カスタム IdP 認証設定
これまでも FileMaker Server では Amazon、Microsoft、Google アカウントを使った IdP 認証 ができるようになっています。
少し古いですが本ページでも Google アカウント連携を紹介しています。
OAuth を使って Google アカウントで FileMaker Cloud にログイン
最近リリースされた Claris FileMaker Server バージョン 19.4 から、「カスタム IdP 認証設定」が可能になりました。
これによりこれまでの3社に加え、たくさんの外部のサービスのアカウントとパスワードで FileMaker へのサインインができるようになります。
連携できる条件は一般的なクラウドサービスであればほとんど対応してるといえる OAuth2.0(オー オース2.0)や OpenID Connect といった規格に準拠していることなので、
一気に選択肢が増えました。
そもそもなぜ 外部サービスのアカウント を使うのか?
最近では FileMaker Server をパブリッククラウド上、
つまりどんなネットワークからも接続できる環境で使われるようになってきており、
より一層セキュリティの重要性が増しています。
FileMaker Server で公開されている FileMaker ファイルへのサインインは、
セキュリティー設定で登録したアカウントとパスワードの一致が必須で、
アカウントとパスワードを知らなければ当たり前ですが情報へはアクセスできません。
アカウントとパスワードについて FileMaker が問題なのではなく、
アカウントとパスワードを厳密に管理することが難しくなっていることが問題なんです。
たとえば社員が新たに入ったときは、様々なサービスのアカウントとパスワードを発行し、
FileMaker アカウントにいたっては各ファイルごとにアカウントとパスワードの登録が必要です。
手間がかかるのは登録のときだけでなく、パスワード変更のときや、
退職時では確実にアカウントを使えないようにすべてのサービスで漏れがないよう設定する必要があります。
どんな会社や組織でもスタッフの出入りやパスワード管理などアカウント管理が大変になってきています。
また、多要素認証はパスワードが漏れたとしてもアクセスできないようにするいまどきは当たり前の機能になってきています。
しかしFileMaker 標準機能のアカウントとパスワードの管理は多要素認証や使い回しの禁止など高度な制御ができません。
もうこの際アカウント管理は外部で一括管理したほうが便利な世の中といえると思っています。
LINE WORKS のメリット
LINE WORKS アカウントは LINE WORKS の管理者画面でアカウントの追加やパスワード発行など使いやすいUI上で設定できます。
各ユーザは多要素認証やログイン通知など高度なセキュリティ機能が利用できます。
そしてなにより 100人まで無料の フリー プランがあります。
無料とはいえ上記の管理者画面や高度なセキュリティー機能が使用できるのはもちろん、
トーク(チャット)やカレンダーなどのアプリケーションも利用できてしまいます。
LINE WORKS には最近発表された LINE WORKS API 2.0 があり、
現在は Beta となっていますが2022年春には本稼働予定となっています。
なので、無料でけっこう使えるサービスが OAuth 2.0 の機能も使えるので、
FileMaker Server へのサインインは LINE WORKSアカウントで一元管理できるようになっています。
ちなみに、LINE WORKS API 2.0 は OpenID Connect 仕様には対応していません(2022年2月現在)。
それでも LINE WORKS アカウントによる認証は「カスタム IdP 認証設定」で連携させることができます。
手順解説
おおまかな手順は次の通りです。
- LINE WORKS(フリー プランでもOK)を使えるようにして、アカウントを作成する
- LINE WORKS Developer Console で アプリ を追加する
- FileMaker Server Admin Console で カスタム IdP 認証設定 をする
- FileMaker ファイルに カスタム OAuth ユーザ を追加する
1. LINE WORKS を使えるようにして、アカウントを作成する
フリープランの申し込みは、サイト上からかんたんに行えます。
LINE WORKS の製品ページ の「無料ではじめる」ボタンから行ってください。
有料プランについては弊社からも販売可能です。
その際はぜひお問い合わせください。
2. LINE WORKS Developer Console で アプリ を追加する
アプリ といっても普通の方が想像するアプリを作るわけではありません。
OAuth2.0 を使うアプリケーションとしてFileMaker Serverとの連携に必要な設定を行います。
LINE WORKS Developer Console をブラウザで開きます。
LINE WORKS のアカウントとパスワードでログインしてください。
ログイン後、左メニューバーの「API 2.0 (beta)」を選択し、「アプリの新規追加」をクリックします。
「アプリの新規追加」ウインドウではアプリ名を入れ、「同意して利用する」をクリックします。
「アプリ情報」画面になります。
「アプリの説明」になんとなくな情報を入力します。
「Redirect URL」に 「https://接続先FileMakerServerのドメイン名/oauth/redirect」を設定して、その横の「追加」ボタンをクリックして、追加します。
次に、「Oauth Scopes」の「管理」ボタンをクリックします。
OAuth Scope の選択ウインドウでは、
「user.read」にチェックを入れて、「保存」ボタンをクリックします。
1つ前のアプリ情報画面に戻ります。
最下部の「保存」ボタンをクリックします。
これでアプリの作成は完了です。
次の設定のために「Client ID」と「Client Secret」をメモしておきます。
隣に「コピー」ボタンがあるので、クリップボードにコピーしてメモ帳などにペーストしておくと間違いが防げます。
3. FileMaker Server Admin Console で カスタム IdP 認証設定 をする
FileMaker Server Admin Console を開きます。
バージョン 19.4 からは https://接続先FileMakerServerのドメイン名/admin-console になってます。
上部の「管理」タブを開き、
左部の「外部認証」タブを開きます。
中段の「カスタム IdP 認証設定」の「変更 v」をクリックし、
次の値を設定します。
- 「カスタム Idp 名」は、「LINEWORKS」と入れます。本当なら半角スペースを入れたいところですが、半角スペースや記号は認められないようです
- 「クライアント ID」は、手順2の最後にメモしておいた「Client ID」の値を入れます
- 「クライアントシークレット」も、手順2の最後にメモしておいた「Client Secret」の値を入れます
- 「認証コードエンドポイント」は、「auth.worksmobile.com/oauth2/v2.0/authorize」を入れることで、https://から始まる設定値になります
- 「認証トークンエンドポイント」は、「auth.worksmobile.com/oauth2/v2.0/token」を入れることで、https://から始まる設定値になります
- 「認証プロファイルエンドポイント」は、「www.worksapis.com/v1.0/users/me」を入れることで、https://から始まる設定値になります
- 「カスタム IdP アイコンエンドポイント」は、アイコン画像をみなさまの Webサーバー に置いてその URL を入れてください。テストだけなら「https://kotovuki.co.jp/Direct/IdPLogo/LINE_WORKS.png」を一時的に使ってください。
- 「カスタム IdP ユーザアカウントスキーマ」は「email」を入れます
- 「カスタム IdP ユーザグループスキーマ」は空欄のままです
- 「範囲」には「user.read」を入れます。ちなみに範囲という表記は意訳しすぎで本来ならScopesやスコープと表記されるはずです。いつか表記修正されているかもしれません。
- ラジオボタンは「OAuth 2.0」を選択します
- 「認証設定を保存」をクリックします
「アイデンティティプロバイダを検証」ボタンをクリックします。
そうするとブラウザが開いて、「Success! Your customized OAuth IDP is verified.」と出ていれば、
ここまでの設定は合っています。
そして最後に下部の「データベースにサインイン」の「外部サーバーアカウント」と「LINEWORKS」の2つをクリックしてオンの状態にします。
4. FileMaker ファイルに カスタム OAuth ユーザ を追加する
LINE WORKS アカウントでサインインさせる FileMaker ファイルを完全アクセス権で開きます。
もしくは、「完全アクセスのないアカウントを管理」が有効なアクセス権セットをもつアカウントで開きます。
もうすでに普通に開こうとすると LINE WORKS ボタンしか見えない状態になっていると思います。
次の「この設定後でも通常の FileMaker アカウントでサインインしたいとき」の章に記載の方法で、
ファイルを開き、これまで使っていた FileMaker アカウントとパスワードでサインインしてください。
メニューの ファイル ー 管理 ー セキュリティ を選択し、
セキュリティの管理ウインドウを開きます。
認証方法のポップアップメニューで「カスタム OAuth」を選択します。
左下の「+新規」をクリックし、
「グループまたはユーザ」が「ユーザ」になっていることを確認し、
「ユーザ名」のところに LINE WORKS アカウント( LINE WORKS の利用者や管理者画面では「ID」と言われています) を入力し、
「アクセス権セット」で適切なアクセス権セットを選択します。
連続してアカウントを追加する場合は、左下の「+新規」をクリックして続けてください。
設定が終わったら右下の「OK」をクリックします。
以上で このFileMaker ファイルへの アカウントの登録が完了しました。
これ以外にも同じ FileMaker Server にある LINE WORKS アカウントでサインインが必要なファイルには、
同様の手順で「カスタム OAuth」のアカウントを追加する必要があります。
この設定後でも通常の FileMaker アカウントでサインインしたいとき
3. のFileMaker Server Admin Console の設定により、
4. の各ファイルの設定に関わらず、
その FileMaker Server のファイルへのアクセスは普通に開くと LINE WORKS アカウントのサインインしかないダイアログがでるようになります。
これまで設定して使用していた通常の FileMaker アカウントでのサインインが無効になるわけではありませんのでご安心ください。OSによって次の方法で FileMaker アカウントとパスワードを入力するダイアログを出すことができます。
- Windows OS の FileMaker Pro の場合は、「Shiftキー」を押したままファイルを開く
- MacOS の FileMaker Pro の場合は、「optionキー」を押したままファイルを開く
- iOS の FileMaker Go の場合は、ファイル選択画面でタップではなく長押しをすると、その上部にでる「サインイン」メニューをタップする
またこのような操作を行わず、
これまでの FileMaker アカウントの入力と、LINE WROKS の カスタム OAuth の両方を常に出したい場合、
FileMaker ファイルの「ファイルオプション」で「OAuth/AD FS が有効な場合でもサインインフィールドを表示」にチェックを入れます。
これで特別な操作を行わなくても常にどちらでもサインインできるようになります。
運用
新しいスタッフが入ったときは、
LINE WORKSにアカウントを作成し、
「4. FileMaker ファイルに カスタム OAuth ユーザ を追加する」の方法で追加します。
パスワードを変更したいとき、
これまでの手順でも各アカウントのパスワードを設定していないことでもおわかりの通り、
LINE WORKS の管理者画面からパスワード変更の操作を行うだけで、
FileMaker側はなにもする必要はありません。
FileMaker ファイルでのアクセス権セットを変更したいとき、
これまでと同様な操作でアクセス権セットのポップアップメニューから他のアクセス権セットを選ぶだけです。
スタッフが退社したときなど、FileMaker へはサインインさせたくないときは、
LINE WORKS の管理者画面でアカウントを削除したり、削除までしなくても「一時停止」することで、
LINE WORKS にログインできない、と同時に FileMaker へサインインできなくなります。
つまり、FileMaker ファイルに LINE WORKS アカウントが残っていたとしても FileMaker へサインインできなくなります。
つまり急いでFileMaker の カスタム OAuth アカウントを 削除する必要はありません。
それでも次の新人が同姓同名で全く同じLINE WORKSアカウントが発行されるかもしれませんので、
不要なアカウント情報は削除した方がいいでしょう。
LINE WORKSのアカウント作成の命名規則として二度と同じアカウント名が振り出されないように入社年とかをアカウント名につけている会社さんも聞いたことがありますので運用のご参考までに。
さいごに
高セキュアにもかかわらず、
LINE WORKS にログインしてからあまり時間が経っていない場合は、
FileMaker ファイルの起動時に LINE WORKS のアカウントとパスワードを入れることもなく、
かんたんにログインできるようになります。
一度なれたらもう後に戻りたくなくなります。
重ねて、有料プランについては弊社からも販売可能です。
その際はぜひお問い合わせください。