OAuth を使って Google アカウントで FileMaker Cloud にログイン

本記事は 2019年までの旧型の Claris FileMaker Cloud に関する記事です。

2024年現在、FileMaker Cloud は Microsoft Entra ID か Okta、FileMaker Server は Google はもちろん一般的な OAuth2.0 認可コードフロー(Authorization Code Grant)を使ってサインイン可能です。

LINE WORKS アカウントで Claris FileMaker Server にサインインする(カスタム IdP 認証設定)

Microsoft Azure Active Directory(Azure AD)による IdP 認証で Claris FileMaker Server にサインインする


Google アカウントでログインするメリット

利用者人数が多い FileMaker カスタムApp を使用するとき、パスワードがわからなくなった、あの人は退職した、来月から新人が入ってくるなど、FileMaker標準のアカウント管理だけでは大変です。
あなたの会社が G Suite を利用していて Google アカウントを持っていれば、そのアカウントを利用することが出来ます。
実際は、Google と FileMaker の両方に一致するアカウント名を設定する必要があるので、登録の手間が劇的に楽になることはありませんが、

・FileMaker側はパスワードの管理が不要
・Googleの2段階認証による高いセキュリティーを利用可能

になるのが大きなメリットです。
パスワード漏洩リスクから開放されますし、
ワンタイムパスワードやアプリ認証などGoogleの高度な2段階認証をそのまま使うことができます。

設定手順

FileMaker Cloud Admin ConsoleからGoogle API Consoleを開く

FileMaker Cloud Admin Consoleを開きます。
「Configuration」タブをクリック、「Client Authentication」をクリック、「Google」の「Settings」をクリック、「Google API Console」をクリックします。ちなみに、この方法で入らなくても、慣れている方は直接Google API Consoleに入っても何ら問題ありません。
またここでグレーアウトで表示されている「https://***.fmi.filemaker-cloud.com/oauth/redirect」はこの後Google API Consoleで設定する値ですので控えておいてください。

Google API Consoleでプロジェクトを作成する

初めてGoogle API Consoleに入った方は利用規約に承諾する必要があります。

次に、左上の「プロジェクトの選択」をクリックします。

サブウインドウの右上の「新しいプロジェクト」をクリックします。

「プロジェクト名」に自分がわかりやすい名前をつけ、「作成」をクリックします。

Google API Consoleで OAuth 同意画面を設定する

先程は「プロジェクトの選択」だった場所が、今設定したプロジェクト名になっていることを確認します。
次に「認証情報」をクリック、「OAuth 同意画面」タブをクリックし、「アプリケーション名」に名称を入力します。

下にスクロールし、「承認済みドメイン」にドメイン名を入力し、Enterキーを押して追加し、「保存」をクリックします。FileMaker Cloudの標準ドメイン *****.fmi.filemaker-cloud.com の場合のドメインは 「filemaker-cloud.com」になります。

Google API Consoleで OAuth クライアント IDを設定する

「認証情報」タブをクリック、「認証情報を作成」をクリック、「OAuth クライアント ID」をクリックします。

「ウェブアプリケーション」をクリック、「名前」に適当な名称を入力、「承認済みのリダイレクト URI」には一番最初FileMaker Cloud Admin Consoleで控えておいたアドレス(例ではhttps://***.fmi.filemaker-cloud.com/oauth/redirect)を入力、Enterキーを押して追加し、「作成」をクリックします。

これでGoogle API Consoleの設定は完了です。表示された「クライアント ID」と「クライアント シークレット」を控えておいてください。ちなみにこの値は後からでも確認することが出来ます。

 

 

FileMaker Cloud Admin Consoleに設定する

Google API Consoleで控えておいた値をそれぞれ「Google Client ID」と「Google Client Secret」に設定し、「Save identity Provider」をクリックします。

ファイルごとのアカウント設定にGoogle アカウントを登録する

これまでの設定でFileMaker CloudとGoogleのOAuthのAPIと連携ができる設定が完了しました。すでにFileMaker Cloudで公開中のファイルにアクセスするとGoogleでログインできそうなボタンが追加されているのがわかります。

しかし、Googleのアカウントを持ってさえいれば誰でもファイルを開くことが出来るわけではありません。各ファイルに登録してあるGoogle アカウントと一致しないとファイルを開くことが出来ません。

FileMaker ファイルを完全アクセス権で開き、「ファイル」ー「管理」ー「セキュリティ…」をクリックします。「アカウント」タブをクリック、「新規…」をクリックします。

「アカウントの認証方法:」をクリックして「Google」をクリックします。「ユーザ名:」にGoogle アカウントを入力、「アクセス権セット:」で適切なアクセス権セットを選択、「OK」をクリックします。その後「OK」を何度かクリックしてセキュリティーウインドウを閉じます。

最後に

FileMaker ファイルのセキュリティーウインドウでGoogleアカウントを一つ一つ登録するのはとても面倒です。アカウントの登録・削除はスクリプトでもできますので、大量のアカウント情報を設定する場合はそのようなスクリプトを作成されるとよいでしょう。

常時インターネット上に公開されているFileMaker Cloudではセキュリティー対策が特に重要で、その中で一番大切なのはパスワードの管理です。漏れてもいけないし、簡単に当てられるものや総当たりで当てられるものもいけませんが、利便性とのトレードオフなのでなかなか解決しません。
何度もいいますがGoogleをはじめとする2段階認証はそのような課題に対して強力な防衛手段になりますので特におすすめします。

注意点があります。ユーザーがGoogle アカウントで1度ログインに成功すると2回目以降パスワードの入力をすることなくログイン出来てしまいます。便利ではありますが、1台のPCを複数人で利用されていると誰でもそのPCから別の人のアカウント情報でログインできてしまいます。

【 開発者募集中 】
弊社では FileMaker を使った高度な技術力で、モバイルデバイスのビジネス利用を楽しく発展させていく仲間を随時募集しています。詳しくは採用ページをご覧ください。