HTTPリクエストを保護する
HTTPリクエストのセキュリティレベルを上げることで、Webアプリケーションのセキュリティを向上させることができます。HTTPリクエストのセキュリティレベルは、以下の要素で構成できます。
- UIフロー(指定された値はフロー内のすべてのWeb画面のデフォルト値になります)
- Web画面
- 公開SOAP Webサービス
- 公開REST API
HTTPリクエストはリアクティブおよびモバイルアプリでは常にセキュアであるため、モバイルの場合はこの構成が適用されません。
これらの要素のHTTPセキュリティレベルを構成するには、HTTP Securityプロパティを希望する値に設定します。以下のタイプのHTTPセキュリティが使用可能です。
None
SSL/TLS
: HTTPSプロトコルがリクエストに使用されます。クライアント証明書は使用可能ですが、必須ではありません。クライアント証明書を使用したSSL/TLS
: HTTPSプロトコルがリクエストに使用されます。クライアント証明書が必須です。このオプションは、REST APIには適用できず、OutSystems Cloudではサポートされていません。
明示的なセキュアリクエスト(https://
で始まるリクエスト)を使用してアプリケーションにアクセスした場合、OutSystemsは非セキュアな要素を操作している場合もセキュアなプロトコルを維持します。
設計の際にアプリケーションで定義したセキュリティレベルは、ITマネージャーや管理者により上書きされる可能性があります。環境にインストールされ実行されているアプリケーションのHTTPSセキュリティの強制が可能であるためです。
クライアント証明書アクション
OutSystemsをオンプレミス環境にインストールしている場合、クライアント証明書を使用すると以下のシステムアクションを使用できます。
- ClientCertificateGetDetails: 現在のクライアント証明書の情報を返します。
- ClientCertificateValue: 現在のクライアント証明書の特定のプロパティの値を返します。