5. アクセス制御とID管理
OutSystemsのIDサービスは主に認証と認可を処理します。認証ではユーザーのIDを検証するのに対し、認可ではユーザーがアクセスできる範囲を確認します。OutSystemsでは、開発プロセスに携わる開発者、DevOpsエンジニア、アーキテクトだけでなく、開発したアプリケーションのユーザーにも組織権限が付与されます。
目次
アクセス制御
OutSystemsのアクセス制御には、アプリケーションの様々なセクションへのユーザーのアクセスを制御・管理するメカニズムやプラクティスが関係しています。これにより、システム内でのそれぞれのロールや役割に応じて適切な権限をユーザーに付与できます。OutSystemsのアクセス制御の仕組みは以下のとおりです。
- ユーザーロールと権限: 管理者、マネージャー、一般ユーザーといった様々なユーザーロールを定義できます。ロールは、関連付ける権限に応じて柔軟に設定できます。各ロールは特定の権限に対応しており、そのロールのユーザーがアクセスできるアクションやデータを規定します。権限とは、読み取り、書き込み、作成、削除、実行といったアクションの範囲のことです。
- アプリケーションレベルのアクセス権: アプリケーションレベルでアクセス制御を設定することも可能です。この仕組みを活用すると、アプリケーションの特定のモジュールへのアクセスをどのロールに許可するかを指定できます。たとえば、ユーザー管理モジュールに管理者のみがアクセスできるようにするといったことが可能です。
- 画面レベルのアクセス権: 特定の画面へのアクセスを制御すると、アプリケーションのアクセス制御を強化できます。特定のユーザーロールに対してアプリケーションのあるセクションの操作を許可したい場合には、これが役立ちます。
- データレベルのアクセス権: データ中心のセキュリティでは、特定のデータレコードの表示権限や変更権限を管理できます。これはデータのプライバシーやセキュリティを保護する際に重要です。ユーザーロールや特定の条件に基づいて、アクセス制御ルールを設定できます。
- ユーザー認証との連携: OutSystemsは、シングルサインオン(SSO)やカスタム認証プロバイダをはじめとする様々な認証メカニズムとシームレスに連携することができます。これにより、アプリケーションへのアクセス権を権限のあるユーザーのみに確実に付与できます。
シングルサインオン
OutSystemsのシングルサインオン(SSO)機能を使用すると、様々なアプリケーションへのログインを簡単に統合することが可能になります。ユーザーは追加でログインを行うことなく、アプリケーション間をシームレスに移動できます。
外部IDプロバイダとの連携
OutSystemsプラットフォームには任意の外部IDプロバイダ(IdP)との連携機能が組み込まれています。ユーザー管理や認証を複数のシステムに分散させず1つのシステムに統合できるため、ユーザー管理を効率よく行うことができます。一元化されたユーザー管理とIDシステムを使用することで、パスワードの複雑さ、パスワードの有効期限、MFA、物理トークンなどの不可欠なIDメカニズムを構成できます。これにより、ユーザーの認証先にかかわらず同じメカニズムやガバナンスルールを適用することが可能です。
OutSystemsプラットフォームは、Microsoft Entra ID、Okta、Ping、ForgeRockのほか、SAML 2.0やOpenID Connect(OIDC)をサポートする主要なIDプロバイダとネイティブに連携します。また、コネクタを使用すると、認証コードやOTPなどの一般的なメカニズムを使用するMFAを実装できます。メカニズムの一例としては、Google AuthenticatorやMicrosoft Authenticatorなどが挙げられます。