みんなに優しく、解りやすくをモットーに開設しています。 以下のルールを守りみんなで助け合いましょう。
1.ファイルメーカーで解らない事があればここで質問して下さい。 何方でも、ご質問・ご回答お願いします。 (優しく回答しましょう)
You are not logged in.
Pages: 1
お世話になります。
現在、Win10 FMP19にて管理アプリを作成しています。
ログイン処理について以下のような設定を全て同時に行うことが可能か否か知りたいです。
お忙しいところ恐縮ですが、よろしくお願いいたします。
・データベースファイルのアカウントは「admin」「user」の2つ
※admin:完全アクセス、user:入力のみ
・ユーザ情報はユーザマスタで管理する
※管理できるのはadminのみ。ここではユーザ情報(名前や部署など)とアカウント種別(admin,user)、パスワードを管理したい
・ユーザはログイン画面(作成する)にてパスワード(ユニーク)を入力することでログインをする
※一段階認証、個別認証
・ユーザ単位で閲覧できるレコードを振り分ける
※テーブルは1つに留めておきたい
Offline
改めまして。
これでいけると思うのですが、運用のしやすさなど含めていかがでしょうか・・・?
よろしくお願いいたします。
・ログインについて
→カスタムダイアログで入力した文字列をユーザマスタの中から検索し、完全一致した場合にのみ次の画面へ遷移できるようにする
・管理について
→管理するためのレイアウトへ遷移するボタンを、インスペクタの動作にて権限がadminのユーザのみに表示されるように設定する
・ユーザ単位で閲覧できるレコードを振り分ける
→ログイン時にログインしたユーザ情報から必要なもの(社員番号など)をグローバル変数に格納し、
レコード作成時に自動入力した作成者情報(ここも少しいじる)と一致したレコードのみ表示させるように設定する
Offline
> アカウントは「admin」「user」の2つ
Userアカウントが一つでは
> ユーザ単位で閲覧できるレコードを振り分ける
これは無理です。
異なるアクセス権は、異なるアカウントが必要です。
Offline
チポ様
ご回答ありがとうございます。
>異なるアクセス権は、異なるアカウントが必要です。
そうなるとユーザ毎にアカウントのIDとPWが必要になってきますよね?
その場合は一段階認証ができなくなると思うのですが、この認識に相違はありますでしょうか?
Offline
アカウントを、ユーザーごとに作成すると、全てが簡単に済みます。
アカウントを user だけに絞り、独自の内部管理を作り込む意図があるのですか。
アクセス権セットは、複数のユーザーへ適用することができます。
> そうなるとユーザ毎にアカウントのIDとPWが必要になってきますよね?
これは、
> ユーザはログイン画面(作成する)にてパスワード(ユニーク)を入力することでログインをする
ですから、ユーザーごとにパスワードを発行するのですよね。
それと同時にアカウント名(社員番号で十分です)を入力させることに問題がありますか。
> その場合は一段階認証ができなくなると思うのですが、この認識に相違はありますでしょうか?
アカウントとパスワードを入力させれば、通常の認証(あなたの言う1段階認証)を構成できます。
また、業務の機微性にもよるのですが、通常のテーブルの中でパスワードそのものを管理するのはお勧めできません。管理者は、ユーザーのパスワードをリセットする手段を提供するだけにするのが適切です。
Last edited by Shin (2021-05-17 12:01:24)
Offline
「二段階認証」というのはあるけど、それを使わないのを「一段階認証」というのは聞いたことありませんし、
「二段階認証」は「ユーザーごとに別のアカウントを使うこと」じゃないので、「おなじID・パスワードを複数人で使いまわす」のを「一段階認証」とは言わないでしょう。
「一段階認証」という謎の言葉が何を指すのかまず説明しては?
上でも書かれていますがユーザ毎に FileMaker のアカウント・パスワードを付与するのが早いでしょう。
アクセス権セットはグループみたいなものなので、アカウントと同じ数用意する必要はありません。
なお、同じアカウントを使い回すと5回入力ミスでアカウントがロックされますから、
1人が間違えた際に他のすべてのユーザがログインできないなどの弊害も生じます。
※セキュリティの観点から1ユーザ1アカウントが原則ですが......
ユーザ管理を自作するように読み取れますが、パスワードは「管理」しないのがセキュリティでは標準でしょう。
パスワードそのものは保存せずにハッシュ化等行った結果(不可逆)を保持して、入力と比較します。
早い話がユーザがパスワードを忘れたらリセット以外の方法はないということです。
この辺りの面倒は FileMaker のアカウント・パスワードを使えば解決しますし
FileMaker 18 以降ではアカウントの管理に完全アクセス権は必要ありません。
管理するユーザのアカウントに付与するアクセス権セットにアカウントの権利権限を渡せます(完全アクセス権を除く)
Last edited by Moz (2021-05-17 11:58:45)
Offline
Shin様
ご回答ありがとうございます。
アカウントとuserのみに絞り込みたかったのは管理がしやすいからと思ったのですが、
結局ユーザマスタにて管理をするので手間は変わりませんでした。
なのでユーザごとのアカウント発行に問題はありません。
すみません、私の中の一段階認証の認識が一般的なものと異なっていました。
私の中ではパスワードのみ入力すればIDを入力せずともログインすることができる、といったものでした。
himadanee様
ご指摘ありがとうございます。
Shin様にもお伝えしたのですが、私の中の二段階認証と一段階認証の言葉の認識が誤っておりました。
誤解のある表現をしてしまい申し訳ありませんでした。
Offline
Moz様
ご指摘ありがとうございます。
お察しの通り、自分の中での二段階認証の認識が誤っていました。
正確には二要素認証のことを指していました。
すなわち、私のやりたいことは一要素認証でした。
お三方がおっしゃる通り、アカウントをユーザごとに作成するべきだということは把握できましたが、
一要素認証はどうしても難しいものなのでしょうか?
重ね重ねの疑問を問いかけてしまい申し訳ありません。
ちなみにパスワードを管理者側で管理するといったことは特になくても問題ないです。
要件が定まっておらず申し訳ありません。
Offline
認証についての言葉の意味をもう少し勉強しましょう。
多要素認証とは、認証のための三要素(知識要素・所有要素・生体要素)のいくつかを組み合わせる認証です。最近の流行りが、アカウント名とパスワードを入力させ(知識認証)、さらに個人の携帯電話へ認証情報を送信し入力させる(所有認証)の組み合わせです。銀行での指紋や掌紋認証は、キャッシュカードの確認(所有認証)と生体認証の組み合わせです。
1要素認証は、アカウント名とパスワードの入力を求めるだけでいいので、FIleMakerは基本的な構成のなかに持っていますので、簡単に構築できます。
アカウントとパスワードを分けて2要素だと思っていおられるのでしたら、それは誤解です。これは、一体のものとして認識されるべきでしょう。ただし、管理する側からいうと、パスワードだけでは別のユーザーと重複する可能性があり、絶対に重複しないように、ユニークなアカウントを与えている、と理解してください。つまり、ユニークなアカウントと、各ユーザー独自のパスワードの組み合わせで、ユニークな秘匿性のある情報になります。
もし、機微性の全く無い情報で、他のユーザーに漏れても、そのシステムにネット経由などでアクセスできる他人に漏出してもいいものでしたら、アカウントとパスワードを同じにしてしまったり、パスワードを無しにしても、運用上は問題ないです。
Last edited by Shin (2021-05-17 13:37:36)
Offline
二要素認証というのはアカウント・パスワードの他に端末・生体のいずれかを組み合わせて2つの要素で認証することです。
アカウント・パスワードの双方は知識なのでアカウント・パスワード双方で認証することも「一要素認証」です。
ひとつのアカウントのパスワードをバラバラにすることはできません。
目的をハッキリさせては如何でしょうか?
・ログインするユーザを特定する / しない
・パスワードを共通にする / しない
FileMaker ではパスワードだけでログインすることはできません。
アカウントに複数のパスワードを設定することもできません。
もし、ユーザを区別できれば良いのならアカウントをひとりひとつにしてパスワードを無しにすればアカウント名の入力だけでログインできます。
「ユーザ単位で閲覧できるレコードを振り分ける」こちらも実現できます。
パスワード(またはそれを暗号化した値)でユーザを特定するというのは通常やりませんネ。
Offline
Shin様
ご説明ありがとうございます。
完全に誤解していました。
このあたりの知識が皆無なので勉強しようと思います。
運用上は問題なしとのこと、ありがとうございます。
再度上長と相談し、改めて方向性を決めていこうと思います。
ありがとうございました。
Moz様
ご説明ありがとうございます。
パスワードなしなんてできるんですね!
本来あるべき姿ではないと思いますが、再度上長と相談した上で
どうしてもパスワードのみでと言われてしまったらその方向性で進めていこうと思います。
ありがとうございました。
Offline
パスワードを設定しないなど、相互の閲覧制限は無くなると思われた方がいいので、最初に書かれている
> レコード作成時に自動入力した作成者情報(ここも少しいじる)と一致したレコードのみ表示させるように設定する
の意図(他のユーザーのレコードは閲覧させない、と読めますが)では、運用できない可能性があります。よく考えられた方がいいです。
ちなみに、アカウント名の入力は、端末毎に設定すれば、デフォルトで入力できます。個人ごとに端末があるか、OSのログインを個人ごとに行っているのでしたら、これでアカウントの入力は省略し、パスワードのみを入力すればいいでしょう。
Last edited by Shin (2021-05-17 15:13:30)
Offline
Pages: 1
[ Generated in 0.009 seconds, 10 queries executed - Memory usage: 604.03 KiB (Peak: 620.57 KiB) ]