Vault File Manager for Windows は、Vault ドキュメントのチェックアウト、編集およびチェックインの効率的な方法を提供します。ユーザがドキュメントをチェックアウトすると、Vault File Manager はそれらを自動的にダウンロードします。ユーザはファイルを開いて、Windows コンピュータにインストールされた Vault File Manager クライアントから直接編集することができます。
Vault File Manager の有効化
Vault File Manager を有効にするには、管理者 > 設定 > 全般設定に進み、File Manager へチェックアウトを有効にするのチェックボックスを選択します。ユーザが Vault File Manager クライアントのインストーラを Vault から直接ダウンロードできるようにするには、Vault からの Vault File Manager のプロビジョニングのチェックボックスを選択します。これらのフラグは、新しい Vault で通常自動的に有効化されています。
Vault File Manager を有効化したら、ユーザにアプリケーション: ドキュメント: Vault File Manager の権限も付与する必要があります。この権限は、Vault 所有者およびシステム管理者の標準セキュリティプロファイルに含まれます。この権限のないユーザには、ドキュメントのチェックアウト一括アクションまたはドキュメントのアクションメニューのファイルマネージャへのチェックアウトオプションは表示されません。また、ユーザプロファイルページに Vault File Manager のダウンロードインストーラーリンクも表示されません。
Vault File Manager で自動オープン設定を行う
ユーザが悪意のあるファイルをドキュメントのソースファイルとしてアップロードした場合に発生する可能性のある問題を防ぐために、Vault は VFM ファイルセキュリティポリシーオブジェクトを使用して、Vault File Manager が自動的に開くファイルの種類を決定します。Vault は、ファイルタイプをオブジェクトレコードとして保存します。
これらの設定を行うには、最初に管理者 > 設定 > オブジェクト > VFM ファイルセキュリティポリシーに移動し、企業管理者メニューで表示チェックボックスがオンになっていることを確認します。次に、企業管理者 > VFM ファイルセキュリティポリシーに移動します。デフォルトでは、Vault には、最も一般的なファイルタイプを自動で開くための VFM ファイルセキュリティポリシーレコードが含まれています。ファイルタイプが自動的に開かないようにするには:
- ファイルタイプの説明の横にあるアクションメニューから、編集をクリックします。
- ステータス選択リストから、無効を選択します。
- 保存をクリックします。
新しいファイルタイプを追加するには:
- VFM ファイルセキュリティポリシーオブジェクトレコードリストページで、作成ボタンをクリックします。
- ファイルタイプの説明を入力します。
- ステータス選択リストから選択します。アクティブを選択すると、Vault File Manager はこのファイルタイプのファイルを自動的に開きます。無効を選択した場合、ユーザはこれらのファイルタイプを手動で開く必要があります。
- ファイルタイプに 1 つ以上のファイル拡張子を入力します。例えば、Microsoft Word ファイルの場合は doc と docx です。複数の値はコンマで区切ります。
- 保存をクリックします。
Vault File Manager および企業のアイデンティティシステム
企業のアイデンティティシステムを使用してユーザが Vault File Manager にログインできるように、Vault の OAuth2.0/OpenID 接続プロファイルの設定を、関連付けられた OAuth 2.0/OpenID 接続アプリの設定を認証サーバに行う必要があります。Vault File Manager は現在、Ping Federate、ADFS 4.0、または Okta による OAuth 2.0/OpenID 接続のみに対応しています。対応アイデンティティプロバイダの詳細は、Vault File Manager の認証サポートをご覧ください。
注: セキュリティを確保するために、AS に PKCE を有効化することが推奨されます。
Vault File Manager の OAuth プロファイルの設定
OAuth で動作するよう、Vault File Manager を設定するには 2 段階の処理が必要です。最初に、Vault の OAuth 2.0/OpenID 接続プロファイルを設定します。詳細な手順は OAuth 2.0/OpenID 接続プロファイルの設定をご覧ください。
次に、SSO セキュリティポリシーを設定する必要があります。SSO セキュリティポリシーを定義する場合、OAuth 2.0/OpenID 接続プロファイルを Ping Identity、ADFS、または Okta に対して作成した OAuth 2.0 プロファイルに設定します。詳しい手順は、シングルサインオンの設定をご覧ください。
最後に、定義した SSO セキュリティポリシーを使用できるようにするためにユーザのプロビジョニングが必要になります。管理者 > ユーザおよびグループ > ドメインユーザ > {ユーザ} に進み、設定セクションのセキュリティポリシーを定義した SSO ポリシーに設定します。設定した関連付けられている OAuth 2.0 プロファイルに連携 ID のユーザ ID タイプがある場合、ユーザプロファイルの連携 ID の値も設定が必要です。
注: 19R1.4 以降は、OAuth 2.0/OpenID 接続プロファイルで「Ping」または「その他」を選択した場合、認証サーバのリダイレクト URI を com.veeva.vaultfilemanager://authorize
に更新することが推奨されます。動的リダイレクト URI を引き続き使用することは推奨されません。詳細については、カスタマーサクセスマネージャまでお問い合わせください。
Ping Identity
Vault で Ping Federate の OAuth 2.0 プロファイルを作成する場合、認証サーバプロバイダドロップダウンで PingFederate を選択して標準 OAuth を使用できるようにする必要があります。
ADFS
Vault で ADFS の OAuth 2.0 プロファイルを作成する場合、認証サーバプロバイダドロップダウンで ADFS を選択する必要があります。ADFS を選択すると、Vault ファイルマネージャは、標準 OAuth の代わりに優先認証ライブラリ (MSAL または ADAL) を使用するように指示されます。これは、Office 365 などの Microsoft アプリケーションで使用されているのと同じ認証方法です。MSAL はデフォルト値ですが、優先認証ライブラリドロップダウンを使用して、MSAL を必要とするアプリケーションで MSAL の代わりに ADAL を選択できます。
Microsoft Azure AD
Vault で Microsoft Azure AD の OAuth 2.0 プロファイルを作成するには:
- メタデータとしてアップロードをクリックして認証サーバ Metadata URL の提供を選択し、[https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration」と入力します。
- Microsoft Azure AD のカスタムドメイン名に進んでドメインのテナントを探し、名前列からテナント ID をコピーします。
- 認証サーバプロバイダドロップダウンの Azure AD を選択し、以下のようにアイデンティティクレームを設定します。
- アイデンティティクレーム: アイデンティティは別の要求に含まれます
- 要求: upn
- ClientID マッピングを作成し、以下のフィールドを設定します:
- アプリケーションラベル: 名前を入力します。このプロファイルを「Vault File Manager」とすることが推奨されます。
- アプリケーションクライアント ID: 「VaultCheckOut」と入力します。
- 認証サーバクライアント ID:アプリケーション ID を入力します。これは Microsoft Azure AD の Vault File Manager アプリケーションのアプリケーション概要にあります。
Okta
Vault で Okta の OAuth 2.0 プロファイルを作成する場合、認証サーバプロバイダドロップダウンで Okta を選択する必要があります。Vault File Manager で Okta プロファイルを使用する場合、clientID マッピングを作成し、以下のフィールドを設定する必要があります。
- アプリケーションラベル: 名前を入力します。このプロファイルを「Vault File Manager」とすることが推奨されます。
- アプリケーションクライアント ID: 「VaultCheckOut」と入力します。
- 認証サーバクライアント ID: Okta の Vault File Manager アプリケーションで生成されたクライアント ID を入力します。
認証サーバサポート
次に認証サーバで、Vault File Manager 用の OAuth 2.0/OpenID 接続アプリケーションを設定・登録します。
Ping Identity
新規 Ping Identity プロファイルを設定するには:
- プロファイル clientID を「VaultCheckOut」に設定します。クライアント ID に「クライアントシークレットがない」ことを確認します。
- クライアント認証でなしを選択します。
- 表示名を入力します。このプロファイルを「Vault File Manager」とすることが推奨されます。
- 次のリダイレクト URI を入力します:
com.veeva.vaultfilemanager://authorize
。
お使いのアプリケーションは、次のタイプを付与するよう設定する必要があります:
認証コード
リフレッシュトークン
Vault は、連携 ID として id_token
と access_token
にサブ
要求を使用します。
お使いのアプリケーションの設定は、以下の範囲を考慮する必要があります:
openid
offline_access
プロファイルを設定したら、認証サーバメタデータを取得します。ほとんどの認証サーバは、URL から AS Metadata を表示しますが、一部では AS Metadata JSON ファイルをダウンロードすることができます。Vault で OAuth 2.0/OpenID 接続プロファイルに AS Metadata をアップロードするには、URL か JSON ファイルのいずれかを使用します。
ADFS 4.0
Vault File Manager を ADFS のアプリケーションとして設定するには:
- ADFS 内で、アプリケーショングループ > アプリケーション > ネイティブアプリケーションに進みます。
- クライアント ID を入力します:「VaultCheckOut」。
- 表示名を入力します。このプロファイルを「Vault File Manager」とすることが推奨されます。
- 次のリダイレクト URI を入力します:
vaultfilemanager://authorize
。
次に、Vault をウェブ API として設定する必要があります:
- ADFS 内で、アプリケーショングループ > アプリケーション > ウェブ API に進みます。
- 識別子タブをクリックして、Vault を証明書利用者識別子として追加します。
- 表示名として「Vault」を入力します。
- 次の証明書利用者識別子を入力します:
https://login.veevavault.com。
- 発行変換ルールタブをクリックして、カスタム要求ルールを作成します。
- このタブで、ルールの追加 > カスタムルールを使用した要求の送信 > 次へをクリックします。
- 次のカスタムルールを入力し、「mail」を連携 ID として使用するフィールドに置き換えます。
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("sub"), query = ";
mail
;{0}", param = c.Value);
- クライアント権限タブをクリックして、Vault File Manager を選択します。
- allatclaims チェックボックスを選択します。
- openid チェックボックスを選択します。
- 適用をクリックして、ウェブ API 設定を保存します。OK をクリックして、ダイアログを終了します。
Microsoft Azure AD
Microsoft Azure AD のアプリケーションとして Vault File Manager を設定するには、最初に login.veevavault.com
のアプリケーション登録を作成する必要があります:
- Microsoft Azure 内で Azure アクティブディレクトリ > アプリ登録に進み、新規登録をクリックします。
- 名前を入力します。
login.veevavault.com
が推奨されます。 - 登録をクリックします。
- 新しいアプリをクリックして、マニフェストをクリックします。識別子 URI を
https://login.veevavault.com
に変更します。
次に、Vault File Manager のアプリケーション登録を作成します:
- Microsoft Azure 内で Azure アクティブディレクトリ > アプリ登録に進み、新規登録をクリックします。
- 名前を入力します。「Vault File Manager」が推奨されます。
- リダイレクト URI をパブリッククライアントとして設定し、次の URI を入力します:
vaultfilemanager://authorize
。 - 登録をクリックします。
- API 権限をクリックして、権限の追加をクリックします。
login.veevavault.com
を選択し、代理権限を選択します。- 同意書のボックスにチェックを入れ、権限の追加をクリックします。
Okta
Vault File Manager を Okta のアプリケーションとして設定するには:
- Okta 内で、アプリケーション > アプリケーションの追加 > 新規アプリの作成に進みます。
- プラットフォームにネイティブアプリを選択します。
- サインオン方法に OpenID 接続を選択します。
- 作成をクリックします。
- アプリケーション名を入力します。このプロファイルを「Vault File Manager」とすることが推奨されます。
- 次のログインリダイレクト URI を入力します:
com.veeva.vaultfilemanager://authorize
。 - 保存をクリックすると、アプリケーションが作成されます。
アプリケーションを作成したら、一般設定タブに進んで、次の設定を確認します:
- アプリケーションラベル: アプリケーション名として入力した値。例えば Vault File Manager。
- アプリケーションタイプ: ネイティブ
- 許可されている付与タイプ: 認証コードとリフレッシュトークン
- ログインリダイレクト URI:
com.veeva.vaultfilemanager://authorize
一般設定タブでは、クライアント認証情報セクションにスクロールする必要もあります。Okta ではクライアント ID を設定できないため、代わりに Okta がランダムな固有識別子を割り当てます。これをサポートするには、Vault で ClientID マッピングを設定して、この固有識別子を認証サーバクライアント ID フィールドに入力する必要があります。このセクションでは、クライアント認証を PKCE を使用 (パブリッククライアント用) に設定する必要があります。
次に、サインオンタブに進んで、サインオン方法が OpenID 接続に設定されていることを確認します。
最後に、割り当てタブで Okta ユーザを追加します。Okta の OAuth 2.0/OpenID 接続プロファイルに割り当てたすべての Vault ユーザをここで追加する必要があります。OAuth 2.0/OpenID 接続プロファイルのユーザ ID タイプが Vault ユーザ名に設定されている場合、Okta ユーザ名は Vault ユーザ名と一致する必要があります。これが連携 ID に設定されている場合、Okta ユーザ名は Vault ユーザの連携 ID と一致する必要があります。
設定の確認
- セキュリティポリシーが OAuth SSO のテストユーザを設定し、対応する OAuth 2.0/OpenID 接続プロファイルを前のセクションの説明に従って設定します。
- Vault File Manager が実行されていないことを確認してください。
- Vault File Manager を開き、テストユーザのユーザ名を入力して次へをクリックします。
- 「アイデンティティプロバイダにログインしようとしています」というメッセージが表示されます。続行をクリックします。
- 認証サーバにログインしていない場合は、プロンプトが表示され、テストユーザのユーザ名とパスワードを入力する必要があります。
- テストユーザの認証情報が Vault File Manager に表示され、ユーザが正常にログインできたことが示されます。
アイデンティティプロバイダのログイン情報が表示されない場合や、正常にログインできない場合は、設定を確認してください。詳細は、OAuth 2.0/OpenID 接続イベントの記録とトラブルシューティングをご覧ください。
関連権限
以下の権限が、Vault File Manager に関連するアクションを管理します。
セキュリティプロファイル
- アプリケーション: ドキュメント: Vault File Manager
- File Manager へチェックアウトアクションまたはドキュメントのチェックアウト一括アクションを使用してドキュメントをチェックアウトする権限。
- アプリケーション: ドキュメント: 一括更新
- 一括アクションを実行する権限。
- アプリケーション: ドキュメント: レンディションのダウンロード
- Vault File Manager を使用してレンディションをダウンロードする権限。
- アプリケーション: ファイルステージングアクセス
- Vault File Manager を使用してレンディションのダウンロードとソースファイルのアップロード権限:
ドキュメントロール
- ドキュメントの編集
- ドキュメントのチェックアウトとチェックインを実行する権限。