHTMLの設定で拡張認証ランディング URL として指定したサーバーページが読み込まれます。 詳しくは、 サーバー設定.
-
管理コンソールで、設定/User Management/設定/既存の設定ファイルの読み込みと書き出しをクリックします。
-
「書き出し」をクリックし、設定ファイルをディスクに保存します。
-
エディターでファイルを開き、 AllowedUrls ノードを探します。
-
AllowedUrls
ノードで、次の行を追加します。<entry key="sso-l" value="/ssoexample/login.jsp"/> <entry key="sso-s" value="/ssoexample"/> <entry key="sso-o" value="/ssoexample/logout.jsp"/>
code language-as3 <entry key="sso-l" value="/ssoexample/login.jsp"/> <entry key="sso-s" value="/ssoexample"/> <entry key="sso-o" value="/ssoexample/logout.jsp"/>
-
ファイルを保存した後に、手動設定ページから更新されたファイルを読み込みます。管理コンソールで、設定/User Management/設定/既存の設定ファイルの読み込みと書き出しをクリックします。
オフラインセキュリティの設定 configuring-offline-security
Document Security を使用すると、ポリシーで保護されたドキュメントを、インターネットやネットワークに接続せずにオフラインで使用できます。 この機能を使用するには、ポリシーでオフラインアクセスを許可する必要があります。詳しくは、 ユーザーおよびグループのドキュメント権限の指定. このようなポリシーを持つドキュメントをオフラインで使用するには、受信者がオンラインでドキュメントを開き、指示に従って「はい」をクリックし、オフラインアクセスを有効にする必要があります。 受信者の ID 認証をリクエストすることもできます。 その後、受信者は、ポリシーで指定されたオフラインリース期間中、ドキュメントをオフラインで使用できます。
オフラインリース期間が終了したら、受信者は、オンラインでドキュメントを開くか、AcrobatまたはAcrobat Reader DC拡張機能メニューコマンドを使用して同期することで、Document Security と再び同期する必要があります。 ( Acrobat Help または適切な Acrobat Reader DC Extensions ヘルプ.)
オフラインアクセスを許可するドキュメントでは、ファイルがオフラインで保存されるコンピューター上で鍵の資料をキャッシュする必要があるので、権限のないユーザーが鍵の資料を取得できる場合、ファイルに問題が生じる可能性があります。 この可能性を補うために、スケジュールおよび手動のキーロールオーバーオプションが用意されており、許可されていない人がキーを使用してドキュメントにアクセスするのを防ぐようにを設定できます。
デフォルトのオフラインリース期間を設定 set-a-default-offline-lease-period
ポリシーで保護されたドキュメントの受信者は、ポリシーで指定された日数の間、ドキュメントをオフラインにすることができます。 最初にドキュメントを Document Security と同期した後、オフラインリース期間が終了するまで、受信者はドキュメントをオフラインで使用できます。 リース期間が終了した後も、ドキュメントを引き続き使用するには、受信者はドキュメントをオンラインで受け取り、Document Security と同期するためにログインする必要があります。
デフォルトのオフラインリース期間を設定できます。 リース期間は、誰かがポリシーを作成または編集したときにデフォルトから変更できます。
- Document Security ページで、設定/サーバー設定をクリックします。
- 「デフォルトのオフラインリース期間」ボックスに、オフラインリース期間の日数を入力します。
- 「OK」をクリックします。
キーのロールオーバーを管理 manage-key-rollovers
Document Security では、ドキュメントを保護するために暗号化アルゴリズムとライセンスが使用されます。 ドキュメントを暗号化する際、Document Security は、 DocKey クライアントアプリケーションに渡す ドキュメントを保護するポリシーでオフラインアクセスが許可されている場合、 主キー また、ドキュメントにオフラインでアクセスできる各ユーザーに対しても生成されます。
ポリシーで保護されたドキュメントをオフラインで開くには、ユーザーのコンピューターに適切なプリンシパルキーが必要です。 ユーザーが Document Security と同期すると(保護されたドキュメントをオンラインで開く)、コンピューターはプリンシパルキーを取得します。 このプリンシパルキーに問題が発生した場合、ユーザーがオフラインでアクセスできるドキュメントも問題にさらされる可能性があります。
オフラインドキュメントに対する脅威を軽減する 1 つの方法は、特に機密性の高いドキュメントへのオフラインアクセスを許可しないようにすることです。 別の方法は、プリンシパルキーを定期的にロールオーバーする方法です。 Document Security によってキーがロールオーバーされると、既存のキーはポリシーで保護されたドキュメントにアクセスできなくなります。 例えば、犯人が盗難に遭ったノート PC から主キーを取得した場合、そのキーを使用して、ロールオーバー後に保護されたドキュメントにアクセスすることはできません。 特定のプリンシパルキーが侵害されたと思われる場合は、手動でそのキーをロールオーバーできます。
ただし、キーのロールオーバーが 1 つだけでなく、すべてのプリンシパルキーに影響を与える点に注意する必要があります。 また、オフラインアクセス用にクライアントがより多くのキーを保存する必要があるので、システムの拡張性も低下します。 デフォルトのキーのロールオーバー頻度は 20 日です。 ユーザーがオフラインドキュメントを表示できなくなり、システムのパフォーマンスに影響が出る可能性があるので、この値を 14 日未満に設定しないことをお勧めします。
次の例では、Key1 が 2 つのプリンシパルキーの中で古い方で、Key2 が新しい方です。 「今すぐキーをロールオーバー」ボタンを初めてクリックすると、Key1 が無効になり、新しい有効なプリンシパルキー (Key3) が生成されます。 Document Security と同期すると、通常は保護されたドキュメントをオンラインで開くことで Key3 が取得されます。 ただし、ポリシーで指定されているオフラインリース期間の上限に達するまで、ユーザーは Document Security との同期を強制されません。 最初のキーのロールオーバー後も、オフラインのままのユーザーは、オフラインのリース期間の上限に達するまで、Key3 で保護されたドキュメントを含むオフラインドキュメントを引き続き開くことができます。 [ 今すぐキーをロールオーバー ] ボタンを 2 回クリックすると、Key2 が無効になり、Key4 が作成されます。 2 回のキーのロールオーバー中にオフラインのままになったユーザーは、Document Security と同期するまで Key3 または Key4 で保護されたドキュメントを開くことができません。
キーのロールオーバー頻度の変更
Document Security では、機密性を確保するために、オフラインドキュメントを使用する場合に、デフォルトの頻度期間 20 日の自動キーロールオーバーオプションが提供されます。 ロールオーバーの頻度は変更できます。ただし、ユーザーがオフラインドキュメントを表示できなくなり、システムのパフォーマンスに影響を与える可能性があるので、値を 14 日未満に設定しないでください。
- Document Security ページで、設定/鍵の管理をクリックします。
- 「キーのロールオーバーの頻度」ボックスに、ロールオーバー期間の日数を入力します。
- 「OK」をクリックします。
手動でのプリンシパルキーのロールオーバー
オフラインドキュメントの機密性を維持するために、プリンシパルキーを手動でロールオーバーできます。 手動でキーをロールオーバーする必要が生じる場合があります(例えば、ドキュメントへのオフラインアクセスを可能にするためにキャッシュされているコンピューターからキーを取得したユーザーがキーを侵害した場合)。
プリンシパルキーは、クライアントコンピューター上の既存のキーが無効化される前に 2 回ロールオーバーする必要があります。 プリンシパルキーを無効にしたクライアントコンピューターは、新しいプリンシパルキーを取得するために、Document Security サービスと再同期する必要があります。
- Document Security ページで、設定/鍵の管理をクリックします。
- 「今すぐキーをロールオーバー」をクリックし、「OK」をクリックします。
- 約 10 分待ちます。 サーバーログに、「
Done RightsManagement key rollover for
Nprincipals
」というログメッセージが表示されます。ここで、 N は、Document Security システム内のユーザーの数です。 - 「今すぐキーをロールオーバー」をクリックし、「OK」をクリックします。
- 約 10 分待ちます。
イベント監査とプライバシーの設定 configuring-event-auditing-and-privacy-settings
Document Security では、ポリシーで保護されたドキュメント、ポリシー、管理者およびサーバーとのやり取りに関連するイベントに関する情報を監査および記録できます。 イベント監査を設定し、監査するイベントのタイプを指定できます。 特定のドキュメントのイベントを監査するには、ポリシーの監査オプションも有効にする必要があります。
監査を有効にすると、監査対象イベントの詳細をイベントページに表示できます。 Document Security ユーザーは、ポリシーで保護されたドキュメントに関連するイベントを、そのドキュメントが使用または作成したイベントを表示することもできます。
監査対象として、次のタイプのイベントを選択できます。
- ポリシーで保護されたドキュメントイベント(許可されたユーザーや許可されていないユーザーがドキュメントを開こうとした場合など)
- ポリシーイベント(ポリシーの作成、変更、削除、有効化、無効化など)
- ユーザーイベント(外部ユーザーの招待状と登録、アクティブ化および非アクティブ化されたユーザーアカウント、ユーザーパスワードの変更、プロファイルの更新など)
- バージョンの不一致、使用できないディレクトリサーバーと認証プロバイダー、サーバー設定の変更など、AEM forms のイベント
イベント監査を有効または無効にする enable-or-disable-event-auditing
サーバー、ポリシーで保護されたドキュメント、ポリシー、ポリシーセット、ユーザーに関連するイベントの監査を有効または無効にすることができます。 イベント監査を有効にする場合、可能なすべてのイベントを監査するか、特定のイベントを監査するかを選択できます。
サーバー監査を有効にすると、監査されたイベントをイベントページに表示できます。
-
管理コンソールで、サービス/Document Security/設定/監査とプライバシーの設定をクリックします。
-
サーバー監査を構成するには、[ サーバー監査の有効化 ] で [ はい ] または [ いいえ ] を選択します。
-
「はい」を選択した場合、各イベントカテゴリで、次のいずれかの操作を実行して、監査するオプションを選択します。
-
カテゴリ内のすべてのイベントを監査するには、「すべて」を選択します。
-
一部のイベントのみを監査するには、「すべて」の選択を解除し、監査するイベントの横にあるチェックボックスをオンにします。
( イベント監査オプション.)
-
-
「OK」をクリックします。
プライバシー通知を有効または無効にする enable-or-disable-privacy-notification
プライバシー通知メッセージを有効または無効にすることができます。 プライバシー通知を有効にすると、ポリシーで保護されたドキュメントを受信者が開こうとすると、メッセージが表示されます。 この通知は、ドキュメントの使用が監査対象であることをユーザーに通知します。 また、ユーザーがプライバシーポリシーページを表示する際に使用できる URL(使用可能な場合)を指定することもできます。
-
管理コンソールで、サービス/Document Security/設定/監査とプライバシーの設定をクリックします。
-
プライバシー通知を設定するには、「プライバシー通知を有効にする」で「はい」または「いいえ」を選択します。
ドキュメントに添付されたポリシーで匿名ユーザーのアクセスが許可され、「プライバシー通知を有効にする」が「いいえ」に設定されている場合、ユーザーはログインを求められず、プライバシー通知メッセージは表示されません。
ドキュメントに添付されたポリシーで匿名ユーザーのアクセスが許可されていない場合は、プライバシー通知メッセージが表示されます。
-
該当する場合は、「プライバシー URL 」ボックスに、プライバシーポリシーページの URL を入力します。 「プライバシー URL 」ボックスを空白のままにすると、adobe.com のプライバシーページが表示されます。
-
「OK」をクリックします。
カスタム監査イベントタイプのインポート import-a-custom-audit-event-type
特定のファイルタイプに固有のイベントなど、追加イベントの監査をサポートする Document Security 対応アプリケーションを使用している場合、Adobeパートナーは Document Security に読み込むカスタム監査イベントを提供できます。 この機能は、イベントパートナーによってカスタムイベントタイプが提供された場合にのみAdobeします。
- 管理コンソールで、サービス/Document Security/設定/イベント管理をクリックします。
- 「参照」をクリックし、読み込む XML ファイルを指定して、「読み込み」をクリックします。
- 同じイベントコードと名前空間の組み合わせが見つかった場合、読み込みはサーバー上の既存のカスタム監査イベントタイプを上書きします。
- 「OK」をクリックします。
カスタム監査イベントタイプの削除 delete-a-custom-audit-event-type
- 管理コンソールで、サービス/Document Security/設定/イベント管理をクリックします。
- 削除するカスタム監査イベントタイプの横にあるチェックボックスを選択し、「削除」をクリックします。
- 「OK」をクリックします。
監査イベントの書き出し export-audit-events
監査イベントをファイルに書き出して、アーカイブ用に保存できます。
-
管理コンソールで、サービス/Document Security/設定/イベント管理をクリックします。
-
必要に応じて、「監査イベントを書き出し」の設定を編集します。 次を指定できます。
- 書き出す監査イベントの最小期間
- 1 つのファイルに含める監査イベントの最大数。 サーバーは、この値に基づいて 1 つ以上のファイルを生成します。
- ファイルを作成するフォルダー。 このフォルダーは forms サーバー上にあります。 フォルダーパスが相対パスの場合は、アプリケーションサーバーのルートディレクトリを基準とした相対パスになります。
- 監査イベントファイルに使用するファイルプレフィックス
- ファイルの形式。Microsoft Excel と互換性のあるコンマ区切り値 (CSV) ファイルまたは XML ファイルです。
-
「書き出し」をクリックします。 エクスポートをキャンセルする場合は、[ エクスポートのキャンセル ] をクリックします。 別のユーザーが書き出しをスケジュールしている場合、「書き出しのキャンセル」ボタンは、書き出しが完了するまで使用できません。 別のユーザーが書き出しをスケジュールしている場合は、「書き出しのキャンセル」ボタンを使用できません。 スケジュールされたエクスポートまたは削除が開始または終了したかどうかを確認するには、[ 更新 ] をクリックします。
監査イベントの削除 delete-audit-events
指定した日数を超えた監査イベントを削除できます。
- 管理コンソールで、サービス/Document Security/設定/イベント管理をクリックします。
- 「監査イベントの削除」で、「次の日数を超えた監査イベントを削除」ボックスに日数を指定します。
- 「削除」をクリックします。「書き出し」をクリックします。 削除をキャンセルする場合は、[ 削除のキャンセル ] をクリックします。 別のユーザーが削除をスケジュールしている場合は、そのエクスポートが完了するまで「削除をキャンセル」ボタンを使用できません。 別のユーザーが書き出しをスケジュールしている場合は、「削除のキャンセル」ボタンを使用できません。 スケジュールされた削除が開始または終了したかどうかを確認するには、[ 更新 ] をクリックします。
イベント監査オプション event-auditing-options
イベント監査を有効または無効にし、監査するイベントのタイプを指定できます。
ドキュメントイベント
ドキュメントの表示: 受信者がポリシーで保護されたドキュメントを表示しました。
ドキュメントを閉じる: 受信者がポリシーで保護されたドキュメントを閉じました。
低解像度の印刷 受信者がポリシーで保護されたドキュメントを低解像度で印刷しました。
高解像度の印刷: 受信者がポリシーで保護されたドキュメントを高解像度で印刷しました。
ドキュメントに注釈を追加: 受信者が注釈を PDF ドキュメントに追加します。
ドキュメントの失効: ユーザーまたは管理者がポリシーで保護されたドキュメントへのアクセス権限を失効させました。
ドキュメントの失効取り消し: ユーザーまたは管理者がポリシーで保護されたドキュメントへのアクセス権限を復元しました。
フォームへの入力: 受信者が入力可能なフォームである PDF ドキュメントに情報を入力しました。
削除されたポリシー: 発行者がドキュメントからポリシーを削除し、セキュリティ保護を取り消しました。
ドキュメント失効 URL の変更: API レベルからの呼び出しにより失効 URL が変更されました。これは、失効したドキュメントの代わりとなる新しいドキュメントにアクセスするために指定された URL です。
ドキュメントの変更: 受信者がポリシーで保護されたドキュメントの内容を変更しました。
ドキュメントに署名: 受信者がドキュメントに署名します。
新しいドキュメントの保護: ユーザーがドキュメントを保護するためにポリシーを適用します。
ドキュメントのポリシーの切り替え: ユーザーまたは管理者がドキュメントに関連付けられたポリシーを切り替えました。
ドキュメントの発行: ドキュメント名とライセンスが既存のドキュメントと一致する新しいドキュメントがサーバーに登録され、それらのドキュメントには親子関係が設定されません。このイベントは、AEM Forms SDK を使用してトリガーされます。
ドキュメントの反復: ドキュメント名とライセンスが既存のドキュメントと一致する新しいドキュメントがサーバーに登録され、それらのドキュメントに親子関係が設定されます。このイベントは、AEM Forms SDK を使用してトリガーされます。
ポリシーイベント
ポリシーの作成: ユーザーまたは管理者がポリシーを作成しました。
有効なポリシー: 管理者がポリシーを有効にしました。
ポリシーの変更: ユーザーまたは管理者がポリシーを変更しました。
ポリシーの無効化: 管理者がポリシーを使用不可にしました。
ポリシーの削除: ユーザーまたは管理者がポリシーを削除しました。
ポリシー所有者の変更: API レベルからの呼び出しによってポリシー所有者が変更されました。
ユーザーイベント
ユーザーの削除: 管理者がユーザーアカウントを削除しました。
招待ユーザーを登録: 外部ユーザーが Document Security に登録します。
ログイン成功: 管理者またはユーザーによるログインが成功しました。
ユーザーの招待: Document Security がユーザーに登録を勧めました。
ユーザーのアクティベート: 外部ユーザーがアクティベーションメール内の URL を使用して、自分のアカウントをアクティベートしたか、管理者がアカウントを有効にしました。
パスワードの変更: 招待ユーザーが自分のパスワードを変更するか、管理者がローカルユーザーのパスワードをリセットしました。
ログイン失敗: 管理者またはユーザーによるログインが失敗しました。
ユーザーのアクティベートを解除: 管理者がローカルユーザーアカウントを無効にしました。
プロファイルの更新: 招待ユーザーが自分のユーザー名と組織名とパスワードを変更しました。
アカウントのロック: 管理者がアカウントをロックしました。
ポリシーセットイベント
ポリシーセットの作成: 管理者またはポリシーセットコーディネーターがポリシーセットを作成しました。
ポリシーセットの削除: 管理者またはポリシーセットコーディネーターがポリシーセットを削除しました。
ポリシーセットの変更: 管理者またはポリシーセットコーディネーターがポリシーセットを変更しました。
システムイベント
ディレクトリ同期の完了: この情報は、イベントページからは利用できません。現在のディレクトリ同期情報(前回の同期の現在の同期状態や時刻など)が、[ ドメインの管理 ] ページに表示されます。 管理コンソールのドメインの管理ページにアクセスするには、設定/User Management/ドメインの管理をクリックします。
クライアントによるオフラインアクセスの有効化: ユーザーが、ユーザーのコンピューター上で、サーバーに対して保護されているドキュメントへのオフラインアクセスを有効にしました。
クライアントの同期: クライアントアプリケーションでオフラインアクセスを許可するには、サーバーと情報を同期する必要があります。
バージョンの不一致: サーバーと互換性のないバージョンの AEM forms SDK によってサーバーへの接続が試行されました。
ディレクトリ同期情報: この情報は、イベントページからは利用できません。現在のディレクトリ同期情報(前回の同期の現在の同期状態や時刻など)が、[ ドメインの管理 ] ページに表示されます。 管理コンソールのドメインの管理ページにアクセスするには、設定/User Management/ドメインの管理をクリックします。
サーバー設定の変更: サーバー設定に対する変更が、web ページから、または config.xml ファイルを読み込むことにより手動で行われました。これには、ベース URL、セッションタイムアウト、ログインロックアウト、ディレクトリ設定、キーのロールオーバー、外部登録用の SMTP サーバー設定、透かし設定、表示オプションなどの変更が含まれます。
拡張された使用状況のトラッキングの設定 configuring-extended-usage-tracking
Document Security では、保護されたドキュメントで実行される様々なカスタムイベントを追跡できます。 イベントの追跡は、Document Security サーバーからグローバルレベルまたはポリシーレベルで有効にすることができます。 次に、JavaScript を設定して、保護されたPDFドキュメント内で実行される特定のアクション(ボタンのクリック、ドキュメントの保存など)を取り込むことができます。 この使用状況データは、キーと値のペアの XML ファイルとして送信され、それを使用してさらに分析をおこなうことができます。 保護されたドキュメントにアクセスするエンドユーザーは、クライアントアプリケーションからこのような追跡を許可または拒否できます。
追跡がグローバルレベルで有効になっている場合、この設定をポリシーレベルで上書きし、特定のポリシーで無効にすることができます。 追跡がグローバルレベルで無効になっている場合、ポリシーレベルの上書きはできません。 イベント数が 25 に達した場合、またはドキュメントが閉じられた場合、追跡されたイベントのリストは自動的にサーバーにプッシュされます。 必要に応じてイベントリストを明示的にプッシュするようにスクリプトを設定することもできます。 Document Security オブジェクトのプロパティおよびメソッドにアクセスして、イベント追跡をカスタマイズできます。
追跡を有効にすると、その後作成されるすべてのポリシーで、デフォルトで追跡が有効になります。 サーバーでトラッキングを有効にする前に作成されたポリシーは、手動で更新する必要があります。
拡張された使用状況の追跡を有効または無効にします enable-or-disable-extended-usage-tracking
開始する前に、サーバー監査が有効になっていることを確認してください。 詳しくは、 イベント監査とプライバシーの設定 監査の詳細を参照してください。
- 管理コンソールで、サービス/Document Security/設定/監査とプライバシーの設定をクリックします。
- 拡張された使用状況の追跡を設定するには、「追跡を有効にする」で「はい」または「いいえ」を選択します。
- ログインページの「詳細な使用状況データのコレクションを許可」チェックボックスの選択を設定するには、「デフォルトのトラッキングを有効にする」で「はい」または「いいえ」を選択します。
追跡されたイベントを表示するには、イベントページのドキュメントイベントフィルターを使用します。 JavaScript を使用して追跡されたイベントは、「詳細な使用状況の追跡」というラベルが付けられます。 参照: イベントの監視 イベントの詳細を参照してください。
Document Security の表示設定の指定 configure-document-security-display-settings
- 管理コンソールで、サービス/Document Security/設定/表示オプションをクリックします。
- 設定を指定し、「OK」をクリックします。
表示設定 display-settings
検索結果に表示する行:検索の実行時にページに表示される行数です。
クライアントログインダイアログのカスタマイズ
これらの設定は、ユーザーがクライアントアプリケーションを使用して Document Security にログインしたときに表示されるログインプロンプトに表示されるテキストを制御します。
ようこそテキスト:「ユーザー名とパスワードを使用してログインしてください」などの、ウェルカムメッセージのテキストです。お知らせメッセージのテキストには、Document Security へのログイン方法と、組織内の管理者またはその他の指定サポート担当者への問い合わせ方法に関する情報が含まれている必要があります。 例えば、外部ユーザーがパスワードを忘れた場合や、登録やログインプロセスに関するサポートが必要な場合は、管理者に問い合わせる必要が生じる場合があります。 ようこそテキストの最大長は 512 文字です。
ユーザー名テキスト: ユーザー名ボックスのテキストラベルです。
パスワードテキスト: パスワードボックスのテキストラベルです。
クライアント証明書認証ダイアログのカスタマイズ
これらの設定は、証明書認証ダイアログボックスに表示されるテキストを制御します。
認証
タイプテキストを選択: ユーザーに認証タイプを選択するよう指示するために表示されるテキストです。
証明書テキストを選択: ユーザーに証明書タイプを選択するよう指示するテキストです。
証明書を利用できませんエラーテキスト: 選択した証明書が使用できない場合に表示する最大 512 文字のメッセージです。
クライアント証明書表示のカスタマイズ
信頼できる証明書発行者のみを表示: このオプションを選択すると、AEM Forms で信頼するように設定されている認証情報発行者からの証明書だけが、クライアントアプリケーションによってユーザーに提示されます(「証明書と認証情報の管理」を参照)。このオプションが選択されていない場合、ユーザーのシステム上のすべての証明書のリストがユーザーに表示されます。
動的な透かしの設定 configure-dynamic-watermarks
Document Security を使用すると、ポリシーの作成時に適用できる動的な透かしオプションのデフォルト設定を構成できます。 A 透かし は、ドキュメント内のテキストの上に重ねて表示される画像です。 これは、ドキュメントのコンテンツを追跡する際に役立ち、コンテンツの不正使用を識別するのに役立ちます。
動的な透かしは、ユーザー ID、日付、カスタムテキストなどの定義済みの変数で構成されるテキスト、またはPDF内のリッチコンテンツで構成できます。 透かしは、複数の要素を持つ独自の配置と書式設定を設定できます。
透かしは編集できないので、ドキュメントコンテンツの機密性を確保するためのより安全な方法です。 また、動的な透かしを使用すると、透かしにユーザー固有の情報が十分に表示され、ドキュメントをさらに配布する際の妨げとなります。
ポリシーで指定された透かしは、受信者がドキュメントを表示または印刷したときに、ポリシーで保護されたドキュメントに表示されます。 永続的な透かしとは異なり、動的な透かしはドキュメントに保存されません。動的な透かしは、イントラネット環境にドキュメントを展開する際に必要な柔軟性を提供し、表示アプリケーションで特定のユーザーの ID が表示されるようにします。 また、ドキュメントに複数のユーザーが存在する場合、動的な透かしを使用すると、複数のバージョンではなく 1 つのドキュメントを使用でき、それぞれに異なる透かしが設定されます。 表示される透かしは、現在のユーザーの ID を反映しています。
動的な透かしは、Acrobatでユーザーが直接ドキュメントに追加できる透かしとは異なることに注意してください。 その結果、ポリシーで保護されたドキュメントに 2 つの透かしを含めることができます。
透かしを作成する際の考慮事項 considerations-when-creating-watermarks
複数の透かし要素を持つ動的な透かしを作成し、各要素をテキストまたはPDFとして指定できます。 1 つの透かしに最大 5 つの要素を含めることができます。
テキストベースの透かしを選択する場合は、透かし内に複数のテキストエントリを含む複数の要素を指定し、各要素の位置を指定できます。 これらの要素に、ヘッダーやフッターなどの意味のある名前を割り当てます。
例えば、ヘッダー、フッター、余白、およびドキュメント全体に透かしとして異なるテキストを指定する場合は、透かし要素を複数作成し、その位置を指定します。 ユーザーのユーザー ID とドキュメントにアクセスした現在の日付をヘッダーに表示し、右余白にポリシー名とカスタムテキスト"CONFIDENTIAL"をドキュメントに対して斜めに表示する場合は、テキストとテキストを使用して個別の透かし要素を定義し、書式と位置を指定します。 透かしをドキュメントに適用すると、透かし内のすべての要素が、透かしに追加された順序でドキュメントに同時に適用されます。
通常、PDFベースの透かしを使用して、ロゴなどのグラフィックコンテンツや、著作権や登録商標などの特殊記号を含めます。
透かし要素の数とPDFファイルのサイズの制限は、Document Security 設定ファイルを変更することで変更できます。 詳しくは、 透かしの設定パラメーターの変更.
透かしを設定する際は、次の点に注意してください。
- 透かし要素としてパスワードで保護されたPDFドキュメントを使用することはできません。 ただし、作成した透かしに、パスワードで保護されていない他の要素が含まれている場合は、その要素が透かしの一部として適用されます。
- 透かし要素として使用するPDFファイルの最大サイズを変更できます。 ただし、大きなPDFのドキュメントを透かしとして使用すると、その透かしが適用されたドキュメントのオフライン同期時のパフォーマンスが低下します。 詳しくは、 透かしの設定パラメーターの変更.
- 透かしとしては、選択したPDFの最初のページのみが使用されます。 透かしとして表示する情報が最初のページ自体に存在することを確認します。
- PDFドキュメントの拡大/縮小を指定できますが、PDFをヘッダー、フッター、余白の透かしとして使用する場合は、透かしのページサイズとレイアウトを考慮してください。
- フォント名を指定する場合は、名前を正しく入力します。 AEM forms は、ドキュメントが開かれているクライアントマシンに指定したフォントが存在しない場合に、指定したフォントを置き換えます。
- 透かしのコンテンツとしてテキストを選択した場合、「拡大/縮小」オプションを「ページに合わせる」に指定しても、幅の異なるページに対しては機能しません。
- 透かし要素の位置を指定する場合は、複数の要素が同じ位置に配置されないようにします。 2 つの透かし要素が中央など同じ位置にある場合、ドキュメント上では、透かしに追加された順序で重なって表示されます。
- フォントサイズおよびフォントタイプを指定する場合は、テキストの長さがページ内で完全に表示されるようにします。 テキストコンテンツは新しい行にロールオーバーされるので、余白に表示したい透かしコンテンツが、ページのコンテンツ領域に重なる場合があります。 ただし、ドキュメントがAcrobat 9で開かれている場合は、1 行を超えるテキストは切り捨てられます。
動的な透かしの制限 limitations-of-dynamic-watermarks
一部のクライアントアプリケーションでは、動的な透かしがサポートされない場合があります。 該当するAcrobat Reader DC Extensions のヘルプを参照してください。 また、動的な透かしをサポートするAcrobatのバージョンについては、次の点に注意してください。
-
透かし要素としてパスワードで保護されたPDFドキュメントを使用することはできません。
-
AcrobatおよびAdobe Readerの 10 より前のバージョンでは、次の透かし機能はサポートされません。
- PDFの透かし
- 透かし内の複数の要素 ( テキスト/PDF)
- ページの範囲などの詳細オプションや表示オプション
- テキスト書式設定オプション(指定したフォント、フォント名、色など)。 ただし、AcrobatおよびReaderの以前のバージョンでは、テキストコンテンツはデフォルトのフォントと色で表示されます。
-
Acrobat 9.0 以前のバージョン:Acrobat 9.0 以前では、ポリシー名を動的な透かしで使用することはできません。 Acrobat 9.0 で、ポリシーで保護されたドキュメントを、ポリシー名やその他の動的データを含む動的な透かしで開くと、透かしはポリシー名なしで表示されます。 動的な透かしにポリシー名のみが含まれている場合は、Acrobatにエラーメッセージが表示されます
動的な透かしテンプレートの追加 add-a-dynamic-watermark-template
動的な透かしテンプレートを作成できます。 これらのテンプレートは、管理者またはユーザーが作成するポリシーの設定オプションとして引き続き使用できます。
-
管理コンソールで、サービス/Document Security/設定/透かしをクリックします。
-
「新規」をクリックします。
-
[ 名前 ] ボックスに、新しい透かしの名前を入力します。
注意:一部の特殊文字は、透かしや透かし要素の名前と説明に使用できません。詳しくは、 ポリシー編集に関する考慮事項.
-
[ 名前 ] の下で、プラス記号の横に、透かし要素に意味のある名前([ ヘッダー ] など)を入力し、説明を追加し、プラス記号を展開してオプションを表示します。
-
「ソース」で、透かしの種類として「テキスト」または「PDF」を選択します。
-
[ 文字 ] を選択した場合は、次の操作を行います。
-
含める透かしのタイプを選択します。 「カスタムテキスト」を選択した場合は、隣のボックスに、透かしに表示するテキストを入力します。 透かしとして表示されるテキストの長さに注意してください。
-
透かしテキストのテキストコンテンツのフォント名、フォントサイズ、前景色、背景色などのテキスト書式プロパティを指定します。 前景色と背景色を 16 進値で指定します。
注意:拡大縮小オプションで「ページに合わせる」を選択した場合、フォントサイズプロパティは編集できません。
-
-
高度な透かしオプションの「PDF」を選択した場合、「透かし PDF を選択」の横にある「参照」をクリックして、透かしとして使用する PDF ドキュメントを選択します。
注意:パスワードで保護された PDF ドキュメントは使用しないでください。透かし要素としてパスワードで保護されたPDFを指定した場合、透かしは適用されません。
-
[ 背景として使用 ] で、[ はい ] または [ いいえ ] を選択します。
注意:現在、この設定に関係なく、透かしが前景に表示されます。
-
ドキュメント上での透かしの表示位置を制御するには、「垂直方向の位置」オプションと「水平方向の位置」オプションを設定します。
-
「ページに合わせる」を選択するか、「%」を選択して、ボックスにパーセンテージを入力します。 値は、分数ではなく整数である必要があります。 透かしのサイズを設定するには、ページの割合を示す値を使用するか、ページのサイズに合わせて透かしを設定します。
-
「回転」ボックスに、透かしを回転する角度を入力します。 範囲は —180 ~ 180 です。 透かしを反時計回りに回転させるには、負の値を使用します。 値は、分数ではなく整数である必要があります。
-
「不透明度」ボックスに、パーセンテージを入力します。 分数ではなく整数を使用します。
-
[ 詳細オプション ] で、次の設定を行います。
ページ範囲オプション
透かしを表示するページの範囲を設定します。 すべてのページに透かしが付くようにするには、開始ページを「1」、終了ページを「 —1」と入力します。
表示オプション
透かしを表示する場所を選択します。 デフォルトでは、透かしはソフトコピー(オンライン)とハードコピー(印刷)の両方に表示されます。
-
クリック 新規 「透かし要素」で、必要に応じて透かし要素を追加します。
-
「OK」をクリックします。
動的な透かしテンプレートの編集 edit-a-dynamic-watermark-template
- 管理コンソールで、サービス/Document Security/設定/透かしをクリックします。
- リスト内の適切な透かしをクリックします。
- 透かしを編集ページで、必要に応じて設定を変更します。
- 「OK」をクリックします。
動的な透かしテンプレートの削除 delete-a-dynamic-watermark-template
動的な透かしを削除すると、新しいポリシーに追加できなくなります。 ただし、透かしは現在使用中の既存のポリシーに残り、現在保護されているドキュメントには、削除された透かしを含むポリシーを編集するまで、動的な透かしが引き続き表示されます。 ポリシーを編集すると、透かしは適用されなくなります。 ポリシー上の既存の透かしが削除され、ユーザーが別の透かしを選択して置き換えることができることを示すメッセージが表示されます。
- 管理コンソールで、サービス/Document Security/設定/透かしをクリックします。
- 適切な透かしの横にあるチェックボックスを選択し、「削除」をクリックします。
- 「OK」をクリックします。
招待ユーザー登録の設定 configuring-invited-user-registration
組織外のユーザーは、Document Security に登録できます。 自分のアカウントを登録してアクティベートした招待ユーザーは、登録時に作成した電子メールアドレスとパスワードを使用して、Document Security にログインできます。 登録された招待ユーザーは、ポリシーで保護されたドキュメントを使用し、そのドキュメントに対して権限を付与できます。
招待されたユーザーは、アクティベートされると、ローカルユーザーになります。 ローカルユーザーは、「招待ユーザー」領域と「ローカルユーザー」領域を使用して設定および管理できます。 ( 招待ユーザーおよびローカルユーザーのアカウントの管理.)
招待ユーザーに対して有効にした機能に応じて、次の Document Security 機能も使用できます。
- ドキュメントへのポリシーの適用
- ポリシーの作成
- ポリシーへの招待ユーザーの追加
Document Security は、ユーザーが既にソース LDAP ディレクトリに存在する場合、または以前に登録の招待を受けた場合を除き、次のイベントが発生した場合に、登録招待用の電子メールを自動的に生成します。
- 既存のユーザーが、招待ユーザーをポリシーに追加します
- 管理者が招待ユーザーの登録ページに招待ユーザーアカウントを追加します
登録電子メールには、登録ページへのリンクと、登録方法に関する情報が含まれています。 招待ユーザーが登録すると、Document Security はアクティベーションページへのリンクが記載されたアクティベーション電子メールを発行します。 アクティベートしたアカウントは、アクティベートを解除または削除するまで有効です。
組み込み登録を有効にする場合、SMTP サーバー、登録電子メールの詳細、アクセス機能、パスワードのリセット電子メール情報を 1 回だけ指定します。 組み込み登録を有効にする前に、User Management でローカルドメインを作成し、組織内の適切なユーザーおよびグループに「Document Security ユーザーの招待」ロールが割り当てられていることを確認してください。 ( ローカルドメインを追加 および ロールの作成と設定.) 組み込み登録を使用しない場合は、AEM forms SDK を使用して独自のユーザー登録システムを作成する必要があります。 詳しくは、『 AEM forms SPI の開発』( AEM forms によるプログラミング. 「組み込み登録」オプションを使用しない場合は、アクティベーション電子メールとクライアントログイン画面でメッセージを設定して、新しいパスワードやその他の情報について管理者に通知することをお勧めします。
招待ユーザー登録の有効化と設定
デフォルトでは、招待ユーザー登録プロセスは無効になっています。 必要に応じて、Document Security の招待ユーザー登録を有効または無効にできます。
-
管理コンソールで、サービス/Document Security/設定/招待ユーザーの登録をクリックします。
-
「招待ユーザーの登録を有効にする」を選択します。
-
(オプション)必要に応じて、招待ユーザーの登録設定を更新します。
-
(オプション)「組み込み登録」で、「はい」を選択してこのオプションを有効にします。 組み込み登録を有効にしない場合は、独自のユーザー登録システムを設定する必要があります。
-
「OK」をクリックします。
外部ユーザーまたはグループの除外または組み入れ exclude-or-include-an-external-user-or-group
特定の外部ユーザーまたはユーザーグループに対して、Document Security での登録を制限できます。 このオプションは、例えば、特定のユーザーグループにアクセスできるが、そのグループに属する特定の個人は除外する場合に便利です。
以下の設定は、招待ユーザーの登録ページの「電子メールの制限フィルター」領域にあります。
除外: 除外するユーザーまたはグループのメールアドレスを入力します。複数のユーザーまたはグループを除外するには、各電子メールアドレスを 1 行に入力します。 特定のドメインに属するすべてのユーザーを除外するには、ワイルドカードとドメイン名を入力します。 例えば、example.com ドメイン内のすべてのユーザーを除外するには、*.example.com と入力します。
組み入れ: 対象範囲に含めるユーザーまたはグループのメールアドレスを入力します。複数のユーザーまたはグループを含めるには、各電子メールアドレスを新しい行に入力します。 特定のドメインに属するすべてのユーザーを含めるには、ワイルドカードとドメイン名を入力します。 例えば、example.com ドメイン内のすべてのユーザーを対象範囲に含めるには、*.example.com と入力します。
サーバーおよび登録アカウントのパラメーター server-and-registration-account-parameters
次の設定は、招待ユーザーの登録ページの「一般設定」領域にあります。
SMTP ホスト: SMTP サーバーのホスト名です。SMTP サーバーは、招待ユーザーアカウントの登録とアクティベートのための送信電子メール通知を管理します。
SMTP ホストで必要な場合は、「 SMTP サーバーのアカウント名」ボックスと「 SMTP サーバーのアカウントパスワード」ボックスに必要な情報を入力して、SMTP サーバーに接続します。 一部の組織では、この要件が適用されません。 情報が必要な場合は、システム管理者に問い合わせてください。
SMTP サーバーのソケットクラス名: SMTP サーバーのソケットクラス名です。例えば、javax.net.ssl.SSLSocketFactory です。
メールのコンテンツタイプ: text/plain や text/html など、使用可能な MIME タイプです。
メールエンコーディング: メールを送信するときに使用するエンコード形式です。任意のエンコーディングを指定できます。例えば、Unicode には UTF-8 を、Latin には ISO-8859-1 を指定できます。 デフォルトは UTF-8 です。
メールアドレスのリダイレクト: この設定でメールアドレスを指定すると、指定されたメールアドレスに新しい招待メールが送信されます。この設定は、テストを目的とする場合に役立ちます。
ローカルドメインを使用: 適切なドメインを選択します。新しいインストール時に、必ず User Management を使用してドメインを作成しました。 アップグレードの場合、外部ユーザードメインはアップグレード中に作成され、使用できます。
SMTP サーバーに SSL を使用: SMTP サーバーの SSL を有効にするには、このオプションを選択します。
登録ページにログインリンクを表示: 招待ユーザーに対して表示される登録ページにログインリンクを表示します。
SMTP サーバーに対して Transport Layer Security (TLS) を有効にするには
-
管理コンソールを開きます。
管理コンソールのデフォルトの場所は
https://<server>:<port>/adminui
です。 -
ホーム/サービス/Document Security/設定/招待ユーザーの登録に移動します。
-
招待ユーザーの登録で、すべての設定を指定し、「OK」をクリックします。
note note NOTE Microsoft Office 365 をユーザー登録招待メールを送信するための SMTP サーバーとして使用している場合、以下の設定を使用してください。 SMTP ホスト: smtp.office365.com
ポート: 587 -
次に、config.xml を更新する必要があります。 詳しくは、 Transport Layer Security(TLS) 用に SMTP を有効にするための設定
登録招待メールの設定 registration-invitation-email-settings
Document Security は、新しい招待ユーザーアカウントを作成するとき、または既に登録またはポリシーへの登録に招待されていない外部受信者を追加したときに、登録招待用の電子メールを自動的に発行します。 この電子メールには、受信者が登録ページにアクセスし、ユーザー名やパスワードなどの個人アカウント情報を入力する際に使用できるリンクが含まれています。 パスワードは、8 文字の任意の組み合わせで指定できます。
受信者がアカウントをアクティブ化すると、そのユーザーはローカルユーザーになります。
次の設定は、招待ユーザーの登録ページの「招待用電子メールの設定」領域にあります。
送信元: 招待メールの送信元のメールアドレスです。送信元メールアドレスのデフォルトの形式は「postmaster@[your_installation_domain].com」です。
件名: 招待メールのデフォルトの件名です。
タイムアウト: 外部ユーザーが登録しなかった場合に登録招待が期限切れとなる日数です。デフォルト値は 30 日です。
メッセージ: ユーザーに登録を勧めるメッセージの本文として表示されるテキストです。
アクティベーションメールの設定 activation-email-settings
招待ユーザーが登録すると、Document Security はアクティベーション電子メールを送信します。 アクティベーション用電子メールには、ユーザーが自分のアカウントをアクティベートできるアカウントアクティベーションページへのリンクが含まれています。 アカウントがアクティベートされると、ユーザーは、登録時に作成した電子メールアドレスとパスワードを使用して、Document Security にログインできます。
受信者がユーザーアカウントを有効化すると、そのユーザーはローカルユーザーになります。
次の設定は、招待ユーザーの登録ページの「アクティベーション用電子メールの設定」領域にあります。
送信元: アクティベーションメールの送信元のメールアドレスです。このメールアドレスに、登録者のメールホストから配信失敗の通知が届きます。また、受信者が登録メールアドレスへの応答として送信するメッセージも届きます。送信元メールアドレスのデフォルトの形式は「postmaster@[your_installation_domain].com」です。
件名: アクティベーションメールのデフォルトの件名です。
タイムアウト: ユーザーがアカウントをアクティベートしなかった場合にアクティベーション招待が期限切れとなる日数です。デフォルト値は 30 日です。
メッセージ: 受信者にユーザーアカウントをアクティベートするよう求めるメッセージの本文として表示されるテキストです。また、管理者に連絡して新しいパスワードを取得する方法などの情報を含めることもできます。
パスワードリセットメールの設定 configure-a-password-reset-email
招待ユーザーのパスワードをリセットする必要がある場合は、新しいパスワードを選択するようユーザーに促す確認メールが生成されます。 ユーザーのパスワードを特定できません。ユーザーが忘れた場合は、リセットする必要があります。
次の設定は、招待ユーザーの登録ページの「パスワードをリセット」電子メール領域にあります。
送信元: パスワードリセットメールの送信元のメールアドレスです。送信元メールアドレスのデフォルトの形式は「postmaster@[your_installation_domain].com」です。
件名: リセットメールのデフォルトの件名です。
メッセージ: 受信者に外部ユーザーパスワードのリセットを知らせるメッセージの本文として表示されるテキストです。
ユーザーおよびグループに対するポリシー作成の有効化 enable-users-and-groups-to-create-policies
設定ページにはマイポリシーページへのリンクがあります。このページでは、マイポリシーを作成できるエンドユーザーと、検索結果に表示されるユーザーとグループを指定できます。 マイポリシーページには、次の 2 つのタブがあります。
「ポリシーを作成」タブ: カスタムポリシーを作成するためのユーザー権限を設定する場合に使用します。
「表示されるユーザーとグループ」タブ: ユーザーの検索結果に表示するユーザーとグループを制御するために使用します。スーパーユーザーまたはポリシーセット管理者は、User Management で作成したドメインを選択し、ポリシーセットごとに表示されるユーザーおよびグループに追加する必要があります。 この一覧は、ポリシーセットコーディネーターに表示され、ポリシーに追加するユーザーを選択する際に、ポリシーセットコーディネーターが参照できるドメインを制限するために使用されます。
カスタムポリシーを作成する権限をユーザーに与える前に、個々のユーザーに与えるアクセスや制御の量を考慮します。 さらに、検索でユーザーとグループを表示する際に、ユーザーとグループがどの程度公開されるかを検討します。
ポリシーを作成できるユーザーとグループを指定します specify-users-and-groups-who-can-create-policies
管理者は、カスタムポリシーを作成できるユーザーとグループを指定します。 この権限は、ユーザーレベルおよびグループレベルで設定できます。 検索機能は、User Management データベースでユーザーとグループを検索します。
- 管理コンソールで、サービス/Document Security/設定/マイポリシーをクリックします。
- マイポリシーページで、「ポリシーを作成」タブをクリックし、「ユーザーとグループを追加」をクリックします。
- [ 検索 ] ボックスに、検索するユーザーまたはグループのユーザー名または電子メールアドレスを入力します。 この情報がない場合は、ボックスを空のままにします。 ユーザー名の最初の 2 文字のみがわかっている場合など、名前の一部または電子メールアドレスを入力することもできます。
- 「Using」リストで、検索パラメーター「Name」または「Email」を選択します。
- 「タイプ」リストで、「グループ」または「ユーザー」を選択して検索を絞り込みます。
- 「イン」リストで、検索するドメインを選択します。 ユーザーまたはグループのドメインが不明な場合は、「All Domains」を選択します。
- 「表示」リストで、1 ページに表示する検索結果の数を指定し、「検索」をクリックします。
- マイポリシーのユーザーとグループを追加するには、追加する各ユーザーとグループのチェックボックスをオンにします。
- 「追加」をクリックし、「OK」をクリックします。
選択したユーザーおよびグループに、カスタムポリシーを作成する権限が付与されました。
ユーザーまたはグループからカスタムポリシーの作成権限を削除します remove-the-create-custom-policies-permission-from-a-user-or-group
- Document Security ページで、設定/マイポリシーをクリックします。
- マイポリシーページで、「ポリシーを作成」タブをクリックします。 カスタムポリシーを作成する権限を持つユーザーとグループが表示されます。
- この権限から削除するユーザーおよびグループの横にあるチェックボックスをオンにします。
- [ 削除 ] をクリックし、[OK] をクリックします。
検索で表示されるユーザーとグループを指定する specify-users-and-groups-that-are-visible-in-searches
ユーザーがカスタムポリシーを管理している場合、ポリシーに追加するユーザーおよびグループを検索できます。 これらの検索でユーザーおよびグループを表示するドメインを指定する必要があります。
- Document Security ページで、設定/マイポリシーをクリックします。
- マイポリシーページで、「表示されるユーザーとグループ」タブをクリックします。
- ドメイン内のユーザーとグループを表示するには、「ドメインを追加」をクリックし、ドメインを選択して、「追加」をクリックします。 ドメインを削除するには、ドメイン名の横にあるチェックボックスを選択して、「削除」をクリックします。
Document Security 設定ファイルの手動編集 manually-editing-the-document-security-configuration-file
Document Security データベースに保存されている設定情報を読み込んで書き出すことができます。 例えば、ステージング環境から実稼動環境に移行する際に、設定情報のバックアップコピーを作成したり、このファイルを編集するように設定できる詳細設定オプションを編集したりできます。
設定ファイルを使用して、次の変更を行うことができます。
特定のアプリケーションに対する Document Security サービスの拒否
設定ファイルの書き出し
- 管理コンソールで、サービス/Document Security 11/設定/手動設定をクリックします。
- 「書き出し」をクリックし、設定ファイルを別の場所に保存します。 デフォルトのファイル名は config.xml です。
- 「OK」をクリックします。
- 設定ファイルを変更する前に、元に戻す必要がある場合に備えて、バックアップコピーを作成します。
設定ファイルのインポート
- 管理コンソールで、サービス/Document Security 11/設定/手動設定をクリックします。
- 「参照」をクリックして設定ファイルに移動し、「読み込み」をクリックします。 「ファイル名」(File Name) ボックスにパスを直接入力することはできません。
- 「OK」をクリックします。
オフライン同期のタイムアウト期間を指定 specify-a-timeout-period-for-offline-synchronization
Document Security を使用すると、Document Security サーバーに接続していない場合に、保護されたドキュメントを開いて使用できます。 ユーザーのクライアントアプリケーションは、ドキュメントをオフラインで使用するために有効な状態に保つために、サーバーと定期的に同期する必要があります。 保護されたドキュメントを初めて開くと、定期的なクライアント同期を実行する権限をコンピューターに付与するかどうかを尋ねられます。
デフォルトでは、同期は 4 時間ごとに自動的に実行され、ユーザーが Document Security サーバーに接続する際に必要に応じて実行されます。 ユーザーがオフラインの間にドキュメントのオフライン期間が終了した場合、ユーザーはサーバーに再接続し、クライアントアプリケーションがサーバーと同期できるようにする必要があります。
Document Security 設定ファイルで、バックグラウンドでの自動同期のデフォルトの頻度を指定できます。 この設定は、クライアントが独自のタイムアウト値を明示的に設定していない限り、クライアントアプリケーションのデフォルトのタイムアウト期間として機能します。
-
Document Security 設定ファイルを書き出します。 ( Document Security 設定ファイルの手動編集.)
-
エディターで設定ファイルを開き、
PolicyServer
ノードを探します。そのノードの下で、ServerSettings
ノードを探します。 -
ServerSettings
ノードで以下のエントリを追加し、ファイルを保存します。<entry key="BackgroundSyncFrequency" value="
time"/>
time は、バックグラウンドでの自動同期の間隔(秒数)です。この値を
0
にすると、常に同期が実行されます。デフォルト値は14400
秒(4 時間ごと)です。 -
設定ファイルを読み込みます。 ( Document Security 設定ファイルの手動編集.)
特定のアプリケーションに対する Document Security サービスの拒否 denying-document-security-services-for-specific-applications
特定の条件を満たすアプリケーションに対するサービスを拒否するように、Document Security を設定できます。 基準では、プラットフォーム名などの単一の属性を指定したり、複数の属性セットを指定したりできます。 この機能は、Document Security が処理する必要のあるリクエストの制御に役立ちます。 この機能の用途を次に示します。
- 売上高の保護: 売上高に関する規則をサポートしていないクライアントアプリケーションへのアクセスを拒否できます。
- アプリケーションの互換性: アプリケーションによっては、使用している Document Security サーバーのポリシーまたは動作と互換性がないことがあります。
クライアントアプリケーションは、Document Security とのリンクを確立しようとすると、アプリケーション、バージョン、プラットフォームの情報を提供します。 Document Security は、この情報を、Document Security 設定ファイルから取得した拒否設定と比較します。
拒否設定には、複数の拒否条件のセットを含めることができます。 1 つのセットのすべての属性が一致する場合、要求元のアプリケーションは Document Security サービスへのアクセスを拒否されます。
サービス拒否機能を使用するには、クライアントアプリケーションで Document Security C++ Client SDK バージョン 8.2 以降を使用する必要があります。 次のAdobe製品は、Document Security サービスを要求する際に製品情報を提供します。
- Adobe Acrobat 9.0 Professional/Acrobat 9.0 Standard 以降
- Adobe Reader 9.0 以降
- Acrobat Reader DC extensions for Microsoft Office 8.2 以降
クライアントアプリケーションは、Document Security C++ Client SDK の Client API を使用して、Document Security のサービスをリクエストします。 クライアント API リクエストには、プラットフォームおよび SDK のバージョン情報(クライアント API に事前にコンパイルされた)と、クライアントアプリケーションから取得された製品情報が含まれます。
クライアントアプリケーションまたはプラグインは、コールバック関数の実装に製品情報を提供します。 アプリケーションは次の情報を提供します。
- インテグレーター名
- インテグレーターのバージョン
- アプリケーションファミリ
- アプリ名
- アプリケーションのバージョン
該当しない情報がある場合、クライアントアプリケーションは対応するフィールドを空白のままにします。
複数のAdobeアプリケーションには、Acrobat、Adobe Reader、Microsoft Office 用Acrobat Reader DC拡張機能など、Document Security サービスを要求する際の製品情報が含まれます。
AcrobatとAdobe Reader
AcrobatまたはAdobe Readerが Document Security のサービスをリクエストすると、次の製品情報が提供されます。
- インテグレーター: Adobe Systems Inc.
- インテグレーターのバージョン: 1.0
- アプリケーションのファミリー: Acrobat
- アプリケーション名: Acrobat
- アプリケーションのバージョン: 9.0.0
Microsoft Office 用Acrobat Reader DC Extensions
Acrobat Reader DC Extensions for Microsoft Office は、Microsoft Office 製品のMicrosoft Word、Microsoft Excel、Microsoft PowerPoint で使用されるプラグインです。 サービスをリクエストすると、次の情報が提供されます。
- インテグレーター: Adobe Systems Inc.
- インテグレーターのバージョン: 8.2
- アプリケーションのファミリー: Acrobat Reader DC Extensions for Microsoft Office
- アプリケーション名: Microsoft Word、Microsoft Excel または Microsoft PowerPoint
- アプリケーションのバージョン: 2003 または 2007
特定のアプリケーションのサービスを拒否する Document Security の設定
-
Document Security 設定ファイルを書き出します。 ( Document Security 設定ファイルの手動編集.)
-
エディターで設定ファイルを開き、
PolicyServer
ノードを探します。ClientVersionRules
ノードをPolicyServer
ノードのすぐ下の子として追加します(存在しない場合)。code language-as3 <node name="ClientVersionRules"> <map> <entry key="infoURL" value="URL"/> </map> <node name="Denials"> <map/> <node name="MyEntryName"> <map> <entry key="SDKPlatforms" value="platforms"/> <entry key="SDKVersions" value="versions"/> <entry key="AppFamilies" value="families"/> <entry key="AppNames" value="names"/> <entry key="AppVersions" value="versions"/> <entry key="Integrators" value="integrators"/> <entry key="IntegratorVersions" value="versions"/> </map> </node> <node name="MyOtherEntryName" <map> [...] </map> </node> [...] </node> </node>
各パラメーターの意味は次のとおりです。
SDKPlatforms
は、クライアントアプリケーションをホストするプラットフォームを指定します。次の値を指定できます。- Microsoft Windows
- Apple OS X
- Sun Solaris
- HP-UX
SDKVersions
は、クライアントアプリケーションで使用される Document Security C++ Client API のバージョンを指定します。例:"8.2"
。APPFamilies
は、Client API によって定義されます。AppName
は、クライアントアプリケーションの名前を指定します。コンマは名前の区切り文字として使用されます。 名前にコンマを含めるには、バックスラッシュ () 文字でエスケープします。 例えば、「Adobe Systems, Inc.」と入力します。AppVersions
は、クライアントアプリケーションのバージョンを指定します。Integrators
は、プラグインまたは統合アプリケーションを開発した会社またはグループの名前を指定します。IntegratorVersions
は、プラグインまたは統合アプリケーションのバージョンです。 -
拒否データの追加セットごとに、別の MyEntryName 要素。
-
設定ファイルを保存します。
-
設定ファイルを読み込みます。 ( Document Security 設定ファイルの手動編集.)
例
この例では、すべての Windows クライアントがアクセスを拒否します。
<node name="ClientVersionRules">
<map>
<entry key="infoURL" value="https://www.dont.use/windows.html"/>
</map>
<node name="Denials">
<map/>
<node name="Entry_1">
<map>
<entry key="SDKPlatforms" value="Microsoft Windows"/>
</map>
</node>
</node>
</node>
この例では、My Application バージョン 3.0 と My Other Application バージョン 2.0 はアクセスを拒否されます。 拒否の理由に関係なく、同じ拒否情報 URL が使用されます。
<node name="ClientVersionRules">
<map>
<entry key="infoURL" value=”https://get.a.new/version.html”/>
</map>
<node name="Denials">
<map/>
<node name="FirstDenialSettings">
<map>
<entry key="AppNames" value="My Application"/>
<entry key="AppVersions" value="3.0"/>
</map>
</node>
<node name="SecondDenialSettings">
<map>
<entry key="AppNames" value="My Other Application"/>
<entry key="AppVersions" value="2.0"/>
</map>
</node>
</node>
</node>
この例では、Microsoft PowerPoint 2007 またはMicrosoft PowerPoint 2010 のインストール済みのMicrosoft Office 用Acrobat Reader DC拡張機能からのすべての要求が拒否されます。
<node name="ClientVersionRules">
<map>
<entry key="infoURL" value=”https://get.a.new/version.html”/>
</map>
<node name="Denials">
<map/>
<node name="Entry_1">
<map>
<entry key="AppFamilies" value=
"document security Extension for Microsoft Office"/>
<entry key="AppNames" value= "Microsoft PowerPoint"/>
<entry key="AppVersions" value="2007,2010"/>
</map>
</node>
</node>
</node
透かし設定のパラメーターの変更 change-the-watermark-configuration-parameters
デフォルトでは、1 つの透かしに最大 5 つの要素を指定できます。 また、透かしとして使用するPDFドキュメントの最大ファイルサイズは 100 KB に制限されています。 これらのパラメーターは config.xml ファイルで変更できます。
メモ:これらのパラメーターの変更は慎重に行う必要があります。
-
Document Security 設定ファイルを書き出します。 ( Document Security 設定ファイルの手動編集.)
-
エディターで設定ファイルを開き、
ServerSettings
ノードを探します。 -
ServerSettings
ノードで次のエントリを追加し、ファイルを保存します。<entry key="maximumSizeOfWatermarkElement" value="max filesize in KB"/> <entry key="maximumWatermarkElementsPerWatermark" value="max elements"/>
最初のエントリ、「最大ファイルサイズ」は、透かし要素に使用できる最大ファイルサイズ(KB 単位)です。 初期設定は 100 KB です。
二つ目のエントリは 最大要素数 は、1 つの透かしで許可される要素の最大数です。 デフォルトは 5 です。
code language-as3 <entry key="maximumSizeOfWatermarkElement" value="max filesize in KB"/> <entry key="maximumWatermarkElementsPerWatermark" value="max elements"/>
-
設定ファイルを読み込みます。 ( Document Security 設定ファイルの手動編集.)
外部リンクの無効化 disabling-external-links
多くの Document Security ユーザーは、 www.adobe.com Right Management ユーザー・インタフェースを使用している間は、次の手順に従います。
- https://[ホスト]:[ポート]/adminui
- https://[ホスト]:[ポート]/edc.
config.xml に次の変更を加えると、Right Management ユーザーインターフェイスからすべての外部リンクが無効になります。
-
Document Security 設定ファイルを書き出します。 ( Document Security 設定ファイルの手動編集.)
-
エディターで設定ファイルを開き、
DisplaySettings
ノードを探します。 -
すべての外部リンクを無効にするには、
DisplaySettings
ノードで以下のエントリを追加し、ファイルを保存します。<entry key="ExternalLinksAllowed" value="false"/>
code language-as3 <entry key="ExternalLinksAllowed" value="false"/>
-
設定ファイルを読み込みます。 ( Document Security 設定ファイルの手動編集.)
Transport Layer Security(TLS) 用に SMTP を有効にするための設定 configuration-to-enable-smtp-for-transport-layer-security-tls
config.xml に次の変更を加えると、TLS で招待ユーザーの登録機能がサポートされるようになります。
-
Document Security 設定ファイルを書き出します。 ( Document Security 設定ファイルの手動編集.)
-
エディターで設定ファイルを開き、
DisplaySettings
ノードを探します。 -
次のノードを探します(
<node name="ExternalUser">
)。code language-as3 <node name="ExternalUser">
-
SmtpUseTls
ノードのExternalUser
キーの値を true に設定します。 -
SmtpUseSsl
ノードのExternalUser
キーの値を false に設定します。 -
config.xml
を保存します。 -
設定ファイルを読み込みます。 ( Document Security 設定ファイルの手動編集.)
Document Security ドキュメントの SOAP エンドポイントの無効化 disable-soap-endpoints-for-document-security-documents
次の config.xml の変更は、Document Security ドキュメントの SOAP エンドポイントを無効にするためのものです。
-
Document Security 設定ファイルを書き出します。 ( Document Security 設定ファイルの手動編集.)
-
エディターで設定ファイルを開き、次のノードを探します。
<node name="DRM">
code language-as3 <node name="DRM">
-
DRM ノードで
entry
ノードを探します:<entry key="AllowUnencryptedVoucher" value="true"/>
-
Document Security ドキュメントの SOAP エンドポイントを無効にするには、値の属性を false に設定します。
code language-as3 <node name="DRM"> <map> <entry key="AllowUnencryptedVoucher" value="false"/> </map> </node>
-
config.xml
を保存します。 -
設定ファイルを読み込みます。 ( Document Security 設定ファイルの手動編集.)
Document Security サーバーのスケーラビリティの向上 increasingscalability
デフォルトでは、オフラインで使用するドキュメントを現在のドキュメントの情報と同期する際に、Document Security クライアントは、ユーザーがアクセスできる他のすべてのドキュメントのポリシー、透かし、ライセンス、失効の更新情報を取得します。 これらの更新と情報がクライアントと同期されない場合、オフラインモードで開かれたドキュメントは、古いポリシー、透かし、失効情報で開かれる場合があります。
クライアントに送信する情報を制限することで、Document Security サーバーのスケーラビリティを高めることができます。 クライアントに送信される情報の量が減ると、拡張性が向上し、応答時間が短縮され、サーバのパフォーマンスが向上します。 スケーラビリティを高めるには、次の手順を実行します。
-
Document Security 設定ファイルを書き出します。 ( Document Security 設定ファイルの手動編集.)
-
エディターで設定ファイルを開き、ServerSettings ノードを探します。
-
ServerSettings ノードで、
DisableGlobalOfflineSynchronizationData
プロパティの値をtrue
に設定します。<entry key="DisableGlobalOfflineSynchronizationData" value="true"/>
true に設定すると、Document Security サーバーは現在のドキュメントの情報のみをクライアントに送信し、その他のドキュメント(ユーザーがアクセスできるその他のドキュメント)の情報は送信されません。
note note NOTE デフォルトでは、 DisableGlobalOfflineSynchronizationData
キーの値はfalse
に設定されます。 -
設定ファイルを保存して読み込みます。 ( Document Security 設定ファイルの手動編集.)