OnTimeのお勧めの認証方法を教えて下さい。
OnTimeにはどのような認証方法がありますか?
OnTimeには下図のように4つの認証方法をサポートしています。
- Form Based -Pass-through(HTTP と HTTPS)
OnTimeのログイン画面でOutlook メールアドレスとパスワードでログインする方法です。ログイン操作で承認出来た場合はTokenを発行します。
HTTP と HTTPS の使い分けは接続するURLで決定します。 - HTTP(s) Domain (SSO)
WindowsでADドメインに参加している場合にIEの機能としてSSO連携出来る方法です。Windows経由で認可出来た場合はTokenを発行します。
HTTP と HTTPS の使い分けは設定時にHTTPかHTTPSかを選択して下さい。
OnTimeにバンドルされている「OnTime Auth サービス」がサーバーで動作します。 - HTTPS ADFS(SSO)
対象ユーザーが全てADドメインに参加して且つAD環境でAD-FSサービスを運用している場合に利用出来るサービスです。ユーザーの所属するAD-FSサービスにリダイレクトし承認処理を行います。承認された場合にOnTimeはTokenを発行します。
Office365環境でご利用の場合には AAD Connect で Azure AD と AD のアカウントの同期がなされていないと利用できません。
OnTimeにバンドルされている「OnTime ACS サービス」がサーバーで動作します。 - HTTP(s) Mail Auth
ログインするメールアカウントを入力し、そのメールアカウントにワンタイムリンクの記述されたメールを送信する方法です。メール文面に記載のワンタイムリンクをクリックしたタイミングでOnTimeはTokenを発行します。
ご利用のメールシステム、オンプレかクラウド、利用クライアントアプリ等に依存せず認証が出来ます。また組織でご利用の認証システムとの連携も必要がなく導入がシンプルに行えます。
このワンタイムリンクは一度しか使えないので、再度必要とする場合は再送信となります。もしこのワンタイムリンクのメールがどなたかに奪取された場合はOnTimeの前にメール環境の盗聴やメール環境への認証などを先に心配する必要があります。
また、外部のメールアドレスや同じ組織内でもOnTimeをご利用でないメールアドレス(同期対象ではないメールアドレス)を入力した場合はエラーメッセージを表示してワンタイムリンクメールは送信されません。
OnTimeの認証とTokenはいったいどういう関係ですか?
上記の認証を行った時にOnTimeはそのユーザーが利用するデバイスにTokenを発行します。以後はそのTokenが有効な期間は認証のプロセスを必要としません。OnTimeクライアントを一定期間操作していなくても有効なToken期限内であれば引き続き操作出来ます。OnTimeクライアントを閉じても再起動に有効なToken期間内であれば承認処理無しで利用を再開出来ます。Tokenについては「Token期限は何日するのが推薦でしょうか?」を参照下さい。
OnTimeのお勧めする認証方法はどれですか?
「HTTP(s) Mail Auth」です。上記にも記載していますが複数のテナントを接続出来たり、認証システムに依存しないのが特徴です。
そもそもOnTimeはOffice365の複数テナントやクラウドとオンプレのハイブリッドなど複数のExchangeシステムを同時接続出来ます。それぞれのテナントが違った認証システムを利用していても依存せずに利用出来ます。またスマートフォンなどデバイスを組織の認証システムに接続していない場合でも組織がメールの受信だけは許可しているのであればOnTimeを利用することが出来ます。
OnTimeは OAuth 2.0 には対応予定はありますか?
前述のとおりクライアント向けの認証システムとしても現時点ではマルチテナント対応のために「HTTP(s) Mail Auth」を推薦していますので今のところ予定はありません。
但し、ExchangeサーバーのEWS接続にはOAuth 2.0に対応しています。現時点ではBASIC認証も可能ですがMicrosoftは2021年10月よりBASIC認証はサポートしないと発表しています。