Document Security サーバーの設定

  1. 管理コンソールで、サービス/Document Security/設定/サーバー設定をクリックします。
  2. 設定を指定し、「OK」をクリックします。

サーバー設定

ベース URL: Document Security URL です。サーバー名とポートが含まれます。ベースに情報が追加されて、接続 URL が作成されます。例えば、/edc/Main.do が追加されて web ページへのアクセスが行われます。ユーザーは、この URL を使用して、外部ユーザー登録の招待に応答することもできます。

IPv6 を使用している場合は、コンピューター名または DNS 名としてベース URL を入力します。数値の IP アドレスを使用すると、ポリシーで保護されたファイルを Acrobat で開くことができません。また、サーバーの HTTP セキュア(HTTPS)URL を使用してください。

メモ

ベース URL は、ポリシーで保護されたファイルに埋め込まれており、クライアントアプリケーションがサーバーに接続する際に使用されます。保護されたファイルには、後から変更が加えられた場合でも、引き続きベース URL が格納されます。ベース URL を変更する場合は、接続しているすべてのクライアントに対して設定情報を更新する必要があります。

デフォルトのオフラインリース期間:​保護されたドキュメントをユーザーがオフラインで使用できるデフォルトの期間です。この設定により、ポリシーを作成するときに自動オフラインリース期間設定の初期値が決まります。(ポリシーの作成および編集を参照)。リース期間が終了した後、ドキュメントを引き続き使用するには、受信者がそのドキュメントを再び同期する必要があります。

オフラインリースおよび同期の動作方法については、Primer on configuring offline lease and synchronization を参照してください。

デフォルトのオフライン同期期間:​ドキュメントが最初に保護されてから、そのドキュメントをオフラインで使用できる最大時間です。

Client Session Timeout:​クライアントアプリケーションを使用してログインしたユーザーが Document Security に応答しない場合に、Document Security が切断されるまでの時間(分単位)です。

匿名ユーザーのアクセスを許可:​匿名ユーザーがポリシーで保護されたドキュメントを開くことを許可する、共有ポリシーおよび個人用ポリシーを作成できるようにするときに選択します。(アカウントを持たないユーザーでもドキュメントにアクセスできますが、Document Security にログインしたり、他のポリシーで保護されたドキュメントを使用したりすることはできません)。

バージョン 7 クライアントへのアクセスを無効にする: ユーザーが Acrobat または Reader 7.0 を使用してサーバーに接続できるかどうかを指定します。このオプションが選択されている場合、ユーザーは Acrobat または Reader 8.0 以降を使用して、PDF ドキュメントで Document Security の処理を実行する必要があります。ポリシーで保護されたドキュメントを開く際に、Acrobat または Reader 8.0 以降を認証モードで実行することがポリシーによって指定されている場合は、Acrobat または Reader 7 へのアクセスを無効にする必要があります(ユーザーおよびグループのドキュメント権限の指定を参照)。

ドキュメントごとのオフラインアクセスを許可 ドキュメントごとにオフラインアクセスを指定するには、このオプションを選択します。この設定が有効な場合、ユーザーは少なくとも 1 回オンラインで開いたドキュメントのみに対し、オフラインアクセス権があります。

ユーザー名パスワード認証を許可: クライアントアプリケーションが、サーバーへの接続時にユーザー名とパスワード認証を使用できるようにするときにこのオプションを選択します。

Kerberos 認証を許可:​クライアントアプリケーションが、サーバーへの接続時に Kerberos 認証を使用できるようにするときにこのオプションを選択します。

クライアント証明書認証を許可: クライアントアプリケーションが、サーバーへの接続時に証明書認証を使用できるようにするときにこのオプションを選択します。

拡張認証を許可 拡張認証を有効にするときに選択し、さらに「拡張認証のランディング URL」を入力します。

このオプションを選択すると、クライアントアプリケーションで拡張認証を使用できます。拡張認証では、認証プロセスをカスタマイズし、AEM Forms サーバーで設定されている様々な認証オプションを使用できます。例えば、Acrobat や Reader のクライアントの AEM Forms ユーザー名とパスワードを使用する代わりに、SAML ベースの認証を行うことができます。デフォルトでは、ランディング URL にはサーバー名として localhost が含まれます。このサーバー名を完全修飾ホスト名に置き換えます。拡張認証がまだ有効でない場合、ランディング URL のホスト名はベース URL から自動的に設定されます。拡張認証プロバイダーの追加を参照してください。

注意​:拡張認証は Adobe Acrobat リリース 11.0.6 以上を使用している Apple Mac OS X でサポートされています。

拡張認証用の推奨された HTML 制御幅 ユーザー資格情報を入力するために Acrobat で開く拡張認証ダイアログの幅を指定します。

拡張認証用の推奨された HTML 制御高さ ユーザーの資格情報を入力するために Acrobat で開く拡張認証ダイアログの高さを指定します。

注意​:このダイアログボックスの幅および高さの制限値は次のとおりです。
幅:最小 = 400, 最大 = 900

高さ:最小 = 450、最大 = 800

クライアントの資格情報のキャッシュを有効にする:​ユーザーが自分の資格情報(ユーザー名およびパスワード)をキャッシュできるようにするときに選択します。ユーザーの資格情報がキャッシュされていると、ドキュメントを開くたびに、または Adobe Acrobat のセキュリティポリシーを管理ページで「更新」ボタンをクリックするときに、資格情報を入力する必要がありません。ユーザーに資格情報の再入力を求める日までの日数を指定できます。日数を 0 に設定すると、資格情報は無期限にキャッシュされます。

Document Security ユーザーおよび管理者の設定

管理者への Document Security ロールのアサイン

AEM Forms 環境には、ユーザーおよびグループを作成するための適切な権限を持つ 1 人以上の管理者ユーザーが存在します。組織で Document Security を使用している場合は、少なくとも 1 人の管理者に、招待ユーザーおよびローカルユーザーを管理する権限もアサインする必要があります。

管理者には、管理コンソールにアクセスするための管理コンソールユーザーロールも必要です(ロールの作成および設定を参照)。

表示されるユーザーおよびグループの設定

選択したドメインのユーザーおよびグループをポリシーのユーザー検索で表示するには、上級管理者またはポリシーセット管理者が、各ポリシーセットについて表示されるユーザーおよびグループのリストに対して、ドメイン(UserManagement で作成)を選択して追加する必要があります。

表示されるユーザーおよびグループのリストは、ポリシーセットコーディネーターに対して表示されるもので、ポリシーに追加するユーザーまたはグループを選択するときにエンドユーザーが参照できるドメインを制限するために使用します。このタスクを実行しない場合は、ポリシーセットコーディネーターに対して、ポリシーに追加するユーザーまたはグループが表示されません。ポリシーセットコーディネーターは、特定のポリシーセットに複数存在する可能性があります。

  1. AEM forms 環境と Document Security をインストールおよび設定した後、該当するすべてのドメインを User Management で設定します。

    注意​:ポリシーを作成するには、ドメインの作成を済ませておく必要があります。

  2. 管理コンソールで、サービス/Document Management/ポリシーをクリックし、「ポリシーセット」タブをクリックします。

  3. 「グローバルポリシーセット」を選択し、「表示されるユーザーとグループ」タブをクリックします。

  4. 「ドメインを追加」をクリックし、必要に応じて既存のドメインを追加します。

  5. サービス/Document Security/設定/マイポリシーに移動し、「表示されるユーザーとグループ」タブをクリックします。

  6. 「ドメインを追加」をクリックし、必要に応じて既存のドメインを追加します。

拡張認証プロバイダーの追加

AEM Forms は、環境に合わせてカスタマイズ可能なサンプル設定を提供しています。以下の手順を実行します。

メモ

拡張認証は Adobe Acrobat リリース 11.0.6 以上を使用している Apple Mac OS X でサポートされています。

  1. サンプル WAR ファイルを取得してデプロイします。ご使用のアプリケーションサーバー版のインストールガイドを参照してください。
  2. forms サーバーのベース URL が IP アドレスではなく完全修飾名で、HTTPS URL であることを確認します。サーバー設定を参照してください。
  3. サーバー設定ページで拡張認証を有効にします。サーバー設定を参照してください。
  4. User Management 設定ファイルに、必要な SSO リダイレクト URL を追加します。拡張認証のための SSO リダイレクト URL の追加を参照してください。

拡張認証のための SSO リダイレクト URL の追加

拡張認証を有効化した状態で、ユーザーが Acrobat XI または Reader XI のポリシーで保護されたドキュメントを開くと、認証用のダイアログが表示されます。このダイアログでは、Document Security サーバーの設定で拡張認証のランディング URL として指定した HTML ページが読み込まれます。サーバー設定を参照してください。

メモ

拡張認証は Adobe Acrobat リリース 11.0.6 以上を使用している Apple Mac OS X でサポートされています。

  1. 管理コンソールで、設定/User Management/設定/既存の設定ファイルの読み込みと書き出しをクリックします。

  2. 「書き出し」をクリックして、設定ファイルをディスクに保存します。

  3. エディターでファイルを開き、AllowedUrls ノードを見つけます。

  4. AllowedUrls ノードで、次の行を追加します。<entry key="sso-l" value="/ssoexample/login.jsp"/> <entry key="sso-s" value="/ssoexample"/> <entry key="sso-o" value="/ssoexample/logout.jsp"/>

    <entry key="sso-l" value="/ssoexample/login.jsp"/>
    <entry key="sso-s" value="/ssoexample"/>
    <entry key="sso-o" value="/ssoexample/logout.jsp"/>
    
  5. ファイルを保存した後に、手動設定ページから更新されたファイルを読み込みます。管理コンソールで、設定/User Management/設定/既存の設定ファイルの読み込みと書き出しをクリックします。

オフラインセキュリティの設定

Document Security には、ポリシーで保護されたドキュメントを、インターネットやネットワークに接続していなくてもオフラインで使用できる機能があります。この機能を使用するには、オフラインアクセスを許可するポリシーが必要です(ユーザーおよびグループのドキュメント権限の指定を参照)。そのようなポリシーを持つドキュメントをオフラインで使用するには、受信者は事前にオンラインでドキュメントを開き、確認メッセージが表示されたら「はい」をクリックして、オフラインアクセスを有効にする必要があります。また、受信者の ID の認証が必要となる場合もあります。受信者はその後、ポリシーで指定されたオフラインリース期間の間、ドキュメントをオフラインで使用できます。

オフラインリース期間が終了したら、受信者は再び Document Security と同期する必要があります。同期は、ドキュメントをオンラインで開くか、Acrobat または Acrobat Reader DC Extensions のメニューコマンドを使用して行います(Acrobat のヘルプ​または適切な Acrobat Reader DC Extensions のヘルプ​を参照)。

オフラインアクセスが許可されるドキュメントでは、ファイルがオフラインで保存されるコンピューター上にキーマテリアルがキャッシュされることが必要です。このため、許可されていないユーザーがそのキーマテリアルを取得できる場合は、ファイルの安全が損なわれる危険性があります。この危険性に対処するために、キーのロールオーバーに関するオプションとしてスケジュールされたものと手動によるものがあり、許可されていない人物がキーを使用してドキュメントにアクセスするのを阻止できるようになっています。

デフォルトのオフラインリース期間の設定

ポリシーで保護されたドキュメントの受信者は、ポリシーで指定された日数の間、ドキュメントをオフラインにすることができます。ドキュメントを最初に Document Security と同期した後、受信者はオフラインリース期間が終わるまでそのドキュメントをオフラインで使用できます。オフラインリース期間が終了した後もそのドキュメントを使用し続けるには、そのドキュメントをオンラインにしてログインし、Document Security と同期する必要があります。

デフォルトのオフラインリース期間を設定できます。デフォルトのリース期間は、ポリシーを作成または編集するときに変更できます。

  1. Document Security ページで、設定/サーバー設定をクリックします。
  2. 「デフォルトのオフラインリース期間」ボックスにオフラインリース期間の日数を入力します。
  3. 「OK」をクリックします。

キーのロールオーバーの管理

Document Security では、ドキュメントの保護に暗号化アルゴリズムとライセンスを使用しています。Document Security はドキュメントを暗号化するときに、クライアントアプリケーションに渡す DocKey という復号キーを生成して管理します。ドキュメントを保護するポリシーでオフラインアクセスが許可されている場合は、そのドキュメントにオフラインでアクセスできるユーザーごとに、「プリンシパルキー」というオフラインキーも生成されます。

メモ

プリンシパルキーがない場合は、ドキュメントを保護するために Document Security で生成されます。

ポリシーで保護されたドキュメントをオフラインで開くには、対応するプリンシパルキーがユーザーのコンピューター上に存在している必要があります。コンピューターがプリンシパルキーを取得するのは、ユーザーが Document Security と同期したとき、つまり保護されたドキュメントをオンラインで開いたときです。このプリンシパルキーが侵害されると、ユーザーがオフラインでアクセスできるドキュメントも侵害される可能性があります。

オフラインドキュメントへの脅威を減らす方法はいくつか考えられます。その 1 つは、機密性を重視するドキュメントへのオフラインアクセスを許可しないというものです。プリンシパルキーを定期的にロールオーバーするという方法もあります。Document Security によってキーのロールオーバーが行われると、既存のキーではポリシーで保護されたドキュメントにアクセスできなくなります。例えば、犯罪者が盗んだコンピューターからプリンシパルキーを取得したとしても、ロールオーバーが行われると、そのキーを使用しても保護されたドキュメントにアクセスすることはできません。特定のプリンシパルキーが侵害されたと思われる場合は、そのキーを手動でロールオーバーすることができます。

ただし、キーのロールオーバーは 1 つのプリンシパルキーだけでなく、すべてのプリンシパルキーに影響を及ぼすことに注意してください。また、システムのスケーラビリティも低下します。なぜなら、クライアントがオフラインアクセスのために格納する必要のあるキーが増えるからです。キーのロールオーバーのデフォルトの頻度は 20 日です。この値を 14 日未満に設定することは好ましくありません。なぜなら、ユーザーがオフラインドキュメントを表示できなくなる可能性があり、システムパフォーマンスに悪影響を及ぼす可能性もあるからです。

次の例では、2 つのプリンシパルキーのうち、Key1 のほうが古く、Key2 のほうが新しいキーです。「今すぐキーをロールオーバー」ボタンを最初にクリックすると、Key1 が無効になり、新しい有効なプリンシパルキー(Key3)が生成されます。保護されているドキュメントをオンラインで開くなど、Document Security と同期するとき、ユーザーは Key3 を取得します。ただし、ポリシーで指定されているオフラインリース期間の上限に達するまでは、Document Security との同期は強制されません。キーのロールオーバーを初めて行った後も、オフラインのままのユーザーは、オフラインリース期間の上限に達するまでは、Key3 で保護されているものも含めて、オフラインドキュメントを引き続き開くことができます。「今すぐキーをロールオーバー」ボタンを 2 回目にクリックすると、Key2 が無効になり、Key4 が作成されます。2 回のキーのロールオーバー中にオフラインのままだったユーザーは、Document Security と同期するまでは、Key3 または Key4 で保護されているドキュメントを開くことができません。

キーのロールオーバーの頻度の変更

Document Security では、オフラインドキュメントを使用する場合に、機密性を確保する目的で自動的にキーのロールオーバーが行われるようにするオプションがあります。キーのロールオーバーのデフォルトの頻度は 20 日です。この頻度は変更することができます。ただし、この値を 14 日未満に設定することは好ましくありません。なぜなら、ユーザーたちがオフラインドキュメントを表示できなくなる可能性があり、システムパフォーマンスに悪影響を及ぼす可能性もあるからです。

  1. Document Security ページで、設定/キー管理をクリックします。
  2. 「キーのロールオーバーの頻度」ボックスに、ロールオーバー頻度を示す日数を入力します。
  3. 「OK」をクリックします。

手動によるプリンシパルキーのロールオーバー

オフラインドキュメントの機密性を維持するために、プリンシパルキーを手動でロールオーバーすることができます。手動でキーをロールオーバーすることが必要になる場合があります(例えば、ドキュメントにオフラインアクセスできるようにキャッシュされているコンピューターからキーが盗まれ、キーが侵害された場合)。

メモ

手動によるロールオーバーを頻繁に行うのは好ましくありません。なぜなら、すべてのプリンシパルキーがロールオーバーされるので、一時的にユーザーたちが新しいドキュメントをオフラインで表示できなくなる可能性があるからです。

プリンシパルキーは、クライアントコンピューターに以前からあったキーを無効にするまでに 2 度ロールオーバーする必要があります。プリンシパルキーを無効にしたクライアントコンピューターは、新しいプリンシパルキーを取得するには、Document Security サービスと再同期される必要があります。

  1. Document Security ページで、設定/キー管理をクリックします。
  2. 「今すぐキーをロールオーバー」をクリックして、「OK」をクリックします。
  3. 10 分程度待ちます。サーバーログに、「Done RightsManagement key rollover forN principals」というログメッセージが表示されます。(ここで、N は Document Security システム内のユーザー数を示します)。
  4. 「今すぐキーをロールオーバー」をクリックして、「OK」をクリックします。
  5. 10 分程度待ちます。

イベント監査とプライバシーの設定

Document Security では、ポリシーで保護されたドキュメント、ポリシー、管理者およびサーバーとのやりとりに関係するイベントについての情報を監査し、記録することができます。イベント監査を設定することができ、監査するイベントのタイプを指定することができます。特定のドキュメントに関するイベントを監査するには、ポリシーの監査オプションも有効にする必要があります。

監査を有効にすると、監査されたイベントの詳細をイベントページに表示することができます。Document Security のユーザーは、ポリシーで保護されたドキュメントで自分が作成または使用したものだけに関係するイベントを表示することもできます。

監査対象として次のタイプのイベントを選択できます。

  • ポリシーで保護されたドキュメントのイベント。許可されたユーザーまたは許可されていないユーザーがドキュメントを開こうとした場合など。
  • ポリシーイベント。ポリシーの作成、変更、削除、有効化、無効化など。
  • ユーザーイベント。外部ユーザーの招待と登録、アクティベートされたユーザーアカウントとアクティベート解除されたユーザーアカウント、ユーザーパスワードの変更、プロファイルの更新など。
  • AEM Forms のイベント。バージョンの不一致、使用できないディレクトリサーバーと認証プロバイダー、サーバー設定の変更など。

イベント監査の有効化または無効化

サーバー、ポリシーで保護されたドキュメント、ポリシー、ポリシーセット、ユーザーに関係するイベントの監査を有効/無効にすることができます。イベント監査を有効にする場合、可能なイベントをすべて監査することも、特定のイベントを監査することもできます。

サーバー監査を有効にすると、監査されたイベントをイベントページで確認することができます。

  1. 管理コンソールで、サービス/Document Security/設定/監査とプライバシーの設定をクリックします。

  2. サーバー監査を設定するには、「サーバー監査を有効にする」で「はい」または「いいえ」を選択します。

  3. 「はい」を選択した場合は、各イベントカテゴリで、次のアクションのいずれかを実行して監査のオプションを選択します。

    • カテゴリ内のすべてのイベントを監査するには、「すべて」を選択します。

    • 一部のイベントのみを監査するには、「すべて」の選択を解除して、監査するイベントの横のチェックボックスを選択します。

      イベント監査オプションを参照。)

  4. 「OK」をクリックします。

メモ

Web ページで作業している場合は、「戻る」ボタン、「更新」ボタン、「戻る」矢印、「進む」矢印などのブラウザーボタンを使用しないでください。これらのボタンを使用すると、望ましくないデータ取得やデータ表示の問題が起きる可能性があります。

プライバシー通知の有効化または無効化

プライバシー通知メッセージを有効/無効にすることができます。プライバシー通知を有効にすると、ポリシーで保護されたドキュメントを受信者が開こうとしたときにメッセージが表示されます。この通知により、そのドキュメントの使用が監査対象になることをユーザーに知らせます。ユーザーがプライバシーポリシーページを表示する際に使用する URL を指定することもできます(存在する場合)。

  1. 管理コンソールで、サービス/Document Security/設定/監査とプライバシーの設定をクリックします。

  2. プライバシー通知を設定するには、「プライバシー通知を有効にする」で「はい」または「いいえ」を選択します。

    ドキュメントに適用されたポリシーで匿名ユーザーのアクセスが許可されており、「プライバシー通知を有効にする」が「いいえ」に設定されている場合、ユーザーはログインを求められず、プライバシー通知メッセージも表示されません。

    ドキュメントに適用されたポリシーで匿名ユーザーのアクセスが許可されていない場合は、ユーザーにプライバシー通知メッセージが表示されます。

  3. 該当する場合は、「プライバシー URL」ボックスにプライバシーポリシーページの URL を入力します。「プライバシー URL」ボックスを空のままにすると、adobe.com のプライバシーページが表示されます。

  4. 「OK」をクリックします。

メモ

プライバシー通知を無効にしても、ドキュメント使用監査は無効にはなりません。拡張された使用方法の追跡を介してサポートされている、すぐに使用可能な監査アクションおよびカスタムアクションでは、ユーザーの動作情報が引き続き収集されます。

カスタム監査イベントタイプの読み込み

特定のファイルタイプに固有なイベントなど、追加イベントの監査をサポートする Document Security 対応のアプリケーションを使用している場合は、アドビパートナーによって、Document Security に読み込むことができるカスタム監査イベントが提供されます。この機能は、アドビパートナーからカスタムイベントタイプを提供されている場合のみ使用します。

  1. 管理コンソールで、サービス/Document Security/設定/イベントの管理をクリックします。
  2. 「参照」をクリックし、読み込む XML ファイルを指定して、「読み込み」をクリックします。
  3. 同じイベントコードと名前空間の組み合わせが見つかれば、読み込みによってサーバー上の既存のカスタム監査イベントタイプが上書きされます。
  4. 「OK」をクリックします。

カスタム監査イベントタイプの削除

  1. 管理コンソールで、サービス/Document Security/設定/イベントの管理をクリックします。
  2. 削除するカスタム監査イベントタイプの横のチェックボックスを選択し、「削除」をクリックします。
  3. 「OK」をクリックします。

監査イベントの書き出し

監査イベントはアーカイブ用にファイルに書き出すことができます。

  1. 管理コンソールで、サービス/Document Security/設定/イベントの管理をクリックします。

  2. 必要に応じて「監査イベントを書き出し」の設定を編集します。以下を指定できます。

    • 書き出し対象となる監査イベントを作成した日からの最小経過期間。
    • 1 つのファイルに含める監査イベントの最大数。この値に基づいて、サーバーは 1 つ以上のファイルを生成します。
    • ファイルの作成先フォルダー。このフォルダーは、forms サーバー上にあります。フォルダーパスが相対パスである場合は、アプリケーションサーバーのルートディレクトリが基準になります。
    • 監査イベントファイルに使用するファイルのプレフィックス。
    • ファイル形式。Microsoft Excel と互換性がある CSV (コンマ区切り形式)ファイルまたは XML ファイルのいずれかです。
  3. 「書き出し」をクリックします。書き出しをキャンセルするには、「書き出しをキャンセル」をクリックします。別のユーザーが書き出しをスケジュールしている場合は、その書き出しが完了するまで「書き出しをキャンセル」ボタンを使用できません。「書き出しをキャンセル」ボタンは、別のユーザーが書き出しをスケジュールしていると使用できません。スケジュールされた「書き出し」または「削除」が開始または終了したかどうかを確認するには、「更新」をクリックします。

監査イベントの削除

作成日からの経過日数が指定した日数を超えている監査イベントを削除できます。

  1. 管理コンソールで、サービス/Document Security/設定/イベントの管理をクリックします。
  2. 「監査イベントを削除」の「次より古い監査イベントを削除」ボックスに日数を指定します。
  3. 「削除」をクリックします。「書き出し」をクリックします。削除をキャンセルするには、「削除をキャンセル」をクリックします。別のユーザーが削除をスケジュールしている場合は、その削除が完了するまで「削除をキャンセル」ボタンを使用できません。「削除をキャンセル」ボタンは、別のユーザーが削除をスケジュールしていると使用できません。スケジュールされた「削除」が開始または終了したかどうかを確認するには、「更新」をクリックします。

イベント監査オプション

イベント監査は有効および無効にすることができます。また、監査対象にするイベントのタイプを指定することができます。

ドキュメントのイベント

ドキュメントの表示: 受信者がポリシーで保護されたドキュメントを表示しました。

ドキュメントを閉じる: 受信者がポリシーで保護されたドキュメントを閉じました。

低解像度の印刷​受信者がポリシーで保護されたドキュメントを低解像度で印刷しました。

高解像度の印刷:​受信者がポリシーで保護されたドキュメントを高解像度で印刷しました。

ドキュメントに注釈を追加: 受信者が注釈を PDF ドキュメントに追加します。

ドキュメントの失効:​ユーザーまたは管理者がポリシーで保護されたドキュメントへのアクセス権限を失効させました。

ドキュメントの失効取り消し:​ユーザーまたは管理者がポリシーで保護されたドキュメントへのアクセス権限を復元しました。

フォームへの入力: 受信者が入力可能なフォームである PDF ドキュメントに情報を入力しました。

削除されたポリシー:​発行者がドキュメントからポリシーを削除し、セキュリティ保護を取り消しました。

ドキュメント失効 URL の変更: API レベルからの呼び出しにより失効 URL が変更されました。これは、失効したドキュメントの代わりとなる新しいドキュメントにアクセスするために指定された URL です。

ドキュメントの変更: 受信者がポリシーで保護されたドキュメントの内容を変更しました。

ドキュメントに署名: 受信者がドキュメントに署名します。

新しいドキュメントの保護: ユーザーがドキュメントを保護するためにポリシーを適用します。

ドキュメントのポリシーの切り替え:​ユーザーまたは管理者がドキュメントに関連付けられたポリシーを切り替えました。

ドキュメントの発行:​ドキュメント名とライセンスが既存のドキュメントと一致する新しいドキュメントがサーバーに登録され、それらのドキュメントには親子関係が設定されません。このイベントは、AEM Forms SDK を使用してトリガーされます。

ドキュメントの反復:​ドキュメント名とライセンスが既存のドキュメントと一致する新しいドキュメントがサーバーに登録され、それらのドキュメントに親子関係が設定されます。このイベントは、AEM Forms SDK を使用してトリガーされます。

ポリシーイベント

ポリシーの作成:​ユーザーまたは管理者がポリシーを作成しました。

有効なポリシー: 管理者がポリシーを有効にしました。

ポリシーの変更:​ユーザーまたは管理者がポリシーを変更しました。

ポリシーの無効化: 管理者がポリシーを使用不可にしました。

ポリシーの削除:​ユーザーまたは管理者がポリシーを削除しました。

ポリシー所有者の変更: API レベルからの呼び出しによってポリシー所有者が変更されました。

ユーザーイベント

ユーザーの削除: 管理者がユーザーアカウントを削除しました。

招待ユーザーを登録: 外部ユーザーが Document Security に登録します。

ログイン成功:​管理者またはユーザーによるログインが成功しました。

ユーザーの招待: Document Security がユーザーに登録を勧めました。

ユーザーのアクティベート: 外部ユーザーがアクティベーション電子メール内の URL を使用して、自分のアカウントをアクティベートしたか、管理者がアカウントを有効にしました。

パスワードの変更: 招待ユーザーが自分のパスワードを変更するか、管理者がローカルユーザーのパスワードをリセットしました。

ログイン失敗:​管理者またはユーザーによるログインが失敗しました。

ユーザーのアクティベートを解除:​管理者がローカルユーザーアカウントを無効にしました。

プロファイルの更新:​招待ユーザーが自分のユーザー名と組織名とパスワードを変更しました。

アカウントのロック: 管理者がアカウントをロックしました。

ポリシーセットイベント

ポリシーセットの作成: 管理者またはポリシーセットコーディネーターがポリシーセットを作成しました。

ポリシーセットの削除:​管理者またはポリシーセットコーディネーターがポリシーセットを削除しました。

ポリシーセットの変更:​管理者またはポリシーセットコーディネーターがポリシーセットを変更しました。

システムイベント

ディレクトリ同期の完了: この情報は、イベントページからは利用できません。現在の同期状態、最後の同期時刻など、現在のディレクトリ同期情報は、ドメインの管理ページに表示されます。管理コンソールで、ドメインの管理ページにアクセスするには、設定/User Management/ドメインの管理をクリックします。

クライアントによるオフラインアクセスの有効化:​ユーザーが、ユーザーのコンピューター上で、サーバーに対して保護されているドキュメントへのオフラインアクセスを有効にしました。

クライアントの同期:​クライアントアプリケーションでオフラインアクセスを許可するには、サーバーと情報を同期する必要があります。

バージョンの不一致: サーバーと互換性のないバージョンの AEM forms SDK によってサーバーへの接続が試行されました。

ディレクトリ同期情報: この情報は、イベントページからは利用できません。現在の同期状態、最後の同期時刻など、現在のディレクトリ同期情報は、ドメインの管理ページに表示されます。管理コンソールで、ドメインの管理ページにアクセスするには、設定/User Management/ドメインの管理をクリックします。

サーバー設定の変更:​サーバー設定に対する変更が、web ページから、または config.xml ファイルを読み込むことにより手動で行われました。これには次の設定に対する変更が含まれます。ベース URL、セッションタイムアウト、ログインロックアウト、ディレクトリ設定、キーのロールオーバー、外部登録に関する SMTP サーバー設定、透かし設定、表示オプションなど。

拡張された使用方法の追跡の設定

Document Security では、保護されたドキュメントで実行される様々なカスタムイベントを追跡できます。イベントの追跡は、Document Security サーバーから、グローバルレベルまたはポリシーレベルで有効にできます。有効にしたら JavaScript を設定し、保護された PDF ドキュメントで実行されるボタンのクリック、ドキュメントの保存など特定のアクションを検出できます。この使用状況のデータはキーと値のペアによる XML ファイルとして送信され、このファイルを使用して詳細な分析を行うことができます。保護されたドキュメントにアクセスするエンドユーザーは、クライアントアプリケーションでこの追跡を許可または拒否できます。

追跡がグローバルレベルで有効になっている場合は、ポリシーレベルでこの設定を無視し、特定のポリシーで追跡を無効にすることができます。追跡がグローバルレベルで無効になっている場合は、ポリシーレベルでこの設定を無視することはできません。追跡されたイベントのリストは、イベント数が 25 に達したとき、またはドキュメントが閉じられたときに自動的にサーバーに送信されます。また、独自のスクリプトを設定して、要件に合わせてイベントリストを明示的に送信することもできます。Document Security オブジェクトのプロパティおよびメソッドにアクセスして、イベントの追跡をカスタマイズできます。

追跡を有効にした後は、その後作成されるすべてのポリシーで、デフォルトで追跡が有効になります。サーバーで追跡を有効にする前に作成されたポリシーは手動で更新する必要があります。

拡張された使用方法の追跡の有効化と無効化

設定を開始する前に、サーバー監査が有効であることを確認します。監査について詳しくは、イベント監査とプライバシーの設定を参照してください。

  1. 管理コンソールで、サービス/Document Security/設定/監査とプライバシーの設定をクリックします。
  2. 拡張された使用方法の追跡を設定するには、「追跡を有効にする」で「はい」または「いいえ」を選択します。
  3. ログインページの「詳細な使用状況データの収集を許可」チェックボックスの選択を設定するには、「デフォルトで追跡を有効にする」で「はい」または「いいえ」を選択します。

追跡されたイベントの表示には、イベントページの「ドキュメントのイベント」フィルターを使用できます。JavaScript を使用して追跡されたイベントには、「詳細な使用方法の追跡」というラベルが付与されます。イベントについて詳しくは、イベントの監視を参照してください。

Document Security 表示の設定

  1. 管理コンソールで、サービス/Document Security/設定/表示オプションをクリックします。
  2. 設定を指定し、「OK」をクリックします。

表示設定

検索結果に表示する行:検索の実行時にページに表示される行数です。

クライアントログインダイアログのカスタマイズ

以下の設定により、ユーザーがクライアントアプリケーションを介して Document Security にログインするときに表示されるログインプロンプトのテキストを指定できます。

ようこそテキスト:「ユーザー名とパスワードを使用してログインしてください」などの、ウェルカムメッセージのテキストです。ウェルカムメッセージのテキストには、Document Security へのログイン方法と、管理者または組織内のサポート担当者への連絡方法が記載されている必要があります。例えば、外部ユーザーがパスワードを忘れた場合や、登録方法やログイン方法に関して質問がある場合は、管理者に問い合わせる必要があります。このウェルカムテキストでは最大 512 文字を使用できます。

ユーザー名テキスト:​ユーザー名ボックスのテキストラベルです。

パスワードテキスト:​パスワードボックスのテキストラベルです。

クライアント証明書認証ダイアログのカスタマイズ

以下の設定により、クライアント証明書認証ダイアログボックスに表示されるテキストを指定できます。

認証
タイプテキストを選択:
​ユーザーに認証タイプを選択するよう指示するために表示されるテキストです。

証明書テキストを選択:​ユーザーに証明書タイプを選択するよう指示するテキストです。

証明書を利用できませんエラーテキスト:​選択した証明書が使用できない場合に表示する最大 512 文字のメッセージです。

クライアント証明書表示のカスタマイズ

信頼できる証明書発行者のみを表示:​このオプションを選択すると、AEM Forms で信頼するように設定されている認証情報発行者からの証明書だけが、クライアントアプリケーションによってユーザーに提示されます(「証明書と認証情報の管理」を参照)。このオプションの選択を解除すると、ユーザーのシステム上の証明書すべてがユーザーに一覧表示されます。

動的な透かしの設定

Document Security を使用して、ポリシーの作成時に適用できる動的な透かしオプションのデフォルト設定を指定できます。透かし​とは、ドキュメント内のテキストの上に重ね合わされる画像のことです。ドキュメントのコンテンツを追跡するのに効果的であり、コンテンツの不正使用を識別するのに役立ちます。

動的な透かしは、ユーザー ID、データおよびカスタムテキストなどの定義された変数で構成されるテキスト、または PDF 内のリッチコンテンツで構成できます。独自の配置および書式を持ついくつかの要素で透かしを設定できます。

透かしは編集できないので、ドキュメントコンテンツの機密を確保する上で、非常に安全な方法です。動的な透かしを使用すると、ユーザー固有の情報を透かしに表示することもできるので、ドキュメントを余分に配布しなくて済みます。

ポリシーで指定される透かしは、ポリシーで保護されたドキュメントを受信者が表示または印刷するときに、ドキュメント内に表示されます。永続的な透かしとは異なり、動的な透かしはドキュメントに保存されないので、ドキュメントをイントラネット環境にデプロイして、アプリケーションを表示するときに特定のユーザーの ID を表示する必要がある場合などに、柔軟に対応できます。また、1 つのドキュメントが複数のユーザーに対応している場合は、動的な透かしを使用すると、それぞれ異なる透かしを持つ複数のドキュメントを使用するのではなく、1 つのドキュメントを使用することができます。表示される透かしは、現在のユーザーの ID を反映します。

動的な透かしは、ユーザーが Acrobat でドキュメントに直接追加できる透かしとは異なることに注意してください。つまり、ポリシーで保護されたドキュメントでは、2 つの透かしを使用できます。

透かしを作成する場合の考慮事項

いくつかの透かし要素を使用して動的な透かしを作成できます。各要素はテキストまたは PDF として指定されます。1 つの透かしに最大 5 つの要素を含めることができます。

テキストベースの透かしを選択する場合、透かし内に複数のテキストエントリを使用したいくつかの要素を指定でき、各要素の位置を指定できます。これらの要素に、ヘッダー、フッターなど、意味のある名前を割り当てます。

例えば、透かしとして、ヘッダー、フッター、余白、ドキュメント全体に異なるテキストを指定する場合、いくつかの透かし要素を作成して位置を指定します。ユーザーのユーザー ID とドキュメントにアクセスしている時点の日付をヘッダーに表示し、ポリシー名を右余白に、「機密情報」というカスタムテキストをドキュメントの対角線上に表示する場合は、テキストを使用した透かし要素をタイプごとに定義し、その書式と位置を指定します。透かしがドキュメントに適用されると、透かしのすべての要素は、透かしに追加された順番で、ドキュメントに同時に適用されます。

通常、ロゴなどのグラフィックコンテンツや著作権情報や登録商標などの特殊記号を含めるには、PDF ベースの透かしを使用します。

Document Security 設定ファイルを変更することで、透かし要素の数や PDF ファイルのサイズの制限を変更できます。透かし設定のパラメーターの変更を参照してください。

透かしを設定する場合は、次の点に注意してください。

  • パスワードで保護された PDF ドキュメントは透かし要素として使用できません。ただし、作成した透かしにパスワードで保護されていない他の要素が含まれる場合は、それらの要素が透かしの一部として適用されます。
  • 透かし要素として使用する PDF ファイルの最大サイズを変更できます。ただし、サイズの大きい PDF ドキュメントを透かしとして使用すると、その透かしが適用されたドキュメントのオフライン同期のパフォーマンスが低下します。透かし設定のパラメーターの変更を参照してください。
  • 選択した PDF の最初のページのみ、透かしとして使用されます。透かしとして表示させる情報が最初のページにあることを確認してください。
  • PDF ドキュメントの拡大縮小を指定できますが、透かしとしてヘッダー、フッターまたは余白に使用する場合は、PDF のページサイズとレイアウトを考慮してください。
  • フォント名を指定する場合は、名前を正確に入力します。ドキュメントを開くクライアントマシンに指定したフォントがない場合、AEM Forms は、指定したフォントを置き換えます。
  • 透かしのコンテンツとしてテキストを選択した場合、拡大縮小オプションを「ページに合わせる」に設定しても、幅の異なるページに対しては動作しません。
  • 透かし要素の位置を指定する場合、同じ位置に複数の要素を配置していないことを確認します。2 つの透かし要素が中央など同じ位置にある場合、ドキュメントでは、透かしに追加された順番で重なって見えます。
  • フォントのサイズおよびタイプを指定する場合は、ページ内で完全に表示されるようにテキストの長さを確認します。テキストコンテンツは新しい行にロールオーバーするので、余白に表示させようとした透かしコンテンツが、ページのコンテンツ領域に重なる可能性があります。ただし、ドキュメントを Acrobat 9 で開いた場合は、1 行に収まらない部分のテキストは表示されません。

動的な透かしの制限

クライアントアプリケーションの中には、動的な透かしをサポートしていないものがあります。(詳しくは、該当する Acrobat Reader DC Extensions のヘルプを参照)。また、動的な透かしをサポートする Acrobat のバージョンについて、次の点に注意してください。

  • パスワードで保護された PDF ドキュメントは透かし要素として使用できません。

  • Acrobat および Adobe Reader の 10 よりも前のバージョンでは、次の透かし機能はサポートされません。

    • PDF 透かし。
    • 透かし内の複数の要素(テキスト/PDF)。
    • ページの範囲などの高度なオプションまたは表示オプション。
    • 指定したフォント、フォント名および色など、テキスト書式オプション。ただし、Acrobat および Reader の以前のバージョンでは、デフォルトのフォントおよび色でテキストコンテンツを表示します。
  • Acrobat 9.0 およびそれより前のバージョン:Acrobat 9.0 およびそれより前のバージョンでは、ポリシー名に動的な透かしを使用できません。動的な透かしが使用されているポリシーで保護されたドキュメントを Acrobat 9.0 で開いた場合は、そのドキュメントにポリシー名やその他の動的データが含まれていても、透かしにはポリシー名が表示されません。透かしにポリシー名しか含まれていない場合は、エラーメッセージが表示されます。

動的な透かしのテンプレートの追加

動的な透かしのテンプレートを作成できます。このテンプレートは、管理者やユーザーが作成するポリシーの設定オプションとしてそのまま使用できます。

メモ

設定ファイルが書き出される際に、動的な透かしの設定情報が他の設定情報と共に取得されることはありません。

  1. 管理コンソールで、サービス/Document Security/設定/透かしをクリックします。

  2. 「新規」をクリックします。

  3. 「名前」ボックスに、新しい透かしの名前を入力します。

    注意​:一部の特殊文字は、透かしや透かし要素の名前と説明に使用できません。ポリシーの編集に関する考慮事項に示されている制限を参照してください。

  4. 「名前」で、プラス記号の横に、透かし要素に意味のある名前(ヘッダーなど)を入力し、説明を追加します。プラス記号を展開して、オプションを表示します。

  5. 「ソース」で、透かしの種類を「テキスト」または「PDF」から選択します。

  6. 「テキスト」を選択した場合は、次の手順を実行します。

    • 含める透かしの種類を選択します。「カスタムテキスト」を選択した場合は、隣のボックスに、透かしとして表示するテキストを入力します。透かしとして表示されるテキストの長さに注意してください。

    • 透かしテキストのテキストコンテンツ用に、フォント名、フォントサイズ、描画色および背景色などの、テキスト書式プロパティを指定します。前景色および背景色は 16 進数で指定します。

      注意​:拡大縮小オプションで「ページに合わせる」を選択した場合、フォントサイズプロパティは編集できません。

  7. 高度な透かしオプションの「PDF」を選択した場合、「透かし PDF を選択」の横にある「参照」をクリックして、透かしとして使用する PDF ドキュメントを選択します。

    注意​:パスワードで保護された PDF ドキュメントは使用しないでください。パスワードで保護された PDF を透かし要素として指定すると、透かしが適用されません。

  8. 「背景として使用」で、「はい」または「いいえ」を選択します。

    注意:現時点では、この設定にかかわらず、透かしは前景に表示されます。

  9. ドキュメント上での透かしの表示位置を制御するには、「垂直方向の位置」および「水平方向の位置」オプションを設定します。

  10. 「ページに合わせる」を選択するか、「%」を選択し、ボックスにパーセンテージを入力します。値は、分数でなく整数で指定する必要があります。透かしのサイズを設定するには、ページのパーセンテージに相当する値を使用するか、またはページのサイズに合わせて透かしを設定します。

  11. 「回転」ボックスに、透かしの回転角度を入力します。範囲は -180~180 です。透かしを左回りに回転させる場合は負の値を使用します。値は、分数でなく整数で指定する必要があります。

  12. 「不透明度」ボックスに、パーセンテージを入力します。分数ではなく、整数を使用します。

  13. 「高度なオプション」で、以下を設定します。

    ページ範囲オプション

    透かしを表示するページの範囲を設定します。開始ページとして 1、終了ページとして -1 を入力すると、すべてのページに透かしが表示されます。

    表示オプション

    どこに透かしを表示させるかを選択します。デフォルトでは、透かしはソフトコピー(オンライン)とハードコピー(印刷)の両方に表示されます。

  14. 必要に応じて透かし要素を追加するには、透かし要素の「新規」をクリックします。

  15. 「OK」をクリックします。

動的な透かしのテンプレートの編集

  1. 管理コンソールで、サービス/Document Security/設定/透かしをクリックします。
  2. リストから目的の透かしをクリックします。
  3. 透かしを編集ページで、必要に応じて設定を変更します。
  4. 「OK」をクリックします。

動的な透かしのテンプレートの削除

動的な透かしは、削除すると、新しいポリシーに追加できなくなります。ただし、その透かしを使用している既存のポリシーには残り、削除された透かしを含むポリシーを編集するまで、そのポリシーで保護されているドキュメントには動的な透かしが引き続き表示されます。ポリシーが編集されると、その透かしは適用されなくなります。ポリシー上の既存の透かしが削除されていること、およびそれに代わる別の透かしを選択できることを示すメッセージが表示されます。

  1. 管理コンソールで、サービス/Document Security/設定/透かしをクリックします。
  2. 目的の透かしの横のチェックボックスをオンにし、「削除」をクリックします。
  3. 「OK」をクリックします。

招待ユーザーの登録の設定

組織の外部のユーザーは Document Security に登録することができます。自分のアカウントを登録してアクティベートした招待ユーザーは、登録時に作成した電子メールアドレスとパスワードを使用して、Document Security にログインすることができます。登録した招待ユーザーは、権限を持つポリシー保護ドキュメントを使用することができます。

招待ユーザーは、アクティベートするとローカルユーザーになります。ローカルユーザーを設定および管理するには、ユーザーの招待領域とローカルユーザー領域を使用します(招待ユーザーおよびローカルユーザーのアカウントの管理を参照)。

招待ユーザーに対して権限を許可すれば、招待ユーザーは次の Document Security 機能も使用できるようになります。

  • ドキュメントへのポリシーの適用
  • ポリシーの作成
  • ポリシーへの招待ユーザーの追加

ユーザーがソース LDAP ディレクトリ内に既に存在する場合、または以前に登録を勧められたことがある場合を除いて、次のイベントが発生した際に、Document Security によって登録招待用の電子メールが自動的に生成されます。

  • 既存のユーザーが招待ユーザーをポリシーに追加
  • 管理者が招待ユーザーの登録ページで招待ユーザーアカウントを追加

登録電子メールには、登録ページへのリンクと登録方法に関する情報が含まれています。招待ユーザーによって登録が行われると、アクティベートページへのリンクが記載されたアクティベート用の電子メールが Document Security から送信されます。アカウントがアクティベートされると、アクティベートを解除するか削除するまで、そのアカウントは有効のままです。

組み込み登録を有効にした場合は、SMTP サーバー、登録電子メールの詳細、アクセス権限およびパスワードリセット用電子メールの情報を一度だけ指定します。組み込み登録を有効にする前に、User Management 内にローカルドメインを作成済みであること、および「Document Security ユーザーの招待」の役割を組織内の適切なユーザーとグループに割り当てていることを確認してください。(ローカルドメインの追加およびロールの作成および設定を参照)。組み込み登録を使用しない場合は、AEM Forms SDK を使用して、独自のユーザー登録システムを作成する必要があります。詳しくは、AEM Forms によるプログラミングの「AEM Forms 向け SPI の開発」を参照してください。組み込み登録オプションを使用しない場合は、アクティベート用の電子メールにメッセージを設定すると共に、クライアントのログイン画面で、新しいパスワードやその他の情報について管理者に問い合わせる方法をユーザーに知らせることをお勧めします。

招待ユーザー登録の有効化と設定

招待ユーザー登録プロセスは、デフォルトでは無効になっています。必要に応じて、Document Security の招待ユーザー登録を有効または無効にすることができます。

  1. 管理コンソールで、サービス/Document Security/設定/招待ユーザーの登録をクリックします。

  2. 「招待ユーザーの登録を有効にする」を選択します。

  3. (オプション)必要に応じて、招待ユーザー登録の設定項目を更新します。

  4. (オプション)「組み込み登録」で「はい」を選択して、このオプションを有効にします。組み込み登録を有効にしない場合は、独自のユーザー登録システムを設定する必要があります。

  5. 「OK」をクリックします。

外部ユーザーまたはグループの除外または組み入れ

特定の外部ユーザーまたはユーザーグループに対して、Document Security での登録を制限することができます。このオプションは、特定のユーザーグループにアクセスを許可する一方で、そのグループの特定の個人を除外する場合などに便利です。

次のオプションを、招待ユーザーの登録ページの「電子メールの制限フィルター」領域で設定できます。

除外:​除外するユーザーまたはグループのメールアドレスを入力します。複数のユーザーまたはグループを除外するには、それぞれの電子メールアドレスを別々の行に入力します。特定のドメインに属するすべてのユーザーを除外するには、ワイルドカードとドメイン名を入力します。例えば、example.com ドメイン内のすべてのユーザーを除外するには、*.example.com と入力します。

組み入れ:​対象範囲に含めるユーザーまたはグループのメールアドレスを入力します。複数のユーザーまたはグループを対象範囲に含めるには、それぞれの電子メールアドレスを別々の行に入力します。特定のドメインに属するすべてのユーザーを対象範囲に含めるには、ワイルドカードとドメイン名を入力します。例えば、example.com ドメイン内のすべてのユーザーを対象範囲に含めるには、*.example.com と入力します。

サーバーおよび登録アカウントのパラメーター

次のオプションを、招待ユーザーの登録ページの「一般設定」領域で設定できます。

SMTP ホスト: SMTP サーバーのホスト名です。SMTP サーバーでは、招待ユーザーアカウントを登録およびアクティベートするための送信電子メール通知が管理されます。

必要な場合は、「SMTP サーバーのアカウント名」ボックスと「SMTP サーバーのアカウントのパスワード」ボックスに必要な情報を入力して、SMTP サーバーに接続します。組織によってはこの要件を必要としない場合もあります。情報が必要な場合は、システム管理者に問い合わせてください。

SMTP サーバーのソケットクラス名: SMTP サーバーのソケットクラス名です。例えば、javax.net.ssl.SSLSocketFactory です。

メールのコンテンツタイプ: text/plain や text/html など、使用可能な MIME タイプです。

メールエンコーディング:​メールを送信するときに使用するエンコード形式です。任意のエンコードを指定できます。例えば、Unicode の UTF-8 や Latin の ISO-8859-1 です。デフォルトは UTF-8 です。

メールアドレスのリダイレクト:​この設定でメールアドレスを指定すると、指定されたメールアドレスに新しい招待メールが送信されます。この設定は、テストを目的とする場合に役立ちます。

ローカルドメインを使用:​適切なドメインを選択します。新たなインストール時に、User Management を使用してドメインを作成してあることを確認してください。アップグレードの場合は、アップグレード時に外部ユーザードメインが作成されています。

SMTP サーバーに SSL を使用: SMTP サーバーの SSL を有効にするには、このオプションを選択します。

登録ページにログインリンクを表示:​招待ユーザーに対して表示される登録ページにログインリンクを表示します。

SMTP サーバーで Transport Layer Security (TLS)を有効にするには

  1. 管理コンソールを開きます。

    管理コンソールのデフォルトの場所は https://<server>:<port>/adminui です。

  2. ホーム/サービス/Document Security/設定/招待ユーザーの登録に移動します。

  3. 招待ユーザーの登録ですべての設定項目を指定し、「OK」をクリックします。

    メモ

    Microsoft Office 365 をユーザー登録招待メールを送信するための SMTP サーバーとして使用している場合、以下の設定を使用してください。

    SMTP ホスト: smtp.office365.com
    ポート: 587

  4. 次に、config.xml を更新する必要があります。「Transport Layer Security(TLS)用に SMTP を有効にするための設定」を参照してください。

メモ

招待ユーザーの登録オプションに何らかの変更を加えた場合、config.xmlファイルが上書きされ、TLS が非アクティブ化されます。変更を上書きすると、TLS で招待ユーザーの登録がサポートされるように上記のステップを実行する必要があります。

登録招待メールの設定

新しい招待ユーザーアカウントを作成したり、未登録の外部受信者や登録に招待されたことのない外部受信者を既存のユーザーがポリシーに追加したりすると、Document Security によって自動的に登録招待用の電子メールが発行されます。この電子メールにはリンクが含まれており、受信者はこのリンクを使用して登録ページにアクセスし、ユーザー名やパスワードなどの個人アカウント情報を入力します。パスワードとしては、任意の 8 文字の組み合わせを使用できます。

受信者が自分のアカウントをアクティベートすると、そのユーザーはローカルユーザーになります。

次のオプションを、招待ユーザーの登録ページの「招待用の電子メールの設定」領域で設定できます。

送信元:​招待メールの送信元のメールアドレスです。送信元メールアドレスのデフォルトの形式は「postmaster@[your_installation_domain].com」です。

件名:​招待メールのデフォルトの件名です。

タイムアウト:​外部ユーザーが登録しなかった場合に登録招待が期限切れとなる日数です。デフォルト値は 30 日です。

メッセージ:​ユーザーに登録を勧めるメッセージの本文として表示されるテキストです。

アクティベーションメールの設定

招待ユーザーが登録を行うと、Document Security によってアクティベート用の電子メールが送信されます。この電子メールにはアカウントをアクティベートするためのページへのリンクが含まれており、ユーザーはここでアカウントをアクティベートできます。アカウントをアクティベートすると、ユーザーは登録時に作成した電子メールアドレスとパスワードを使用して、Document Security にログインできます。

受信者がユーザーアカウントをアクティベートすると、そのユーザーはローカルユーザーになります。

次のオプションを、招待ユーザーの登録ページの「アクティベートに関する電子メールの設定」領域で設定できます。

メモ

新しいパスワードやその他の情報について管理者に問い合わせる方法を外部ユーザーに対して示すメッセージを、ログイン画面に設定することもお勧めします。

送信元:​アクティベーションメールの送信元のメールアドレスです。このメールアドレスに、登録者のメールホストから配信失敗の通知が届きます。また、受信者が登録メールアドレスへの応答として送信するメッセージも届きます。送信元メールアドレスのデフォルトの形式は「postmaster@[your_installation_domain].com」です。

件名:​アクティベーションメールのデフォルトの件名です。

タイムアウト:​ユーザーがアカウントをアクティベートしなかった場合にアクティベーション招待が期限切れとなる日数です。デフォルト値は 30 日です。

メッセージ:​受信者にユーザーアカウントをアクティベートするよう求めるメッセージの本文として表示されるテキストです。それ以外の情報として、新しいパスワードを取得するために管理者に問い合わせる方法なども含めるとよいでしょう。

パスワードリセットメールの設定

招待ユーザーのパスワードをリセットする必要がある場合は、そのユーザーに新しいパスワードを選択するように勧める確認の電子メールが生成されます。ユーザーのパスワードを特定できません。ユーザーがパスワードを忘れた場合は、リセットする必要があります。

次のオプションを、招待ユーザーの登録ページの「電子メールパスワードをリセット」領域で設定できます。

送信元:​パスワードリセットメールの送信元のメールアドレスです。送信元メールアドレスのデフォルトの形式は「postmaster@[your_installation_domain].com」です。

件名:​リセットメールのデフォルトの件名です。

メッセージ:​受信者に外部ユーザーパスワードのリセットを知らせるメッセージの本文として表示されるテキストです。

ユーザーおよびグループによるポリシー作成の有効化

設定ページにはマイポリシーページへのリンクがあります。このマイポリシーページでは、マイポリシーを作成できるエンドユーザーおよび検索結果に表示するユーザーとグループを指定できます。マイポリシーページには、2 つのタブがあります。

「ポリシーを作成」タブ:​カスタムポリシーを作成するためのユーザー権限を設定する場合に使用します。

「表示されるユーザーとグループ」タブ:​ユーザーの検索結果に表示するユーザーとグループを制御するために使用します。スーパーユーザーまたはポリシーセット管理者は、User Management で作成されたドメインを選択し、ポリシーセットごとに表示されるユーザーおよびグループに追加する必要があります。このリストはポリシーセットコーディネーターによって参照されるものであり、ポリシーに追加するユーザーを選択するときにポリシーセットコーディネーターが参照できるドメインを制限するために使用されます。

カスタムポリシーを作成する権限をユーザーに与える前に、個々のユーザーにどの程度のアクセスや制御を認めるかを検討します。また、検索結果にユーザーとグループを表示するにあたって、ユーザーとグループをどの程度公開するかについても検討します。

ポリシーを作成できるユーザーとグループの指定

管理者として、カスタムポリシーを作成できるユーザーとグループを指定します。この権限は、ユーザーレベルおよびグループレベルで設定できます。検索機能は、User Management データベースを検索してユーザーとグループを見つけます。

  1. 管理コンソールで、サービス/Document Security/設定/マイポリシーをクリックします。
  2. マイポリシーページで、「ポリシーを作成」タブをクリックし、「ユーザーおよびグループを追加」をクリックします。
  3. 「検索」ボックスに、検索するユーザーまたはグループのユーザー名または電子メールアドレスを入力します。この情報が不明の場合は、ボックスを空白のままにします。名前や電子メールアドレスの一部を入力することもできます。例えば、ユーザー名の先頭の 2 文字しかわからない場合などです。
  4. 「使用中」リストで、検索パラメーターとして「名前」または「電子メールアドレス」を選択します。
  5. 「種類」リストで、「グループ」または「ユーザー」を選択して検索を絞り込みます。
  6. 「対象」リストで、検索するドメインを選択します。ユーザーまたはグループのドメインがわからない場合は、「すべてのドメイン」を選択します。
  7. 「表示件数」リストで、1 ページに表示する検索結果の数を指定し、「検索」をクリックします。
  8. 「マイポリシー」のユーザーとグループを追加するには、追加する各ユーザーとグループのチェックボックスを選択します。
  9. 「追加」をクリックし、「OK」をクリックします。

選択したユーザーおよびグループに、カスタムポリシーを作成する権限が付与されます。

ユーザーまたはグループからのカスタムポリシーの作成権限の削除

  1. Document Security ページで、設定/マイポリシーをクリックします。
  2. マイポリシーページで、「ポリシーを作成」タブをクリックします。カスタムポリシーの作成権限を持つユーザーとグループが表示されます。
  3. この権限から削除するユーザーとグループの横にあるチェックボックスを選択します。
  4. 「削除」をクリックし、「OK」をクリックします。

検索結果に表示されるユーザーとグループの指定

ユーザーがカスタムポリシーを管理している場合、そのポリシーに追加するユーザーとグループを検索できます。どのドメインのユーザーとグループを検索結果に表示するかを指定する必要があります。

  1. Document Security ページで、設定/マイポリシーをクリックします。
  2. マイポリシーページで、「表示されるユーザーとグループ」タブをクリックします。
  3. ドメイン内のユーザーとグループが表示されるようにするには、「ドメインを追加」をクリックして目的のドメインを選択し、「追加」をクリックします。ドメインを削除するには、ドメイン名の横にあるチェックボックスを選択し、「削除」をクリックします。

Document Security 設定ファイルの手動による編集

Document Security データベースに格納されている設定情報は、読み込んだり書き出したりすることができます。例えば、ステージング環境から実稼働環境へ移行する際に、設定情報のバックアップコピーを作成できます。また、このファイルを編集するように設定できる高度なオプションを編集することも可能です。

設定ファイルを使用して、次の変更を行うことができます。

ポリシーの作成および編集時の CATIA 権限の表示

オフライン同期のタイムアウト期間の指定

特定のアプリケーションに対する Document Security サービスの拒否

透かし設定のパラメーターの変更

外部リンクの無効化

メモ

設定ファイルを読み込むと、ファイル内の情報に基づいてシステムが再設定されます。動的な透かしの設定情報とカスタムイベント情報は例外です。これらは書き出された設定ファイルに保存されません。この情報は、新しいシステムで手動で設定する必要があります。破損した設定を再指定したり、特定のエンタープライズデプロイメントシナリオに合わせてパラメーターを調整したりするなど、設定ファイルの内容の変更は、システム管理者または Document Security と XML に精通したプロのサービスコンサルタントが行ってください。

設定ファイルの書き出し

  1. 管理コンソールで、サービス/Document Security 11/設定/手動設定をクリックします。
  2. 「書き出し」をクリックし、設定ファイルを別の場所に保存します。デフォルトのファイル名は config.xml です。
  3. 「OK」をクリックします。
  4. 元に戻さなければならない場合に備えて、設定ファイルに変更を加える前にバックアップコピーを作成します。

設定ファイルのインポート

  1. 管理コンソールで、サービス/Document Security 11/設定/手動設定をクリックします。
  2. 「参照」をクリックして設定ファイルに移動し、「読み込み」をクリックします。「ファイル名」ボックスにパスを直接入力することはできません。
  3. 「OK」をクリックします。

オフライン同期のタイムアウト期間の指定

Document Security を使用すると、ユーザーが Document Security サーバーに接続していなくても、保護されたドキュメントを開いて使用できます。ユーザーのクライアントアプリケーションでは、ドキュメントをオフラインで使用できるように、常にサーバーと同期させて有効な状態を維持する必要があります。保護されたドキュメントをユーザーが初めて開くと、定期的なクライアント同期を行う権限をコンピューターに付与するかどうかが確認されます。

デフォルトでは、4 時間ごとに自動的に同期が行われ、また、ユーザーが Document Security サーバーに接続したときに必要に応じて同期が行われます。ユーザーがオフラインのときにドキュメントのオフライン期間が終了した場合、ユーザーは、クライアントアプリケーションがサーバーと同期できるようにサーバーに再接続する必要があります。

Document Security 設定ファイルでは、バックグラウンドで実行する自動同期のデフォルトの頻度を指定できます。この設定は、クライアントに独自のタイムアウト値が明示的に設定されていない限り、クライアントアプリケーションのデフォルトのタイムアウト期間になります。

  1. Document Security 設定ファイルを書き出します。(Document Security 設定ファイルの手動による編集を参照)。

  2. エディターで設定ファイルを開き、PolicyServer ノードを探します。そのノードの下で、ServerSettings ノードを探します。

  3. ServerSettings ノードで以下のエントリを追加し、ファイルを保存します。

    <entry key="BackgroundSyncFrequency" value="time "/>

    time は、バックグラウンドでの自動同期の間隔(秒数)です。この値を 0 にすると、常に同期が実行されます。デフォルト値は 14400 秒(4 時間ごと)です。

  4. 設定ファイルを読み込みます(Document Security 設定ファイルの手動による編集を参照)。

特定のアプリケーションに対する Document Security サービスの拒否

特定の条件を満たすアプリケーションに対するサービスを拒否するように Document Security を設定できます。プラットフォーム名などの 1 つの属性または複数の属性を条件に指定できます。この機能は、Document Security で処理する必要がある要求を制御するのに役立ちます。この機能の用途を次に示します。

  • 売上高の保護:​売上高に関する規則をサポートしていないクライアントアプリケーションへのアクセスを拒否できます。
  • アプリケーションの互換性:​アプリケーションによっては、使用している Document Security サーバーのポリシーまたは動作と互換性がないことがあります。

クライアントアプリケーションは、Document Security への接続を確立しようとするときに、アプリケーション、バージョンおよびプラットフォーム情報を指定します。Document Security は、この情報を、Document Security 設定ファイルから取得した拒否設定と比較します。

拒否設定には、複数の拒否条件を設定できます。一連の条件の属性がすべて一致すると、要求を出しているアプリケーションは、Document Security サービスへのアクセスを拒否されます。

サービス拒否機能を使用するには、クライアントアプリケーションに Document Security C++ Client SDK バージョン 8.2 以降が必要です。次のアドビ製品は、Document Security サービスを要求するときに製品情報を指定します。

  • Adobe Acrobat 9.0 Professional および Acrobat 9.0 Standard 以降
  • Adobe Reader 9.0 以降
  • Acrobat Reader DC Extensions for Microsoft Office 8.2 以降

クライアントアプリケーションは、Document Security C++ Client SDK のクライアント API を使用して、Document Security のサービスを要求します。クライアント API 要求には、(クライアント API にプリコンパイルされた)プラットフォームおよび SDK バージョン情報およびクライアントアプリケーションから取得した製品情報が含まれます。

クライアントアプリケーションまたはプラグインは、コールバック機能の実装に製品情報を指定します。アプリケーションが指定する情報は以下のとおりです。

  • インテグレーター名
  • インテグレーターのバージョン
  • アプリケーションのファミリー
  • アプリケーション名
  • アプリケーションのバージョン

該当する情報がない場合、対応するフィールドは空白のままになります。

Adobe アプリケーションの中には、Acrobat、Adobe Reader および Acrobat Reader DC Extensions for Microsoft Office のように、Document Security サービスを要求するときに製品情報を指定するものがあります。

Acrobat および Adobe Reader

Acrobat または Adobe Reader は、Document Security のサービスを要求するときに次の製品情報を指定します。

  • インテグレーター: Adobe Systems Inc.
  • インテグレーターのバージョン: 1.0
  • アプリケーションのファミリー: Acrobat
  • アプリケーション名: Acrobat
  • アプリケーションのバージョン: 9.0.0

Acrobat Reader DC Extensions for Microsoft Office

Acrobat Reader DC Extensions for Microsoft Office は、Microsoft Word、Microsoft Excel、Microsoft PowerPoint などの Microsoft Office 製品と一緒に使用するプラグインです。このプラグインは、サービスを要求するときに次の情報を指定します。

  • インテグレーター: Adobe Systems Inc.
  • インテグレーターのバージョン: 8.2
  • アプリケーションのファミリー: Acrobat Reader DC Extensions for Microsoft Office
  • アプリケーション名: Microsoft Word、Microsoft Excel または Microsoft PowerPoint
  • アプリケーションのバージョン: 2003 または 2007

特定のアプリケーションに対するサービスを拒否する Document Security の設定

  1. Document Security 設定ファイルを書き出します。(Document Security 設定ファイルの手動による編集を参照)。

  2. エディターで設定ファイルを開き、PolicyServer ノードを探します。ClientVersionRules ノードを PolicyServer ノードのすぐ下の子として追加します(存在しない場合)。

     <node name="ClientVersionRules">
         <map>
             <entry key="infoURL" value="URL"/>
         </map>
         <node name="Denials">
             <map/>
             <node name="MyEntryName">
                 <map>
                     <entry key="SDKPlatforms" value="platforms"/>
                     <entry key="SDKVersions" value="versions"/>
                     <entry key="AppFamilies" value="families"/>
                     <entry key="AppNames" value="names"/>
                     <entry key="AppVersions" value="versions"/>
                     <entry key="Integrators" value="integrators"/>
                     <entry key="IntegratorVersions" value="versions"/>
                 </map>
             </node>
             <node name="MyOtherEntryName"
                 <map>
                     [...]
                 </map>
             </node>
             [...]
         </node>
     </node>
    

    各パラメーターの意味は次のとおりです。

    SDKPlatforms は、クライアントアプリケーションをホストするプラットフォームを指定します。指定できる値を次に示します。

    • Microsoft Windows
    • Apple OS X
    • Sun Solaris
    • HP-UX

    SDKVersions は、クライアントアプリケーションで使用される Document Security C++ Client API のバージョンを指定します。例:"8.2"

    APPFamilies は、Client API によって定義されます。

    AppName は、クライアントアプリケーションの名前を指定します。コンマは名前の区切り文字として使用されます。名前にコンマを含めるには、バックスラッシュ(\)でエスケープします。例えば、「Adobe Systems, Inc.」と入力します。

    AppVersions は、クライアントアプリケーションのバージョンを指定します。

    Integrators は、プラグインまたは統合アプリケーションを開発した会社またはグループの名前を指定します。

    IntegratorVersions は、プラグインまたは統合アプリケーションのバージョンです。

  3. 拒否データの追加セットごとに、MyEntryName 要素を追加します。

  4. 設定ファイルを保存します。

  5. 設定ファイルを読み込みます(Document Security 設定ファイルの手動による編集を参照)。

この例では、すべての Windows クライアントがアクセスを拒否されます。

 <node name="ClientVersionRules">
     <map>
         <entry key="infoURL" value="https://www.dont.use/windows.html"/>
     </map>
     <node name="Denials">
         <map/>
         <node name="Entry_1">
             <map>
                 <entry key="SDKPlatforms" value="Microsoft Windows"/>
             </map>
         </node>
     </node>
 </node>

この例では、My Application バージョン 3.0 および My Other Application バージョン 2.0 がアクセスを拒否されます。同じ拒否情報 URL が、拒否の理由に関係なく使用されます。

 <node name="ClientVersionRules">
     <map>
         <entry key="infoURL" value="https://get.a.new/version.html"/>
     </map>
     <node name="Denials">
         <map/>
         <node name="FirstDenialSettings">
             <map>
                 <entry key="AppNames" value="My Application"/>
                 <entry key="AppVersions" value="3.0"/>
             </map>
         </node>
         <node name="SecondDenialSettings">
             <map>
                 <entry key="AppNames" value="My Other Application"/>
                 <entry key="AppVersions" value="2.0"/>
             </map>
         </node>
     </node>
 </node>

この例では、Acrobat Reader DC Extensions for Microsoft Office の Microsoft PowerPoint 2007 または Microsoft PowerPoint 2010 インストール環境からのすべての要求が拒否されます。

 <node name="ClientVersionRules">
     <map>
         <entry key="infoURL" value="https://get.a.new/version.html"/>
     </map>
     <node name="Denials">
         <map/>
         <node name="Entry_1">
             <map>
                 <entry key="AppFamilies" value=
     "document security Extension for Microsoft Office"/>
                 <entry key="AppNames" value= "Microsoft PowerPoint"/>
                 <entry key="AppVersions" value="2007,2010"/>
             </map>
         </node>
     </node>
 </node

透かし設定のパラメーターの変更

デフォルトで、1 つの透かしに最大 5 つの要素を指定できます。また、透かしとして使用する PDF ドキュメントの最大ファイルサイズは、100 KB に制限されています。これらのパラメーターは config.xml ファイルで変更できます。

メモ​:これらのパラメーターの変更は慎重に行う必要があります。

  1. Document Security 設定ファイルを書き出します。(Document Security 設定ファイルの手動による編集を参照)。

  2. エディターで設定ファイルを開き、ServerSettings ノードを探します。

  3. ServerSettings ノードで次のエントリを追加し、ファイルを保存します。<entry key="maximumSizeOfWatermarkElement" value="max filesize in KB"/> <entry key="maximumWatermarkElementsPerWatermark" value="max elements"/>

    最初のエントリで、「max file size」は、PDF 透かし要素に許可する最大ファイルサイズ(KB 単位)です。デフォルトは 100 KB です。

    2 番目のエントリで、「max elements」は、1 つの透かしで許可する要素の最大数です。デフォルトは 5 です。

    <entry key="maximumSizeOfWatermarkElement" value="max filesize in KB"/>
    <entry key="maximumWatermarkElementsPerWatermark" value="max elements"/>
    
  4. 設定ファイルを読み込みます(Document Security 設定ファイルの手動による編集を参照)。

多くの Document Security ユーザーは、Right Management ユーザーインターフェイスを使用している間、www.adobe.com などの外部リンクへのアクセス権を持っていません。

  • https://[host]:'port'/adminui
  • https://[host]:'port'/edc

次の config.xml への変更は、すべての外部リンクを Right Management ユーザーインターフェイスから無効化します。

  1. Document Security 設定ファイルを書き出します。(Document Security 設定ファイルの手動による編集を参照)。

  2. エディターで設定ファイルを開き、DisplaySettings ノードを探します。

  3. すべての外部リンクを無効にするには、DisplaySettings ノードで以下のエントリを追加し、ファイルを保存します。<entry key="ExternalLinksAllowed" value="false"/>

    <entry key="ExternalLinksAllowed" value="false"/>
    
  4. 設定ファイルを読み込みます(Document Security 設定ファイルの手動による編集を参照)。

Transport Layer Security (TLS) 用に SMTP を有効にするための設定

config.xml に次の変更を加えることで、TLS で招待ユーザーの登録機能が有効化されます。

  1. Document Security 設定ファイルを書き出します。(Document Security 設定ファイルの手動による編集を参照)。

  2. エディターで設定ファイルを開き、DisplaySettings ノードを探します。

  3. 次のノードを探します(<node name="ExternalUser">)。

    <node name="ExternalUser">
    
  4. SmtpUseTls ノードの ExternalUser キーの値を true に設定します。

  5. SmtpUseSsl ノードの ExternalUser キーの値を false に設定します。

  6. config.xml を保存します。

  7. 設定ファイルを読み込みます(Document Security 設定ファイルの手動による編集を参照)。

Document Security ドキュメントの SOAP エンドポイントの無効化

Document Security ドキュメントの SOAP エンドポイントを無効にするには、config.xml を次のように変更します。

  1. Document Security 設定ファイルを書き出します。(Document Security 設定ファイルの手動による編集を参照)。

  2. エディターで設定ファイルを開き、次のノードを探します: <node name="DRM">

    <node name="DRM">
    
  3. DRM ノードで entry ノードを探します:

    <entry key="AllowUnencryptedVoucher" value="true"/>

  4. Document Security ドキュメントの SOAP エンドポイントを無効にするには、値の属性を false に設定します。

    <node name="DRM">
        <map>
            <entry key="AllowUnencryptedVoucher" value="false"/>
        </map>
    </node>
    
  5. config.xml を保存します。

  6. 設定ファイルを読み込みます(Document Security 設定ファイルの手動による編集を参照)。

Document Security サーバーのスケーラビリティの向上

デフォルトでは、オフラインでの使用のためドキュメントを同期する際は、現在のドキュメントの情報とともに、document security クライアントはポリシー、透かし、そのユーザーがアクセスできる他のすべてのドキュメントのライセンスおよび失効に関する更新情報を取得します。これらの更新および情報がクライアントと同期されてない場合、オフラインモードでひらかれているドキュメントのポリシー、透かし、失効情報は古いままの場合があります。

クライアントに送信する情報を制限することで、Document Security サーバーのスケーラビリティを向上させることができます。スケーラビリティの向上により、クライアントに送信される情報量、応答時間が減少し、サーバーのパフォーマンスも向上します。スケーラビリティを高めるには、次の手順を実行してください。

  1. Document Security 設定ファイルを書き出します。(Document Security 設定ファイルの手動による編集を参照)。

  2. エディターで設定ファイルを開き、ServerSettings ノードを探します。

  3. ServerSettings ノードで、DisableGlobalOfflineSynchronizationData プロパティの値を true に設定します。

    <entry key="DisableGlobalOfflineSynchronizationData" value="true"/>

    true に設定すると、Document Security サーバーは現在のドキュメントの情報のみをクライアントに送信し、その他のドキュメント(ユーザーがアクセスできるその他のドキュメント)の情報は送信されません。

    メモ

    デフォルトでは、DisableGlobalOfflineSynchronizationData キーの値は false に設定されます。

  4. 設定ファイルを保存して読み込みます。(Document Security 設定ファイルの手動による編集を参照)。

このページ