HTTPSセキュリティを適用する
OutSystemsでは、アプリケーションで使用するHTTPのセキュリティを、開発者が設計時に決定することができます。これは、HTTPとHTTPSで利用可能な「ページと連携を定義する」ことで実現できます。
ITマネージャーや管理者は、インストール済みで実行中のアプリケーションのHTTPセキュリティを上書きして有効にすることができます。環境全体に適用して実行中のすべてのアプリケーションに反映させることも、アプリケーションごとに適用することも可能です。
以下のセキュリティ設定が構成可能です。
- Enable HTTP Strict Transport Security (HSTS)
- このオプションは環境に対してのみ使用できます。すべての画面をHTTPSでクライアントに提供する場合に使用します。有効化すると、HTTPページのリクエストはすべてHTTPSにリダイレクトされます。このオプションを有効にした場合、すべてのWebフロー、Web画面のセキュリティ構成、すべてのアプリケーションの[Force HTTPS for screens]アプリケーション設定が上書きされます。
- Force HTTPS for screens in Web Applications
- Webアプリケーション(または選択したアプリケーション)のすべての画面でHTTPSを使用する場合に使用します。有効化すると、HTTPページのリクエストはすべてHTTPSにリダイレクトされます。このオプションを有効にした場合、すべてのWebのフローおよびWeb画面のセキュリティの定義が上書きされます。
- Force HTTPS for exposed integrations in Web Applications
- Webアプリケーション(または選択したアプリケーション)の公開SOAPおよびREST連携を、すべてHTTPSリクエスト経由でのみ提供する場合に使用します。このオプションを有効にした場合、アプリケーションモジュールで公開しているすべての連携のセキュリティ定義が上書きされます。
注記:
-
上記のすべての構成は、環境に有効なSSL証明書がインストールされている場合のみ機能します。
-
HTTPSを使用する場合、SSL証明書のコモンネーム(CN)またはSubject Alternative Name(SAN)と合致しているホスト名を使用して環境(管理コンソール、Webアプリケーション、連携エンドポイント)に必ずアクセスするようにします。異なるホスト名または単なるIPアドレスを使用すると、エラーやセキュリティに関する警告が表示されます。
-
上記の設定にかかわらず、モバイルアプリ(ネイティブビルドまたはPWAとして配布されたもの)およびリアクティブWebアプリでのHTTPリクエストは、すべてHTTPSで実行されます。
環境にセキュアな接続を構成する
インフラ管理コンソール(LifeTime)で以下の手順を実行します。
- [Environments]セクションを選択して、すべての環境を表示します。
- 構成する環境を選択してクリックします。
- ページの下部セクションの[More Security Settings]をクリックします。
- セキュリティ設定を構成します。
LifeTimeをインストールしていない場合、管理コンソール(Service Center)を使用して、環境ごとにセキュアな接続を構成します。
- [Administration]セクションで、[Security]オプションを選択します。
- セキュリティ設定を構成します。
単一のアプリケーションにセキュアな接続を構成する
インフラ管理コンソール(LifeTime)で以下の手順を実行します。
- [Applications]セクションを選択して、設定するアプリケーションを選択します。
- [Security Settings]オプションを選択します。
- ドロップダウンリストで、セキュリティの設定を適用する環境を選択します。
- セキュリティ設定を構成します。
LifeTimeをインストールしていない場合、環境管理コンソール(Service Center)を使用して、単一のアプリケーションにセキュアな接続を構成します。
- [Factory]セクションを選択しアプリケーションを選択します。
- [Security]タブを選択します。
- セキュリティ設定を構成します。