Document Security サーバーの設定 configure-the-document-security-server

サーバー設定 server-configuration-settings

ベース URL： Document Security URL です。サーバー名とポートが含まれます。ベースに情報が追加されて、接続 URL が作成されます。例えば、/edc/Main.do が追加されて web ページへのアクセスが行われます。ユーザーは、この URL を使用して、外部ユーザー登録の招待に応答することもできます。

IPv6 を使用している場合は、コンピューター名または DNS 名としてベース URL を入力します。数値の IP アドレスを使用すると、ポリシーで保護されたファイルを Acrobat で開くことができません。また、サーバーの HTTP セキュア（HTTPS）URL を使用します。

デフォルトのオフラインリース期間： ​保護されたドキュメントをユーザーがオフラインで使用できるデフォルトの期間です。この設定により、ポリシーを作成するときに自動オフラインリース期間設定の初期値が決まります。（ポリシーの作成および編集を参照）。リース期間が終了した後、ドキュメントを引き続き使用するには、受信者がそのドキュメントを再び同期する必要があります。

オフラインリースおよび同期の動作方法については、Primer on configuring offline lease and synchronization を参照してください。

デフォルトのオフライン同期期間： ​ドキュメントが最初に保護されてから、そのドキュメントをオフラインで使用できる最大時間です。

Client Session Timeout： ​クライアントアプリケーションを使用してログインしたユーザーが Document Security に応答しない場合に、Document Security が切断されるまでの時間（分単位）です。

匿名ユーザーのアクセスを許可： ​匿名ユーザーがポリシーで保護されたドキュメントを開くことを許可する、共有ポリシーおよび個人用ポリシーを作成できるようにするときに選択します。（アカウントを持たないユーザーでもドキュメントにアクセスできますが、Document Security にログインしたり、他のポリシーで保護されたドキュメントを使用したりすることはできません）。

バージョン 7 クライアントへのアクセスを無効にする： ユーザーが Acrobat または Reader 7.0 を使用してサーバーに接続できるかどうかを指定します。このオプションが選択されている場合、ユーザーは Acrobat または Reader 8.0 以降を使用して、PDF ドキュメントで Document Security の処理を実行する必要があります。ポリシーで保護されたドキュメントを開く際に、Acrobat または Reader 8.0 以降を認証モードで実行することがポリシーによって指定されている場合は、Acrobat または Reader 7 へのアクセスを無効にする必要があります（ユーザーおよびグループのドキュメント権限の指定を参照）。

ドキュメントごとのオフラインアクセスを許可 ドキュメントごとにオフラインアクセスを指定するには、このオプションを選択します。この設定が有効な場合、ユーザーは少なくとも 1 回オンラインで開いたドキュメントのみに対し、オフラインアクセス権があります。

ユーザー名パスワード認証を許可： クライアントアプリケーションが、サーバーへの接続時にユーザー名とパスワード認証を使用できるようにするときにこのオプションを選択します。

Kerberos 認証を許可： ​クライアントアプリケーションが、サーバーへの接続時に Kerberos 認証を使用できるようにするときにこのオプションを選択します。

クライアント証明書認証を許可： クライアントアプリケーションが、サーバーへの接続時に証明書認証を使用できるようにするときにこのオプションを選択します。

拡張認証を許可 拡張認証を有効にするときに選択し、さらに「拡張認証のランディング URL」を入力します。

このオプションを選択すると、クライアントアプリケーションで拡張認証を使用できます。拡張認証では、認証プロセスをカスタマイズし、AEM Forms サーバーで設定されている様々な認証オプションを使用できます。例えば、Acrobat や Reader のクライアントの AEM Forms ユーザー名とパスワードを使用する代わりに、SAML ベースの認証を行うことができます。デフォルトでは、ランディング URL にはサーバー名として localhost が含まれます。サーバー名を完全修飾ホスト名に置き換えます。拡張認証がまだ有効でない場合、ランディング URL のホスト名はベース URL から自動的に設定されます。詳しくは、拡張認証プロバイダーの追加を参照してください。

注意​：拡張認証は Adobe Acrobat リリース 11.0.6 以上を使用している Apple Mac OS X でサポートされています。

拡張認証用の推奨された HTML 制御幅 ユーザー資格情報を入力するために Acrobat で開く拡張認証ダイアログの幅を指定します。

拡張認証用の推奨された HTML 制御高さ ユーザーの資格情報を入力するために Acrobat で開く拡張認証ダイアログの高さを指定します。

注意​：このダイアログボックスの幅および高さの制限値は次のとおりです。
幅：最小 = 400, 最大 = 900

高さ：最小 = 450、最大 = 800

クライアントの資格情報のキャッシュを有効にする： ​ユーザーが自分の資格情報（ユーザー名およびパスワード）をキャッシュできるようにするときに選択します。ユーザーの資格情報がキャッシュされていると、ドキュメントを開くたびに、または Adobe Acrobat のセキュリティポリシーを管理ページで「更新」ボタンをクリックするときに、資格情報を入力する必要がありません。ユーザーに資格情報の再入力を求める日までの日数を指定できます。日数を 0 に設定すると、資格情報は無期限にキャッシュされます。

Document Security ユーザーおよび管理者の設定 configuring-document-security-users-and-administrators

管理者への Document Security の役割の割り当て assigning-document-security-roles-to-administrators

AEM Forms 環境には、ユーザーおよびグループを作成するための適切な権限を持つ 1 人以上の管理者ユーザーが存在します。組織で Document Security を使用している場合は、少なくとも 1 人の管理者に、招待ユーザーおよびローカルユーザーを管理する権限も割り当てる必要があります。

管理者には、管理コンソールにアクセスするための管理コンソールユーザーの役割も必要です（役割の作成および設定を参照）。

表示されるユーザーおよびグループの設定 configuring-visible-users-and-groups

選択したドメインのユーザーおよびグループをポリシーのユーザー検索で表示するには、上級管理者またはポリシーセット管理者が、各ポリシーセットについて表示されるユーザーおよびグループのリストに対して、ドメイン（User Management で作成）を選択して追加する必要があります。

表示されるユーザーとグループのリストは、ポリシーセットコーディネーターに対して表示され、ポリシーに追加するユーザーまたはグループを選択する際にエンドユーザーが参照できるドメインを制限するために使用されます。このタスクを実行しない場合、ポリシーセットコーディネーターに対して、ポリシーに追加するユーザーまたはグループが表示されません。ポリシーセットコーディネーターは、特定のポリシーセットに複数存在する可能性があります。

拡張認証プロバイダーの追加 add-the-extended-authentication-provider

AEM Forms は、環境に合わせてカスタマイズ可能なサンプル設定を提供します。以下の手順を実行します。

拡張認証のための SSO リダイレクト URL の追加 add-sso-redirect-urls-for-extended-authentication

拡張認証を有効化した状態で、ユーザーが Acrobat XI または Reader XI のポリシーで保護されたドキュメントを開くと、認証用のダイアログが表示されます。このダイアログでは、Document Security サーバーの設定で拡張認証のランディング URL として指定した HTML ページが読み込まれます。詳しくは、サーバー設定を参照してください。

オフラインセキュリティの設定 configuring-offline-security

Document Security には、ポリシーで保護されたドキュメントを、インターネットやネットワークに接続していなくてもオフラインで使用できる機能があります。この機能を使用するには、オフラインアクセスを許可するポリシーが必要です（ユーザーおよびグループのドキュメント権限の指定を参照）。そのようなポリシーを持つドキュメントをオフラインで使用するには、受信者は事前にオンラインでドキュメントを開き、確認メッセージが表示されたら「はい」をクリックして、オフラインアクセスを有効にする必要があります。また、受信者の ID の認証が必要となる場合もあります。受信者はその後、ポリシーで指定されたオフラインリース期間の間、ドキュメントをオフラインで使用できます。

オフラインリース期間が終了したら、受信者は再び Document Security と同期する必要があります。同期は、ドキュメントをオンラインで開くか、Acrobat または Acrobat Reader DC Extensions のメニューコマンドを使用して行います。（Acrobat のヘルプ ​または適切な Acrobat Reader DC Extensions のヘルプ ​を参照）。

オフラインアクセスが許可されるドキュメントでは、ファイルがオフラインで保存されるコンピューター上にキーマテリアルがキャッシュされることが必要です。このため、許可されていないユーザーがそのキーマテリアルを取得できる場合は、ファイルの安全が損なわれる危険性があります。この危険性に対処するために、キーのロールオーバーに関するオプションとしてスケジュールされたものと手動によるものがあり、許可されていない人物がキーを使用してドキュメントにアクセスするのを阻止できるようになっています。

デフォルトのオフラインリース期間の設定 set-a-default-offline-lease-period

ポリシーで保護されたドキュメントの受信者は、ポリシーで指定された日数の間、ドキュメントをオフラインにすることができます。ドキュメントを最初に Document Security と同期した後、受信者はオフラインリース期間が終わるまでそのドキュメントをオフラインで使用できます。オフラインリース期間が終了した後もそのドキュメントを使用し続けるには、そのドキュメントをオンラインにしてログインし、Document Security と同期する必要があります。

デフォルトのオフラインリース期間を設定できます。デフォルトのリース期間は、ポリシーを作成または編集するときに変更できます。

キーのロールオーバーの管理 manage-key-rollovers

Document Security では、ドキュメントの保護に暗号化アルゴリズムとライセンスを使用しています。Document Security はドキュメントを暗号化するときに、クライアントアプリケーションに渡す DocKey という復号キーを生成して管理します。ドキュメントを保護するポリシーでオフラインアクセスが許可されている場合は、そのドキュメントにオフラインでアクセスできるユーザーごとに、「プリンシパルキー」というオフラインキーも生成されます。

ポリシーで保護されたドキュメントをオフラインで開くには、対応するプリンシパルキーがユーザーのコンピューター上に存在している必要があります。コンピューターがプリンシパルキーを取得するのは、ユーザーが Document Security と同期したとき、つまり保護されたドキュメントをオンラインで開いたときです。このプリンシパルキーが侵害されると、ユーザーがオフラインでアクセスできるドキュメントも侵害される可能性があります。

オフラインドキュメントへの脅威を減らす方法の 1 つは、機密性を重視するドキュメントへのオフラインアクセスを許可しないというものです。プリンシパルキーを定期的にロールオーバーするという方法もあります。Document Security によってキーのロールオーバーが行われると、既存のキーではポリシーで保護されたドキュメントにアクセスできなくなります。例えば、犯罪者が盗んだコンピューターからプリンシパルキーを取得したとしても、ロールオーバーが行われると、そのキーを使用しても保護されたドキュメントにアクセスすることはできません。特定のプリンシパルキーが侵害されたと思われる場合は、そのキーを手動でロールオーバーすることができます。

ただし、キーのロールオーバーは 1 つのプリンシパルキーだけでなく、すべてのプリンシパルキーに影響を及ぼします。また、システムのスケーラビリティも低下します。なぜなら、クライアントがオフラインアクセスのために格納する必要のあるキーが増えるからです。キーのロールオーバーのデフォルトの頻度は 20 日です。この値を 14 日未満に設定することは好ましくありません。なぜなら、ユーザーがオフラインドキュメントを表示できなくなる可能性があり、システムパフォーマンスに悪影響を及ぼす可能性もあるからです。

次の例では、2 つのプリンシパルキーのうち、Key1 のほうが古く、Key2 のほうが新しいキーです。「今すぐキーをロールオーバー」ボタンを最初にクリックすると、Key1 が無効になり、新しい有効なプリンシパルキー（Key3）が生成されます。保護されているドキュメントをオンラインで開くなどして、Document Security と同期するとき、ユーザーは Key3 を取得します。ただし、ポリシーで指定されているオフラインリース期間の上限に達するまでは、Document Security との同期は強制されません。キーのロールオーバーを初めて行った後も、オフラインのままのユーザーは、オフラインリース期間の上限に達するまでは、Key3 で保護されているものも含めて、オフラインドキュメントを引き続き開くことができます。「今すぐキーをロールオーバー」ボタンを 2 回目にクリックすると、Key2 が無効になり、Key4 が作成されます。2 回のキーのロールオーバー中にオフラインのままだったユーザーは、Document Security と同期するまでは、Key3 または Key4 で保護されているドキュメントを開くことができません。

キーのロールオーバーの頻度の変更

Document Security では、オフラインドキュメントを使用する場合に、機密性を確保する目的で自動的にキーのロールオーバーが行われるようにするオプションがあります。キーのロールオーバーのデフォルトの頻度は 20 日です。この頻度は変更することができます。ただし、この値を 14 日未満に設定することは好ましくありません。なぜなら、ユーザーたちがオフラインドキュメントを表示できなくなる可能性があり、システムパフォーマンスに悪影響を及ぼす可能性もあるからです。

手動によるプリンシパルキーのロールオーバー

オフラインドキュメントの機密性を維持するために、プリンシパルキーを手動でロールオーバーすることができます。手動でキーをロールオーバーすることが必要になる場合があります（例えば、ドキュメントにオフラインアクセスできるようにキャッシュされているコンピューターからキーが盗まれ、キーが侵害された場合）。

プリンシパルキーは、クライアントコンピューターに以前からあったキーを無効にするまでに 2 度ロールオーバーする必要があります。プリンシパルキーを無効にしたクライアントコンピューターは、新しいプリンシパルキーを取得するには、Document Security サービスと再同期する必要があります。

イベント監査とプライバシーの設定 configuring-event-auditing-and-privacy-settings

Document Security では、ポリシーで保護されたドキュメント、ポリシー、管理者およびサーバーとのやりとりに関係するイベントについての情報を監査し、記録できます。イベント監査を設定し、監査するイベントのタイプを指定できます。特定のドキュメントに関するイベントを監査するには、ポリシーの監査オプションも有効にする必要があります。

監査を有効にすると、監査されたイベントの詳細をイベントページに表示できます。また、Document Security のユーザーは、ポリシーで保護されたドキュメントで自分が作成または使用したものだけに関係するイベントを表示できます。

監査対象として次のタイプのイベントを選択できます。

イベント監査の有効化または無効化 enable-or-disable-event-auditing

サーバー、ポリシーで保護されたドキュメント、ポリシー、ポリシーセット、ユーザーに関係するイベントの監査を有効／無効にすることができます。イベント監査を有効にする場合、可能なイベントをすべて監査することも、特定のイベントを監査することもできます。

サーバー監査を有効にすると、監査されたイベントをイベントページで確認できます。

プライバシー通知の有効化または無効化 enable-or-disable-privacy-notification

プライバシー通知メッセージを有効／無効にすることができます。プライバシー通知を有効にすると、ポリシーで保護されたドキュメントを受信者が開こうとしたときにメッセージが表示されます。この通知により、そのドキュメントの使用が監査対象になることをユーザーに知らせます。また、ユーザーがプライバシーポリシーページを表示する際に使用する URL を指定できます（存在する場合）。

カスタム監査イベントタイプの読み込み import-a-custom-audit-event-type

特定のファイルタイプに固有なイベントなど、追加イベントの監査をサポートする Document Security 対応のアプリケーションを使用している場合は、アドビパートナーによって、Document Security に読み込むことができるカスタム監査イベントが提供されます。この機能は、アドビパートナーからカスタムイベントタイプを提供されている場合のみ使用します。

カスタム監査イベントタイプの削除 delete-a-custom-audit-event-type

監査イベントの書き出し export-audit-events

監査イベントはアーカイブ用にファイルに書き出すことができます。

監査イベントの削除 delete-audit-events

作成日からの経過日数が指定した日数を超えている監査イベントを削除できます。

イベント監査オプション event-auditing-options

イベント監査を有効および無効にすることができます。また、監査対象にするイベントのタイプを指定できます。

ドキュメントのイベント

ドキュメントの表示： 受信者がポリシーで保護されたドキュメントを表示しました。

ドキュメントを閉じる： 受信者がポリシーで保護されたドキュメントを閉じました。

低解像度の印刷 ​受信者がポリシーで保護されたドキュメントを低解像度で印刷しました。

高解像度の印刷： ​受信者がポリシーで保護されたドキュメントを高解像度で印刷しました。

ドキュメントに注釈を追加： 受信者が注釈を PDF ドキュメントに追加します。

ドキュメントの失効： ​ユーザーまたは管理者がポリシーで保護されたドキュメントへのアクセス権限を失効させました。

ドキュメントの失効取り消し： ​ユーザーまたは管理者がポリシーで保護されたドキュメントへのアクセス権限を復元しました。

フォームへの入力： 受信者が入力可能なフォームである PDF ドキュメントに情報を入力しました。

削除されたポリシー： ​発行者がドキュメントからポリシーを削除し、セキュリティ保護を取り消しました。

ドキュメント失効 URL の変更： API レベルからの呼び出しにより失効 URL が変更されました。これは、失効したドキュメントの代わりとなる新しいドキュメントにアクセスするために指定された URL です。

ドキュメントの変更： 受信者がポリシーで保護されたドキュメントの内容を変更しました。

ドキュメントに署名： 受信者がドキュメントに署名します。

新しいドキュメントの保護： ユーザーがドキュメントを保護するためにポリシーを適用します。

ドキュメントのポリシーの切り替え： ​ユーザーまたは管理者がドキュメントに関連付けられたポリシーを切り替えました。

ドキュメントの発行： ​ドキュメント名とライセンスが既存のドキュメントと一致する新しいドキュメントがサーバーに登録され、それらのドキュメントには親子関係が設定されません。このイベントは、AEM Forms SDK を使用してトリガーされます。

ドキュメントの反復： ​ドキュメント名とライセンスが既存のドキュメントと一致する新しいドキュメントがサーバーに登録され、それらのドキュメントに親子関係が設定されます。このイベントは、AEM Forms SDK を使用してトリガーされます。

ポリシーイベント

ポリシーの作成： ​ユーザーまたは管理者がポリシーを作成しました。

有効なポリシー： 管理者がポリシーを有効にしました。

ポリシーの変更： ​ユーザーまたは管理者がポリシーを変更しました。

ポリシーの無効化： 管理者がポリシーを使用不可にしました。

ポリシーの削除： ​ユーザーまたは管理者がポリシーを削除しました。

ポリシー所有者の変更： API レベルからの呼び出しによってポリシー所有者が変更されました。

ユーザーイベント

ユーザーの削除： 管理者がユーザーアカウントを削除しました。

招待ユーザーを登録： 外部ユーザーが Document Security に登録します。

ログイン成功： ​管理者またはユーザーによるログインが成功しました。

ユーザーの招待： Document Security がユーザーに登録を勧めました。

ユーザーのアクティベート： 外部ユーザーがアクティベーションメール内の URL を使用して、自分のアカウントをアクティベートしたか、管理者がアカウントを有効にしました。

パスワードの変更： 招待ユーザーが自分のパスワードを変更するか、管理者がローカルユーザーのパスワードをリセットしました。

ログイン失敗： ​管理者またはユーザーによるログインが失敗しました。

ユーザーのアクティベートを解除： ​管理者がローカルユーザーアカウントを無効にしました。

プロファイルの更新： ​招待ユーザーが自分のユーザー名と組織名とパスワードを変更しました。

アカウントのロック： 管理者がアカウントをロックしました。

ポリシーセットイベント

ポリシーセットの作成： 管理者またはポリシーセットコーディネーターがポリシーセットを作成しました。

ポリシーセットの削除： ​管理者またはポリシーセットコーディネーターがポリシーセットを削除しました。

ポリシーセットの変更： ​管理者またはポリシーセットコーディネーターがポリシーセットを変更しました。

システムイベント

ディレクトリ同期の完了： この情報は、イベントページからは利用できません。現在の同期状態、最後の同期時刻など、現在のディレクトリ同期情報は、ドメインの管理ページに表示されます。管理コンソールで、ドメインの管理ページにアクセスするには、設定／User Management／ドメインの管理をクリックします。

クライアントによるオフラインアクセスの有効化： ​ユーザーが、ユーザーのコンピューター上で、サーバーに対して保護されているドキュメントへのオフラインアクセスを有効にしました。

クライアントの同期： ​クライアントアプリケーションでオフラインアクセスを許可するには、サーバーと情報を同期する必要があります。

バージョンの不一致： サーバーと互換性のないバージョンの AEM forms SDK によってサーバーへの接続が試行されました。

ディレクトリ同期情報： この情報は、イベントページからは利用できません。現在の同期状態、最後の同期時刻など、現在のディレクトリ同期情報は、ドメインの管理ページに表示されます。管理コンソールで、ドメインの管理ページにアクセスするには、設定／User Management／ドメインの管理をクリックします。

サーバー設定の変更： ​サーバー設定に対する変更が、web ページから、または config.xml ファイルを読み込むことにより手動で行われました。これには次の設定に対する変更が含まれます。ベース URL、セッションタイムアウト、ログインロックアウト、ディレクトリ設定、キーのロールオーバー、外部登録に関する SMTP サーバー設定、透かし設定、表示オプションなど。

拡張された使用方法の追跡の設定 configuring-extended-usage-tracking

Document Security では、保護されたドキュメントで実行される様々なカスタムイベントを追跡できます。イベントの追跡は、Document Security サーバーから、グローバルレベルまたはポリシーレベルで有効にできます。有効にしたら JavaScript を設定し、保護された PDF ドキュメントで実行されるボタンのクリック、ドキュメントの保存など特定のアクションを検出できます。この使用状況のデータはキーと値のペアによる XML ファイルとして送信され、このファイルを使用して詳細な分析を行うことができます。保護されたドキュメントにアクセスするエンドユーザーは、クライアントアプリケーションでこの追跡を許可または拒否できます。

追跡がグローバルレベルで有効になっている場合は、ポリシーレベルでこの設定は上書きされ、特定のポリシーで追跡を無効にすることができます。追跡がグローバルレベルで無効になっている場合は、ポリシーレベルでこの設定を上書きすることはできません。追跡されるイベントのリストは、イベント数が 25 に達したとき、またはドキュメントが閉じられたときに自動的にサーバーにプッシュされます。また、独自のスクリプトを設定して、要件に合わせてイベントリストを明示的にプッシュできます。Document Security オブジェクトのプロパティおよびメソッドにアクセスして、イベントの追跡をカスタマイズできます。

追跡を有効にした後は、その後作成されるすべてのポリシーで、デフォルトで追跡が有効になります。サーバーで追跡を有効にする前に作成されたポリシーは、手動で更新する必要があります。

拡張された使用方法の追跡の有効化と無効化 enable-or-disable-extended-usage-tracking

設定を開始する前に、サーバー監査が有効であることを確認します。監査について詳しくは、イベント監査とプライバシーの設定を参照してください。

トラッキングされたイベントの表示には、イベントページのドキュメントのイベントフィルターを使用できます。JavaScript を使用してトラッキングされたイベントには、「詳細な使用方法のトラッキング」というラベルが付与されます。イベントについて詳しくは、イベントの監視を参照してください。

ドキュメントセキュリティ表示の設定 configure-document-security-display-settings

表示設定 display-settings

検索結果に表示する行：検索の実行時にページに表示される行数です。

クライアントログインダイアログのカスタマイズ

以下の設定により、ユーザーがクライアントアプリケーションを介して、ドキュメントセキュリティにログインするときに表示されるログインプロンプトのテキストを指定できます。

ようこそテキスト：「ユーザー名とパスワードを使用してログインしてください」などの、ウェルカムメッセージのテキストです。ウェルカムメッセージのテキストには、ドキュメントセキュリティへのログイン方法と、管理者または組織内のサポート担当者への連絡方法が記載されている必要があります。例えば、外部ユーザーがパスワードを忘れた場合や、登録方法やログイン方法に関して質問がある場合は、管理者に問い合わせる必要があります。このウェルカムテキストでは最大 512 文字を使用できます。

ユーザー名テキスト： ​ユーザー名ボックスのテキストラベルです。

パスワードテキスト： ​パスワードボックスのテキストラベルです。

クライアント証明書認証ダイアログのカスタマイズ

以下の設定により、クライアント証明書認証ダイアログボックスに表示されるテキストを指定できます。

認証
タイプテキストを選択： ​ユーザーに認証タイプを選択するよう指示するために表示されるテキストです。

証明書テキストを選択： ​ユーザーに証明書タイプを選択するよう指示するテキストです。

証明書を利用できませんエラーテキスト： ​選択した証明書が使用できない場合に表示する最大 512 文字のメッセージです。

クライアント証明書表示のカスタマイズ

信頼できる資格情報発行者のみを表示： ​このオプションを選択すると、AEM Forms で信頼するように設定されている資格情報発行者からの証明書だけが、クライアントアプリケーションによってユーザーに提示されます（「証明書と資格情報の管理」を参照）。このオプションの選択を解除すると、ユーザーのシステム上の証明書すべてがユーザーに一覧表示されます。

動的な透かしの設定 configure-dynamic-watermarks

ドキュメントセキュリティを使用して、ポリシーの作成時に適用できる動的な透かしオプションのデフォルト設定を指定できます。透かし ​とは、ドキュメント内のテキストの上に重ね合わされる画像のことです。ドキュメントのコンテンツを追跡するのに効果的であり、コンテンツの不正使用を識別するのに役立ちます。

動的な透かしは、ユーザー ID、データおよびカスタムテキストなどの定義された変数で構成されるテキスト、または PDF 内のリッチコンテンツで構成できます。独自の配置および書式を持ついくつかの要素で透かしを設定できます。

透かしは編集できないので、ドキュメントコンテンツの機密を確保する上で、非常に安全な方法です。動的な透かしを使用すると、ユーザー固有の情報を透かしに表示することもできるので、ドキュメントを余分に配布しなくて済みます。

ポリシーで指定される透かしは、ポリシーで保護されたドキュメントを受信者が表示または印刷するときに、ドキュメント内に表示されます。永続的な透かしとは異なり、動的な透かしはドキュメントに保存されないので、ドキュメントをイントラネット環境にデプロイして、アプリケーションを表示するときに特定のユーザーの ID を表示する必要がある場合などに、柔軟に対応できます。また、1 つのドキュメントが複数のユーザーに対応している場合は、動的な透かしを使用すると、複数のバージョンの代わりに 1 つのドキュメントを使用し、それぞれに異なる透かしを付けることができます。表示される透かしは、現在のユーザーの ID を反映します。

動的な透かしは、ユーザーが Acrobat でドキュメントに直接追加できる透かしとは異なることに注意してください。つまり、ポリシーで保護されたドキュメントでは、2 つの透かしを使用できます。

透かしを作成する場合の考慮事項 considerations-when-creating-watermarks

いくつかの透かし要素を使用して動的な透かしを作成できます。各要素はテキストまたは PDF として指定されます。1 つの透かしに最大 5 つの要素を含めることができます。

テキストベースの透かしを選択する場合、透かし内に複数のテキストエントリを使用したいくつかの要素を指定でき、各要素の位置を指定できます。これらの要素に、ヘッダー、フッターなど、意味のある名前を割り当てます。

例えば、透かしとして、ヘッダー、フッター、余白、ドキュメント全体に異なるテキストを指定する場合、いくつかの透かし要素を作成して位置を指定します。ユーザーのユーザー ID とドキュメントにアクセスしている時点の日付をヘッダーに表示し、ポリシー名を右余白に、「機密情報」というカスタムテキストをドキュメントの対角線上に表示する場合は、テキストを使用した透かし要素をタイプごとに定義し、その書式と位置を指定します。透かしがドキュメントに適用されると、透かしのすべての要素は、透かしに追加された順番で、ドキュメントに同時に適用されます。

通常、ロゴなどのグラフィックコンテンツ、著作権情報や登録商標などの特殊記号を含めるには、PDF ベースの透かしを使用します。

ドキュメントセキュリティ設定ファイルを変更することで、透かし要素の数や PDF ファイルのサイズの制限を変更できます。透かし設定のパラメーターの変更を参照してください。

透かしを設定する場合は、次の点に注意してください。

動的な透かしの制限 limitations-of-dynamic-watermarks

クライアントアプリケーションの中には、動的な透かしをサポートしていないものがあります。詳しくは、該当する Acrobat Reader DC Extensions のヘルプを参照してください。また、動的な透かしをサポートする Acrobat のバージョンについて、次の点に注意してください。

動的な透かしのテンプレートの追加 add-a-dynamic-watermark-template

動的な透かしのテンプレートを作成できます。このテンプレートは、管理者やユーザーが作成するポリシーの設定オプションとしてそのまま使用できます。

動的な透かしのテンプレートの編集 edit-a-dynamic-watermark-template

動的な透かしのテンプレートの削除 delete-a-dynamic-watermark-template

動的な透かしは、削除すると、新しいポリシーに追加できなくなります。ただし、その透かしを使用している既存のポリシーには残り、削除された透かしを含むポリシーを編集するまで、そのポリシーで保護されているドキュメントには動的な透かしが引き続き表示されます。ポリシーが編集されると、その透かしは適用されなくなります。ポリシー上の既存の透かしが削除されていること、およびそれに代わる別の透かしを選択できることを示すメッセージが表示されます。

招待ユーザーの登録の設定 configuring-invited-user-registration

組織の外部のユーザーは Document Security に登録することができます。自分のアカウントを登録してアクティベートした招待ユーザーは、登録時に作成したメールアドレスとパスワードを使用して、Document Security にログインすることができます。登録した招待ユーザーは、権限を持つポリシー保護ドキュメントを使用することができます。

招待ユーザーは、アクティベートするとローカルユーザーになります。ローカルユーザーを設定および管理するには、招待ユーザー領域とローカルユーザー領域を使用します（招待ユーザーおよびローカルユーザーのアカウントの管理を参照）。

招待ユーザーに対して権限を許可すれば、招待ユーザーは次の Document Security 機能も使用できるようになります。

ユーザーがソース LDAP ディレクトリ内に既に存在する場合、または以前に登録を勧められたことがある場合を除いて、次のイベントが発生した際に、Document Security によって登録招待用のメールが自動的に生成されます。

登録メールには、登録ページへのリンクと登録方法に関する情報が含まれています。招待ユーザーによって登録が行われると、アクティベートページへのリンクが記載されたアクティベート用のメールが Document Security から送信されます。アカウントがアクティベートされると、アクティベートを解除するか削除するまで、そのアカウントは有効のままです。

組み込み登録を有効にした場合は、SMTP サーバー、登録メールの詳細、アクセス権限およびパスワードリセット用メールの情報を一度だけ指定します。組み込み登録を有効にする前に、User Management 内にローカルドメインを作成済みであること、および「Document Security ユーザーの招待」の役割を組織内の適切なユーザーとグループに割り当てていることを確認してください。（ローカルドメインの追加および役割の作成および設定を参照）。組み込み登録を使用しない場合は、AEM Forms SDK を使用して、独自のユーザー登録システムを作成する必要があります。詳しくは、AEM Forms によるプログラミングの「AEM Forms 向け SPI の開発」を参照してください。組み込み登録オプションを使用しない場合は、アクティベート用のメールにメッセージを設定すると共に、クライアントのログイン画面で、新しいパスワードやその他の情報について管理者に問い合わせる方法をユーザーに知らせることをお勧めします。

招待ユーザー登録の有効化と設定

招待ユーザー登録プロセスは、デフォルトでは無効になっています。必要に応じて、Document Security の招待ユーザー登録を有効または無効にすることができます。

外部ユーザーまたはグループの除外または組み入れ exclude-or-include-an-external-user-or-group

特定の外部ユーザーまたはユーザーグループに対して、Document Security での登録を制限できます。このオプションは、特定のユーザーグループにアクセスを許可する一方で、そのグループの特定の個人を除外する場合などに便利です。

次の設定は、招待ユーザーの登録ページの「メールの制限フィルター」領域で設定できます。

除外： ​除外するユーザーまたはグループのメールアドレスを入力します。複数のユーザーまたはグループを除外するには、それぞれのメールアドレスを別々の行に入力します。特定のドメインに属するすべてのユーザーを除外するには、ワイルドカードとドメイン名を入力します。例えば、example.com ドメイン内のすべてのユーザーを除外するには、*.example.com と入力します。

組み入れ： ​対象範囲に含めるユーザーまたはグループのメールアドレスを入力します。複数のユーザーまたはグループを対象範囲に含めるには、それぞれのメールアドレスを別々の行に入力します。特定のドメインに属するすべてのユーザーを対象範囲に含めるには、ワイルドカードとドメイン名を入力します。例えば、example.com ドメイン内のすべてのユーザーを対象範囲に含めるには、*.example.com と入力します。

サーバーおよび登録アカウントのパラメーター server-and-registration-account-parameters

次の設定は、招待ユーザーの登録ページの「一般設定」領域で設定できます。

SMTP ホスト： SMTP サーバーのホスト名です。SMTP サーバーでは、招待ユーザーアカウントを登録およびアクティベートするための送信メール通知が管理されます。

必要な場合は、「SMTP サーバーのアカウント名」ボックスと「SMTP サーバーのアカウントのパスワード」ボックスに必要な情報を入力して、SMTP サーバーに接続します。組織によってはこの要件を必要としない場合もあります。情報が必要な場合は、システム管理者に問い合わせてください。

SMTP サーバーのソケットクラス名： SMTP サーバーのソケットクラス名です。例えば、javax.net.ssl.SSLSocketFactory です。

メールのコンテンツタイプ： text/plain や text/html など、使用可能な MIME タイプです。

メールエンコーディング： ​メールを送信するときに使用するエンコード形式です。任意のエンコードを指定できます。例えば、Unicode の UTF-8 や Latin の ISO-8859-1 です。デフォルトは UTF-8 です。

メールアドレスのリダイレクト： ​この設定でメールアドレスを指定すると、指定されたメールアドレスに新しい招待メールが送信されます。この設定は、テストを目的とする場合に役立ちます。

ローカルドメインを使用： ​適切なドメインを選択します。新たなインストール時に、User Management を使用してドメインを作成してあることを確認します。アップグレードの場合は、アップグレード時に外部ユーザードメインが作成され、使用できます。

SMTP サーバーに SSL を使用： SMTP サーバーの SSL を有効にするには、このオプションを選択します。

登録ページにログインリンクを表示： ​招待ユーザーに対して表示される登録ページにログインリンクを表示します。

SMTP サーバーで Transport Layer Security （TLS）を有効にするには

登録招待メールの設定 registration-invitation-email-settings

招待ユーザーアカウントを作成したり、未登録の外部受信者や登録に招待されたことのない外部受信者を既存のユーザーがポリシーに追加したりすると、Document Security によって自動的に登録招待用のメールが発行されます。このメールにはリンクが含まれており、受信者はこのリンクを使用して登録ページにアクセスし、ユーザー名やパスワードなどの個人アカウント情報を入力できます。パスワードとしては、任意の 8 文字の組み合わせを使用できます。

受信者が自分のアカウントをアクティベートすると、そのユーザーはローカルユーザーになります。

次のオプションを、招待ユーザーの登録ページの「招待用のメールの設定」領域で設定できます。

送信元： ​招待メールの送信元のメールアドレスです。送信元メールアドレスのデフォルトの形式は「postmaster@[your_installation_domain].com」です。

件名： ​招待メールのデフォルトの件名です。

タイムアウト： ​外部ユーザーが登録しなかった場合に登録招待が期限切れとなる日数です。デフォルト値は 30 日です。

メッセージ： ​ユーザーに登録を勧めるメッセージの本文として表示されるテキストです。

アクティベーションメールの設定 activation-email-settings

招待ユーザーが登録を行うと、Document Security によってアクティベート用のメールが送信されます。このメールにはアカウントをアクティベートするためのページへのリンクが含まれており、ユーザーはここでアカウントをアクティベートできます。アカウントをアクティベートすると、ユーザーは登録時に作成したメールアドレスとパスワードを使用して、Document Security にログインできます。

受信者がユーザーアカウントをアクティベートすると、そのユーザーはローカルユーザーになります。

次の設定は、招待ユーザーの登録ページの「アクティベートに関するメールの設定」領域で設定できます。

送信元： ​アクティベーションメールの送信元のメールアドレスです。このメールアドレスに、登録者のメールホストから配信失敗の通知が届きます。また、受信者が登録メールアドレスへの応答として送信するメッセージも届きます。送信元メールアドレスのデフォルトの形式は「postmaster@[your_installation_domain].com」です。

件名： ​アクティベーションメールのデフォルトの件名です。

タイムアウト： ​ユーザーがアカウントをアクティベートしなかった場合にアクティベーション招待が期限切れとなる日数です。デフォルト値は 30 日です。

メッセージ： ​受信者にユーザーアカウントをアクティベートするよう求めるメッセージの本文として表示されるテキストです。それ以外の情報として、新しいパスワードを取得するために管理者に問い合わせる方法なども含めることをお勧めします。

パスワードリセットメールの設定 configure-a-password-reset-email

招待ユーザーのパスワードをリセットする必要がある場合は、そのユーザーに新しいパスワードを選択するように勧める確認のメールが生成されます。ユーザーのパスワードを特定できません。ユーザーがパスワードを忘れた場合は、リセットする必要があります。

次の設定を、招待ユーザーの登録ページの「メールパスワードをリセット」領域で指定できます。

送信元： ​パスワードリセットメールの送信元のメールアドレスです。送信元メールアドレスのデフォルトの形式は「postmaster@[your_installation_domain].com」です。

件名： ​リセットメールのデフォルトの件名です。

メッセージ： ​受信者に外部ユーザーパスワードのリセットを知らせるメッセージの本文として表示されるテキストです。

ユーザーおよびグループによるポリシー作成の有効化 enable-users-and-groups-to-create-policies

設定ページにはマイポリシーページへのリンクがあります。マイポリシーページでは、マイポリシーを作成できるエンドユーザーおよび検索結果に表示するユーザーとグループを指定できます。マイポリシーページには、2 つのタブがあります。

「ポリシーを作成」タブ： ​カスタムポリシーを作成するためのユーザー権限を設定する場合に使用します。

「表示されるユーザーとグループ」タブ： ​ユーザーの検索結果に表示するユーザーとグループを制御するために使用します。スーパーユーザーまたはポリシーセット管理者は、User Management で作成されたドメインを選択し、ポリシーセットごとに表示されるユーザーおよびグループに追加する必要があります。このリストはポリシーセットコーディネーターによって参照されるものであり、ポリシーに追加するユーザーを選択するときにポリシーセットコーディネーターが参照できるドメインを制限するために使用されます。

カスタムポリシーを作成する権限をユーザーに与える前に、個々のユーザーにどの程度のアクセスや制御を認めるかを検討します。また、検索結果にユーザーとグループを表示するにあたって、ユーザーとグループをどの程度公開するかについても検討します。

ポリシーを作成できるユーザーとグループの指定 specify-users-and-groups-who-can-create-policies

管理者として、カスタムポリシーを作成できるユーザーとグループを指定します。この権限は、ユーザーレベルおよびグループレベルで設定できます。検索機能では、User Management データベースを検索してユーザーとグループを見つけます。

選択したユーザーおよびグループに、カスタムポリシーを作成する権限が付与されます。

ユーザーまたはグループからのカスタムポリシーの作成権限の削除 remove-the-create-custom-policies-permission-from-a-user-or-group

検索結果に表示されるユーザーとグループの指定 specify-users-and-groups-that-are-visible-in-searches

ユーザーがカスタムポリシーを管理している場合、そのポリシーに追加するユーザーとグループを検索できます。どのドメインのユーザーとグループを検索結果に表示するかを指定します。

Document Security 設定ファイルの手動による編集 manually-editing-the-document-security-configuration-file

Document Security データベースに格納されている設定情報は、読み込んだり書き出したりすることができます。例えば、ステージング環境から実稼動環境へ移行する際に、設定情報のバックアップコピーを作成できます。また、このファイルを編集するように設定できる詳細オプションを編集することも可能です。

設定ファイルを使用して、次の変更を行うことができます。

ポリシーの作成および編集時の CATIA 権限の表示

オフライン同期のタイムアウト期間の指定

特定のアプリケーションに対する Document Security サービスの拒否

透かし設定のパラメーターの変更

外部リンクの無効化

設定ファイルの書き出し

設定ファイルのインポート

オフライン同期のタイムアウト期間の指定 specify-a-timeout-period-for-offline-synchronization

Document Security を使用すると、ユーザーが Document Security サーバーに接続していなくても、保護されたドキュメントを開いて使用できます。ユーザーのクライアントアプリケーションでは、ドキュメントをオフラインで使用できるように、定期的にサーバーと同期させて有効な状態を維持する必要があります。保護されたドキュメントをユーザーが初めて開くと、定期的なクライアント同期を行う権限をコンピューターに付与するかどうかが確認されます。

デフォルトでは、4 時間ごとに自動的に同期が行われ、また、ユーザーが Document Security サーバーに接続したときに必要に応じて同期が行われます。ユーザーがオフラインのときにドキュメントのオフライン期間が終了した場合、ユーザーは、クライアントアプリケーションがサーバーと同期できるようにサーバーに再接続する必要があります。

Document Security 設定ファイルでは、バックグラウンドで実行する自動同期のデフォルトの頻度を指定できます。この設定は、クライアントに独自のタイムアウト値が明示的に設定されていない限り、クライアントアプリケーションのデフォルトのタイムアウト期間になります。

特定のアプリケーションに対する Document Security サービスの拒否 denying-document-security-services-for-specific-applications

特定の条件を満たすアプリケーションに対するサービスを拒否するように Document Security を設定できます。プラットフォーム名などの 1 つの属性または複数の属性を条件に指定できます。この機能は、Document Security で処理する必要があるリクエストを制御するのに役立ちます。この機能の用途を次に示します。

クライアントアプリケーションは、Document Security への接続を確立しようとするときに、アプリケーション、バージョンおよびプラットフォーム情報を指定します。Document Security は、この情報を、Document Security 設定ファイルから取得した拒否設定と比較します。

拒否設定には、複数の拒否条件を設定できます。一連の条件の属性がすべて一致すると、リクエストを出しているアプリケーションは、Document Security サービスへのアクセスを拒否されます。

サービス拒否機能を使用するには、クライアントアプリケーションに Document Security C++ Client SDK バージョン 8.2 以降が必要です。次のアドビ製品は、Document Security サービスをリクエストするときに製品情報を提供します。

クライアントアプリケーションは、Document Security C++ Client SDK のクライアント API を使用して、Document Security のサービスをリクエストします。クライアント API リクエストには、（クライアント API にプリコンパイルされた）プラットフォームと SDK バージョン情報およびクライアントアプリケーションから取得した製品情報が含まれます。

クライアントアプリケーションまたはプラグインは、コールバック機能の実装に製品情報を提供します。アプリケーションが提供する情報は次のとおりです。

該当する情報がない場合、対応するフィールドは空白のままになります。

Adobe アプリケーションの中には、Acrobat、Adobe Reader および Acrobat Reader DC Extensions for Microsoft Office のように、Document Security サービスをリクエストするときに製品情報を含めるものがあります。

Adobe Acrobat と Adobe Reader

Acrobat または Adobe Reader は、Document Security のサービスをリクエストするときに次の製品情報を提供します。

Acrobat Reader DC Extensions for Microsoft Office

Acrobat Reader DC Extensions for Microsoft Office は、Microsoft Word、Microsoft Excel、Microsoft PowerPoint などの Microsoft Office 製品と一緒に使用するプラグインです。このプラグインは、サービスをリクエストするときに次の情報を提供します。

特定のアプリケーションに対するサービスを拒否する Document Security の設定

例

この例では、すべての Windows クライアントがアクセスを拒否されます。

 <node name="ClientVersionRules">
     <map>
         <entry key="infoURL" value="https://www.dont.use/windows.html"/>
     </map>
     <node name="Denials">
         <map/>
         <node name="Entry_1">
             <map>
                 <entry key="SDKPlatforms" value="Microsoft Windows"/>
             </map>
         </node>
     </node>
 </node>

この例では、My Application バージョン 3.0 および My Other Application バージョン 2.0 がアクセスが拒否されます。同じ拒否情報 URL が、拒否の理由に関係なく使用されます。

 <node name="ClientVersionRules">
     <map>
         <entry key="infoURL" value="https://get.a.new/version.html"/>
     </map>
     <node name="Denials">
         <map/>
         <node name="FirstDenialSettings">
             <map>
                 <entry key="AppNames" value="My Application"/>
                 <entry key="AppVersions" value="3.0"/>
             </map>
         </node>
         <node name="SecondDenialSettings">
             <map>
                 <entry key="AppNames" value="My Other Application"/>
                 <entry key="AppVersions" value="2.0"/>
             </map>
         </node>
     </node>
 </node>

この例では、Acrobat Reader DC Extensions for Microsoft Office の Microsoft PowerPoint 2007 または Microsoft PowerPoint 2010 インストール環境からのすべてのリクエストが拒否されます。

 <node name="ClientVersionRules">
     <map>
         <entry key="infoURL" value="https://get.a.new/version.html"/>
     </map>
     <node name="Denials">
         <map/>
         <node name="Entry_1">
             <map>
                 <entry key="AppFamilies" value=
     "document security Extension for Microsoft Office"/>
                 <entry key="AppNames" value= "Microsoft PowerPoint"/>
                 <entry key="AppVersions" value="2007,2010"/>
             </map>
         </node>
     </node>
 </node

透かし設定のパラメーターの変更 change-the-watermark-configuration-parameters

デフォルトで、1 つの透かしに最大 5 つの要素を指定できます。また、透かしとして使用する PDF ドキュメントの最大ファイルサイズは、100 KB に制限されています。これらのパラメーターは config.xml ファイルで変更できます。

メモ​：これらのパラメーターの変更は慎重に行う必要があります。

外部リンクの無効化 disabling-external-links

多くの Document Security ユーザーは、Right Management ユーザーインターフェイスを使用している間、www.adobe.com などの外部リンクへのアクセス権を持っていません。

次の config.xml への変更は、すべての外部リンクを Right Management ユーザーインターフェイスから無効化します。

Transport Layer Security (TLS) 用に SMTP を有効にするための設定 configuration-to-enable-smtp-for-transport-layer-security-tls

config.xml に次の変更を加えることで、TLS で招待ユーザーの登録機能が有効化されます。

Document Security ドキュメントの SOAP エンドポイントの無効化 disable-soap-endpoints-for-document-security-documents

config.xml に次の変更を加えることで、Document Security ドキュメントの SOAP エンドポイントを無効化します。

Document Security サーバーのスケーラビリティの向上 increasingscalability

デフォルトでは、オフラインでの使用のためドキュメントを同期する際は、現在のドキュメントの情報とともに、Document Security クライアントはポリシー、透かし、そのユーザーがアクセスできる他のすべてのドキュメントのライセンスおよび失効に関する更新情報を取得します。これらの更新および情報がクライアントと同期されてない場合、オフラインモードで開かれているドキュメントのポリシー、透かし、失効情報は古いままの場合があります。

クライアントに送信する情報を制限することで、Document Security サーバーのスケーラビリティを向上できます。クライアントに送信される情報量が減ることで、スケーラビリティが向上し、応答時間が減少し、サーバーのパフォーマンスも向上します。スケーラビリティを高めるには、次の手順を実行します。