HTTPSセキュリティを適用する

OutSystemsでは、アプリケーションで使用するHTTPのセキュリティを、開発者が設計時に決定することができます。これは、HTTPとHTTPSで利用可能な「ページと連携を定義する」ことで実現できます。

ITマネージャーや管理者は、インストール済みで実行中のアプリケーションのHTTPセキュリティを上書きして有効にすることができます。環境全体に適用して実行中のすべてのアプリケーションに反映させることも、アプリケーションごとに適用することも可能です。

以下のセキュリティ設定が構成可能です。

Enable HTTP Strict Transport Security (HSTS)

このオプションは環境に対してのみ使用できます。すべての画面をHTTPSでクライアントに提供する場合に使用します。有効化すると、HTTPページのリクエストはすべてHTTPSにリダイレクトされます。このオプションを有効にした場合、すべてのWebフロー、Web画面のセキュリティ構成、すべてのアプリケーションの［Force HTTPS for screens］アプリケーション設定が上書きされます。

Force HTTPS for screens in Web Applications

Webアプリケーション（または選択したアプリケーション）のすべての画面でHTTPSを使用する場合に使用します。有効化すると、HTTPページのリクエストはすべてHTTPSにリダイレクトされます。このオプションを有効にした場合、すべてのWebのフローおよびWeb画面のセキュリティの定義が上書きされます。

Force HTTPS for exposed integrations in Web Applications

Webアプリケーション（または選択したアプリケーション）の公開SOAPおよびREST連携を、すべてHTTPSリクエスト経由でのみ提供する場合に使用します。このオプションを有効にした場合、アプリケーションモジュールで公開しているすべての連携のセキュリティ定義が上書きされます。

注記:

• 上記のすべての構成は、環境に有効なSSL証明書がインストールされている場合のみ機能します。

• HTTPSを使用する場合、SSL証明書のコモンネーム（CN）またはSubject Alternative Name（SAN）と合致しているホスト名を使用して環境（管理コンソール、Webアプリケーション、連携エンドポイント）に必ずアクセスするようにします。異なるホスト名または単なるIPアドレスを使用すると、エラーやセキュリティに関する警告が表示されます。

• 上記の設定にかかわらず、モバイルアプリ（ネイティブビルドまたはPWAとして配布されたもの）およびリアクティブWebアプリでのHTTPリクエストは、すべてHTTPSで実行されます。