「HTTPS トンネリング機能」とは
2023年11月に Claris FileMaker のバージョン 20.3 がリリースされました。
HTTPS トンネリング機能(プレビュー)が追加され、個人的には一番の目玉新機能だと思っています。
これまで Claris FileMaker Pro や Claris FileMaker Go が、Claris FileMaker Server と通信するときに、
5003 番ポートを使用した独自の FileMaker プロトコルを使用していました。
今回の 20.3 では FileMaker Pro で従来の 5003 番ポートか、443 番ポートを使うか切り替えできるようになり、
FileMaker Server では従来の 5003 番ポートに加えて、443番ポートを使うかオン/オフできるようになりました。
この機能が必要になる背景
5003 番ポートを使うことが原因で社内ネットワークから社外の FileMaker Server へアクセスできないネットワーク環境がありました。
大手のユーザーでは社内ネットワークからインターネットアクセスをガチガチに管理している環境であることが多く、
FileMaker Pro の導入を諦め、Webブラウザを使った FileMaker WebDirect のみを使用するなどで回避する必要がありました。
また、クラウド上のサーバー側でも高いセキュリティーや可用性が求められるようになっています。
サーバーまわりのロードバランサーやさまざまな攻撃に対処する WAF の設置などを義務付けする社内ポリシーが増えています。
それらの機能の多くは、443番ポートを使った https 通信が前提になっており FileMaker Server を保護するためには使えないため、
「社内ポリシーに違反するため設置はできない」なんてこともありました。
「HTTPS トンネリング機能」詳解
バージョン 20.3 における各環境での状況
- FileMaker Pro:HTTPS トンネリング機能 のオン/オフ の切り替えが可能。443 / 5003 両方を使用することはできない。
- FileMaker Go:本機能は無し。ただし将来のバージョンで使えるようになると言われています。
- FileMaker Server:Ubuntu OS 22.04 (AMD/ARM) で HTTPS トンネリング機能 のオン/オフ が可能。オン:443 と 5003 両方、オフ:5003 のみ にできる。Windows、macOS は将来のバージョンで使えるようになると言われています。
- FileMaker Cloud:2023年11月現在でバージョンは 2.20.1.303 なので本機能は無し。おそらく 2.20.3 あたりで追加されてくるのではないかと予想されます
- FileMaker WebDirect、FileMaker Data API/OData API/Admin API:もともと https 443番ポート通信なので、本機能追加がなくても通信できていたはずです。
FileMaker Pro が HTTPS トンネリング機能 をオンにすることで可能になる通信経路
- FileMaker Pro が FileMaker Server と接続する最初から、https 443番ポートを使った通信を開始します。
- もしプロキシサーバーの設定がある場合は、そのプロキシサーバー設定を経由して通信します。
プロキシサーバーが無いネットワークでは当然プロキシに関する設定は不要です。 - FileMaker Server と接続が確立後、内部的には httpsプロトコルを WebSocket 接続である wss プロトコルへアップグレードします。これにより FileMaker 特有の「ユーザがレコード内容を編集し確定すると、他のネットワークユーザは再読込しなくてもレコード内容が更新される」キャッシュフラッシュができるようになると思われます。
ガチガチの社内ネットワークでも接続できるようにする、設定とネットワーク管理者に確認すべきこと
- まずお忘れなく、今は FileMaker Server 20.3 で OS バージョンは Ubuntu 22.04 の AMD 版か ARM 版だけです。
- HTTPS トンネリング機能 をオンにする。
- FileMaker Pro の環境設定で手動で設定するか、インストール時点で Assisted Install.txt ファイルへ設定する。
- FileMaker Server Admin Console を開き、構成 – FileMaker クライアント – ネットワーキング – HTTPS トンネリング のトグルをオンにする。
- FileMaker Server に SSL 証明書の適切な設定をした上で、FileMaker Pro から FQDN (ドメイン)名を使って接続する。この機能は IP アドレスを使った通信ではうまく動作しません。
- 社内ネットワークからブラウザを使ってインターネットアクセスが可能なパソコンとネットワーク環境
- プロキシの設定は、FileMaker Pro に設定する必要はなく、OS のネットワーク設定に入っていれば FileMaker Pro はそれを使用してくれます。ちなみに、
- OSのネットワーク設定に入っているプロキシ設定は、FileMaker Pro 内の Web ビューアも自動的に読み込んでくれますので特別な設定不要です。
- 「URL から挿入」スクリプトステップを使った curl 通信は、OSのネットワーク設定に入っているプロキシ設定を読み込んでくれません。「–proxy」オプションなどを curl オプションに追加することで通信可能です。
- https 443 番ポートを使って通信できる環境。Edge や Safari などのブラウザでインターネットができない環境だったら、ネットワーク管理者に相談してください。
- ちなみに本機能はまさに 443 番ポートしか使用しませんので、サーバー側は 80、5003、16000 番ポートなど、これまで必要とされていたポートを開ける必要がありません。
- プロキシの設定は、FileMaker Pro に設定する必要はなく、OS のネットワーク設定に入っていれば FileMaker Pro はそれを使用してくれます。ちなみに、
- wss プロトコルへアップグレードを禁止しない。もし上記までの状況がOKでも FileMaker Pro が FileMaker Server に接続できない場合は、ネットワーク管理者に wss プロトコルの使用許可を確認してみてください。
- FileMaker Server と接続した状態で、Get(ネットワークプロトコル) の結果が「HTTPS」と表示されれば成功です。もし「TCP/IP」と表示されていれば従来の 5003 番ポートを使った通信経路で接続されています。
弊社検証結果
弊社で次のような環境で HTTPS トンネリング機能を検証し接続できることを確認しています。
ガチガチパターン
社内LAN の FileMaker Pro
|
社内プロキシ1
|
社内プロキシ2
||
インターネット
||
WAF
|
HTTPS ロードバランサ(リバースプロキシ)
|
FileMaker Server
あるあるパターン
社内LAN の FileMaker Pro
||
インターネット
||
FileMaker Server
いずれのパターンも 443 番ポートのみを使って FileMaker Server と通信できました。
さいごに
昔から根強く要望が上がっていたこの機能がようやく実現して嬉しい限りです。
英語ですけど、公式の解説ページもありました。
Using HTTPS tunneling between FileMaker Pro and FileMaker Server
その他の 20.3 新機能について、Youtube で概要説明や、リリースノートのURLを貼っておきます。
(宣伝)
弊社では KBSクラウド という名称で、
FileMaker Server を Google Cloud 上で管理するサービスを提供中です。
無料トライアルも可能ですので、ご興味あればお問い合わせページからお問い合わせください。