外部認証プロバイダを使用する
このセクションは開発者やIT管理者などのITユーザーの認証にのみ適用されます。
エンドユーザー(OutSystemsアプリケーションのユーザー)の認証はUsersアプリケーションで構成します。
OutSystemsでは、ITユーザー(開発者、テスター、オペレーター)を管理することが可能です。デフォルトでは、こうしたユーザーがOutSystemsにアクセスする場合、認証にはビルトインの認証メカニズムが使用されます。
通常は、複数あるシステムのすべてで認証に使用できるアカウント1つのみをユーザーに付与することが望まれます。OutSystemsでは、ITユーザーの認証に任意の認証プロバイダを使用することが可能なため、これが可能です。
あらゆる面でのセキュリティを確保するために、インフラを管理する権限のあるITユーザーのみが、こうした変更を行うことを許可されています。
注記: オンプレミスのインフラで利用できるAD外部認証のプラグインは、クラウド環境とは互換性がありません。そのため、PaaSのインフラでは構成できません。
OutSystemsのITユーザー認証方法
ITユーザーからアクセス試行があった場合、OutSystemは認証方法の構成を確認します。
-
ビルトイン認証を使用する構成の場合、プラットフォームはユーザーから送信された資格情報を検証します。
-
外部認証プロバイダを使用する構成の場合、プラットフォームは指定されているプラグインに認証を委任します。資格情報の検証および一意のユーザー識別子の返却は、プラグインが行います。この一意のユーザー識別子が、認証されたユーザーをOutSystemsのITユーザーにマッピングします。
認証プロバイダを変更する
認証プロバイダを変更するには、以下の手順を実行します。
- ユーザーを外部システムからプラットフォームにマッピングします。
- 新しい認証方法を選択します。
- インフラ管理コンソール(LifeTime)環境で、プロバイダを構成します。
- 構成の設定をテストして、他のすべての環境に反映させます。
- すべての環境でプロバイダをテストして、変更を適用します。
この例では、プラットフォームがITユーザーをアクティブディレクトリ経由で認証するように変更します。
外部システムからOutSystemsにユーザーをマッピングする
認証プロバイダを変更する前に、外部のディレクトリサービスに存在するそれぞれのITユーザーに、対応するOutSystemsのユーザーがあることを確認する必要があります。
インフラ管理コンソールを使用してITユーザーを手動で作成するか、「LifeTimeサービスAPI」を使用します。
OutSystemsで新しいITユーザーを作成する場合、ユーザーのパスワードを指定する必要があります。ただし外部の認証プロバイダを使用するため、このパスワードは認証プロセスでは使用されません。そのため、OutSystemsのユーザーの作成時にはダミーのパスワードを使用してもかまいません。
認証プラグインを変更する
認証方法を変更するには、インフラ管理コンソールで、[User Management]の下の[Authentication Mode]を選択します。
初期設定では、プラットフォームにはAD(アクティブディレクトリ)およびLDAP認証プロバイダが表示されます。
外部の認証プロバイダを選択するには、以下の手順を実行します。
-
左側の一覧から、希望する認証プロバイダを選択します。
上記の例では、AD認証プロバイダ(
ADAuthProvider
)を選択しています。 -
下記のセクションに従って構成を進め、選択したプロバイダをテストします。
新しいプロバイダの設定が完了すると、ITユーザーが特定の環境に接続した場合、認証プロバイダがその環境でのユーザーの認証を行います。
認証プラグインを構成する
AD認証プロバイダを選択してからプロバイダを構成します。まず1つの環境で構成の値を設定してから、その構成値を他の環境に反映させる必要があります。
構成を開始するには、以下の手順を実行します。
-
[Configuring]リンクをクリックします。インフラ管理コンソール環境で、認証プロバイダの構成画面が開きます。
この例では、アクティブディレクトリのドメインは
OUTSYSTEMS
に設定されていました。 -
必要なデータを入力し、[Save Configuration]ボタンをクリックします。
-
現在のプロバイダ構成ページを閉じて、[Authentication Mode]ページに戻ります。
構成の設定をテストして反映させる
必要な構成の設定をすべて定義した後、他の環境に反映する前に、現在の設定がインフラ管理コンソール環境で有効かどうかをテストします。
-
[Test in LifeTime]リンクをクリックします。インフラ管理コンソールの環境で、プラグインが適切に構成されているかどうか、またITユーザーを正しく認証できるかどうかのテストが実行されます。
-
このテストの実行が成功した場合、[Propagate]リンクをクリックして、構成の設定をインフラのすべての環境に反映させます。
変更をすべての環境に反映させる段階でエラーが発生した場合、使用しているプラグインのバージョンが、新しい構成APIメソッドに未対応である可能性があります。
この場合、以下の構成のページを開いて各環境を個別に構成する必要があります。
http://<環境サーバーアドレス>/<認証プロバイダ名>
この例では、2つの環境(DevelopmentおよびProduction)を持つインフラを想定しています。以下の2つのURLを開いて、各環境に構成の値を適用する必要があります。
http://dev-server.example.com/ADAuthProvider
http://prd-server.example.com/ADAuthProvider
次の手順に進むには、[Skip this step]リンクをクリックします。
-
[Test it in all environments]リンクをクリックして、プラグインをインフラのすべての環境でテストします。
-
テストがすべて成功した場合、[Apply configurations]リンクをクリックして、構成をすべての環境に適用します。
これにより、OutSystemsにログインしているすべてのユーザーは、アクティブディレクトリの資格情報を使用して再度ログインすること必要になりります。
認証プロバイダを入手またはカスタマイズする
OutSystemsにデフォルトで含まれている認証プロバイダが要件に合わない場合、随時カスタマイズすることができます。
これらのプロバイダはSystem Componentsアプリケーションの一部として含まれているアプリケーションモジュールであり、環境管理コンソールでダウンロードが可能です。認証プロバイダプラグインの開発方法をご覧ください。またコミュニティが開発した認証プロバイダをOutSystems Forgesで検索することも可能です。
認証プロバイダはインフラのセキュリティを損なう可能性があります。Forgeからダウンロードした認証プロバイダの作者とその実装を、使用する前に必ず検証してください。