Ver.11.4 アクセス制御機能などによりセキュリティを強化 (2017年9月11日)

リリース概要

リリース日

注意すべき変更点

  • CSRF 対策(セキュリティ強化)の一環として次の変更を行います
    •  プロセス開始のパーマリンク(/PE/ProcessModel/listView?processModelInfoId=XXX&nodeNumber=XXX)を廃止します
      • 業務マニュアルやプロセス開始リンクが表示されるページ(/PE/ProcessModel/listView?processModelInfoId=XXX)が表示されるようになります
    • 「タスク成果を送信する(/API/PE/Workitem/Form/save)」「新規プロセスを開始する(/API/PE/ProcessInstance/start)」API について、GET でのアクセスを禁止します
  • 「メンバーシップ設定 API」にて、廃止予定の次の API を削除します
    • /API/UGA/Membership/listByQgroup(組織に所属するメンバ一覧を取得する)
    • /API/UGA/Membership/listByQuser(メンバが所属する組織一覧を取得する)
    • それぞれ、Ver. 10.1 で追加されている「/API/User/Membership/listByQgroup」「/API/User/Membership/listByQuser」をご利用ください
  • Internet Explorer 8 以前の IE では、Questetra は全く動作しなくなります
    • Internet Explorer 8 以前のバージョンは、既にサポート対象外です。利用環境に記載のバージョンをご利用ください。
  • 「Basic 認証による API アクセスを許可」かつ「パスワードログインを禁止」している環境にて、「API パスワード」を利用した Basic 認証 が利用できるようになります
    • 「API パスワード」を利用した Basic 認証を禁止したい場合は、「Basic 認証による API アクセス」を無効にしてください
  • 現在、有償のIPアドレス制限オプションをご契約いただいているお客様は、新機能「IPアドレス制限」を有効にせず、営業担当にご相談ください
  • ページ末尾【仕様などの変更予定】にて、将来バージョンでの変更予定を記載しておりますので、ご確認下さい。

Version 11.4 の詳細

◆ 一般従業員向け機能の変更

  • ログインしている状態で、ログイン前画面を表示しないように対応
  • 次の不具合を修正
    • 同時ログイン数を超えてログインしようとした際のエラーメッセージが正しく表示されない

ワークフロー

  • タスク処理画面やプロセス詳細画面などで、「件名」が長い場合、途中で切らずに改行して全て表示するように対応
    • 印刷用画面では、「改行ポイントを考慮せず強制改行」から「改行ポイントがなければ強制改行」に変更
  • [選択したプロセスを開始する]の内部処理を改良し、1プロセス毎に開始処理を完了するように変更
  • スマホ向けのプロセス詳細画面、タスク処理画面に、オープンチャットへのリンクを追加
  • スマホ向け画面にて、入力フィールドがフォーカスされた際、自動的にズーム表示されないように対応
  • [処理したタスク]メニューのリンクなどで、クエリ文字列を URL エンコードするように対応
  • 次の不具合を修正
    • タスク処理画面やプロセス詳細画面などで、ファイル型データ項目に添付されている画像ファイルのサムネイルをクリックした際、日本語設定にも関わらず英語でエラーメッセージが表示される場合がある

プロセス検索/タスク検索

  • 検索処理を高速化
  • 検索条件の指定にて、「件名」に関する条件を複数設定できるように対応
    • 複数ワードによる、絞り込み検索が可能となる
    • プロセス検索/タスク検索の API でも同様に対応
  • タスク検索にて「処理担当者」に自分以外を指定して検索できるように対応
    • プロセス検索/タスク検索の API でも同様に対応
  • 次の不具合を修正
    • アプリを選択する画面にて、ヘッダ部のスターの位置がズレて表示される
    • Chrome にて[Google スプレッドシートへのエクスポート]を操作した場合、「不正な操作」となる場合がある

オープンチャット

  • スマホ向け画面にて一覧表示を改良し、PC向け画面と類似のインタフェースに変更
    • 「トピック/ユーザ/組織/@わたし」の4つのタイムラインに対応
    • プロセスに関連したトピック(#p1234)に対応
  • 次の不具合を修正
    • トピックタイムラインにてタイトル(トピック名)が改行されずに表示領域をはみ出す場合がある
    • 新規で同じトピックがつけられた投稿が複数同時に行われた際、後の投稿でエラーが発生する

ダッシュボード/アカウント設定

  • ログイン後に表示されるページは、エラーページも含め、原則、ログインしているユーザの言語設定に従って表示するように対応
  • 次の不具合を修正
    • ユーザアイコンを変更しようとファイルをアップロードした際、設定画面にて新しいアイコンが表示されない場合がある
      • アイコン画像はブラウザにキャッシュされているため、本不具合修正後も、全てのアイコンが即座に変更される訳ではありません

◆ 管理職 (ワークフロー管理者)向け機能の変更

  • なし

◆ ワークフロー設計者向け機能の変更

  • [ヒューマンタスク]を配置した際のデフォルト名を「タスク」から「OO工程」に変更
  • フォームのプレビュー機能にてファイル型データ項目にファイルをアップロードできないように対応
  • プロセス開始のパーマリンク(/PE/ProcessModel/listView?processModelInfoId=XXX&nodeNumber=XXX)を廃止
    • 業務マニュアルやプロセス開始リンクが表示されるページ(/PE/ProcessModel/listView?processModelInfoId=XXX)が表示されるようになります
  • 次の不具合を修正
    • エラーメッセージにユーザが入力した内容を表示する際、長い連続したアルファベットが改行されずに表示領域をはみ出す場合がある
    • アプリ一覧画面をリサイズした際、フィルタ設定部の一覧表示部の表示サイズがずれる

データ項目

  • 文字型データ項目にて、プレースホルダに対応
  • 数値型データ項目にて、演算式を設定する場合は初期値を設定できないように対応
  • 次の不具合を修正
    • 数値型データ項目にて、初期値/最大値/最小値に、システム制限外の値(1,000,000,000,000.0001)が設定できてしまう
    • テーブル型データ項目の数値項目にて、列の集計結果がシステム制限値を超えてもエラーとならない
    • 選択肢設定画面にて「依存する親データ項目」を設定している場合、[このウィンドウを開いた時の状態に戻す]をクリックしても元に戻らない場合がある

タイマー開始イベント

  • 複数プロセスを開始するオプションが有効な場合、ひとつずつ順次プロセスを開始するように変更
    • 従来は「全て成功 or 全て失敗」のいずれかであったが、「一部成功/一部失敗」となるケースが発生する可能性がある
    • 「一部成功/一部失敗」の場合、コントロール権限を持ったユーザにエラー通知が行われる

メッセージ開始イベント(HTTP/フォーム)/メッセージ受信中間イベント(HTTP)

  • [メッセージ開始イベント(フォーム)]のプレビュー画面を、リリース後の画面と同様、幅可変/レスポンシブとなるように対応
  • 対象のアプリやイベントを特定するパラメータを URL のパスパラメータ方式に変更
    • procesModelInfoId と nodeNumber を、URL のクエリからパス部分に変更(フォームについては key も)
    • 例えば、[メッセージ受信中間イベント(HTTP)]は「/System/Event/IntermediateMessage/{アプリID}/{ノード番号}/receive」の形式になる
    • これまでの形式は廃止予定 (deprecated) にする
  • [IPアドレス制限]オプションが有効な場合、イベントの詳細画面にて、アクセス可能な IP アドレス(許可ネットワーク)を表示するよう対応
    • 新形式(パスパラメータ方式)の URL に対して適応されるルールのみ表示
    • [IPアドレス制限]オプションが有効となっていない場合は何も表示されない
  • [メッセージ開始/受信中間イベント(HTTP)]にて、key の値を任意に設定できるように対応
    • Ver. 11.4 へのバージョンアップの際は、既存イベントについては、現状の key の値がイベントの設定値として設定される
    • key が未設定のアプリアーカイブをインポートする際も Version 11.3.5 時点の key の値(システム値)が取り込まれる
    • 今後、イベントを新規に配置した際は、key の初期値はランダムに設定される

メッセージ開始イベント(メール)

  • 受信メールから新規プロセスを開始する処理を改良し、性能・安定性・耐障害性を向上
    • メールの解析に失敗しエラーとなっていたメールが減り、正常に処理されるメールが増える
    • バージョンアップなど計画停止の際に届いたメールも取りこぼさずに処理される
    • ひとつのメールから複数のプロセスが開始されないように対応
    • 短時間に大量メールが送られた場合などプロセス開始までのタイムラグは大幅に大きくなるが SaaS 環境は安定稼働する
  • 次の不具合を修正
    • 受信メールの本文が長いとエラー通知メールの送信に失敗する場合がある
      • エラー通知メールに含める本文を1万文字までとする

メッセージ送信中間イベント(HTTP)

  • [メッセージ送信中間イベント(HTTP)]等から、同一 URL の Questetra 上の[メッセージ開始イベント(HTTP)]等への HTTP リクエストは、IP アドレス制限の設定に関わらず利用できるように対応
  • 変数「${var[key]}」を廃止予定 (deprecated) にする
    • 呼び出し先の[メッセージ開始/受信中間イベント(HTTP)]にて key を自由に設定できるようになったため変数の役割を終了
    • ${var[key]} を使用せず、固定値を指定するようにしてください

サービスタスク

スクリプトタスク/サービスタスク(Add-on)

  • [サービスタスク(Add-on)]の定義ファイル(XML)にて、「概要説明」と「ヘルプ の URL」 を定義できるように対応
  • スクリプトにて、ファイル型データ項目に添付されているファイルの中身(テキスト)を参照できるように対応
  • スクリプトにて、データ項目の値を参照/設定する方法を変更
    • データ定義番号を利用した参照/設定:engine.findDataByNumber(1)、engine.setDataByNumber(1, “hogehoge”)
    • データ項目名を利用した参照/設定:engine.findDataByName(“名前”)、engine.setDataByName(“名前”, “やまだ”)
    • フィールド名を利用した参照/設定:engine.findDataByVarName(“q_name”)、engine.setDataByVarName(“q_name”, “やまだ”)
    • フィールド名と同名の変数で、直接参照する方法は変更なし
    • 「data.get(“1”)」「retVal.put(“1”, “hogehoge”)」を利用した形式の参照/設定方法は廃止予定 (deprecated) にする
  • スクリプトで「engine.findDataDefinitionByXXX」を利用する際、データ項目がない場合に例外(エラー)となるよう対応
  • 次の不具合を修正
    • サービス定義ファイル(アドオン)を含むアーカイブをインポートした場合、[リリース]できない場合がある

処理担当者設定

  • 他のスイムレーン担当者からの相対指定に、「同じ組織のスタッフ」「親組織のスタッフ」「上位組織のスタッフ」「同じユーザ」を追加
  • 組織型データによる指定に、「スタッフ」「より下位組織に所属するスタッフ」を追加
  • [チームタスク]を他のユーザが処理完了しても、引き続きプロセス詳細を閲覧できるように対応
    • Ver. 11.3 までは、他のユーザが処理完了した場合、当該プロセスを検索したり、閲覧することができなかった
    • Ver. 11.4 以降、新たに処理完了した[チームタスク]から適用。過去の記録は閲覧できないまま。

◆ システム管理者向け機能の変更

  • CORS (Cross-Origin Resource Sharing) を設定できるように対応(ベータ版)
    • [メッセージ開始イベント(HTTP)]や公開 API に対して、Cross-Domain での Ajax リクエストを許可できるようになる
  • [システム概要]にて、「未終了プロセス数の推移」グラフを追加
  • 自動ログインを禁止できるように対応
  • API パスワードを利用して Basic 認証を行う際、「パスワードログインを禁止」していても動作するように対応
  • [システム設定]の[接続アプリケーション]メニューの名称を[API クライアント]に変更

システムログ/プロセスログ

  • プロセスログにて、「アプリ」を指定して検索できるように対応
  • アプリの新規作成/削除をプロセスログに出力するように対応
  • 対象のアプリが特定されている場合、[CSV ダウンロード]操作をプロセスログに出力するように対応
  • [タイマー開始イベント]の処理失敗時のログ出力先を、システムログからプロセスログへ変更
    • 「一部成功/失敗」の場合も、失敗として記録
  • システムログ/プロセスログの出力項目に「種別」を追加
    • 従来の「詳細」を「種別」と「詳細」に分離
  •  プロセスログの出力項目に「ノード番号」を追加
    • Ver. 11.4 以降に追加されるログが対象
  • プロセスログの CSV ダウンロードの出力対象に「ノード種別」を追加
  • プロセスログのタイトル行にて、「タスク/イベント」を「工程名」に変更

IP アドレス制限(ベータ版)

  • [IPアドレス制限]機能を追加し、ユーザの設定で IP アドレスによるアクセス制限ができるように対応
    • ログインを要する機能について、接続元 IP アドレス(許可ネットワーク)をまとめて設定可能
    • 「スマホ向け機能」など機能ごとに細かく接続元を設定することはできない
    • ログイン前ページ/ログアウト後ページは、IP アドレス制限の対象外
    • 現在、有償の「IPアドレス制限オプション」をご利用のお客様は、本機能を利用する前に、営業担当にご連絡ください。
  • [メッセージ開始イベント(HTTP/フォーム)/メッセージ受信中間イベント(HTTP)]について、IP アドレス制限できるように対応
    • /System/… 以下のURLを指定でき、URL 毎に接続元 IP アドレスを設定可能
    • 例えば、URL により「イベントの種類」「対象アプリのイベント種類」「対象アプリの特定イベント」などを指定して設定することができる
    • リクエストURL が複数の設定(URL)に合致する場合、最も長いもの(最も細かく設定されているもの)が適用される
    • リクエストURL のクエリ部は見ないため、これまでの形式の URL では「イベントの種類」レベルでの制御しかできない
    • 同一 URL の Questetra 上の[メッセージ送信中間イベント(HTTP)]からの HTTP リクエストは、IP アドレス制限の設定に関わらず常に利用できる
  • [メッセージ開始イベント(HTTP)/メッセージ受信中間イベント(HTTP)]の IP アドレス制限について、初期状態では外部からの接続を全面禁止の設定とする
    • Ver. 11.4 以降に新規構築された Questetra 環境が対象
    • 外部からの接続を許可する場合は、IP アドレス制限の設定変更が必要
    • Ver. 11.3.5 以前から利用されている Questetra 環境では、IP アドレス制限は無効な状態でバージョンアップされる

◆ システムエンジニア向け機能の変更

  • 「メンバーシップ設定 API」にて、廃止予定の次の API を削除
    • /API/UGA/Membership/listByQgroup(組織に所属するメンバ一覧を取得する)
    • /API/UGA/Membership/listByQuser(メンバが所属する組織一覧を取得する)
    • それぞれ、Ver. 10.1 で追加されている「/API/User/Membership/listByQgroup」「/API/User/Membership/listByQuser」をご利用ください
  • 「新規プロセスを開始する(/API/PE/ProcessInstance/start)」「タスク成果を送信する(/API/PE/Workitem/Form/save)」API について、GETでのアクセスを禁止
  • 「タスク成果を送信する(/API/PE/Workitem/Form/save)」API のオプションで saveOnly=true の場合、qgroupId に関する必須チェックを行わないように変更
    • 一時保存の場合は、必須項目が未設定でも保存できるように
  • ユーザ設定 API にて、ユーザの「主として所属する組織」を取得・設定できるように対応
    • 取得:/API/User/Quser/self、/API/User/Quser/find
    • 設定:/API/UGA/Quser/update
  • 「入力フォーム情報を取得する(/API/PE/Workitem/Form/viewXml)」API のレスポンスから不要な要素を削除
    • executing-role の quser-id と quser-name
  • /System/… 以下のアクセスについて、無効な URL へのアクセスには「Not Found」を表示するよう対応

◆ 外部ツール等の機能および非機能面での変更

  • 3つのクライアント(ブラウザ)から同時にログインできるように対応
  • アクセスURLのホスト名を希望の文字列に設定できるように対応
    • XXX.questetra.net の「XXX」部分
    • 旧形式のURL(s.questetra.net/xxxxxxxx/)を利用の場合も、「XXX.questetra.net」に変更可能
    • 「XXX」は「5文字以上63文字以下」で利用可能な文字は「英小文字、数字、ハイフン」(先頭末尾のハイフンは禁止)
    • 有償契約のお客様のみ対応可能です。ご希望の方は営業担当にご連絡ください。
  • jQuery を 2.2 にバージョンアップ
    • Internet Explorer 8 以前の IE では、Questetra は全く動作しなくなります
  • qbpms.config にて、qbpms.smtp.auth などのデフォルト値を設定する [SaaS 以外]
  • qbpms.config にて、qbpms.api.key に半角英数以外の文字を設定した場合、Questetra が起動しないように対応 [SaaS 以外]

 


仕様などの変更予定

将来バージョンにて、次の仕様変更、システム基盤の変更を予定しております。

Version.11.5 予定

  • TLS 1.0 暗号化を無効化します
    • お客様に安全に利用いただけるよう、セキュリティ強化への取り組みとして、最新のセキュリティプロトコルの使用を推進しております
    • Internet Explorer 9/10 にて、Questetra を利用できなくなります
      • Internet 9/10 は、既にサポート対象外です。利用環境に記載のバージョンをご利用ください。
    • Android 4.4 の一部の端末にて、Questetra を利用できなくなります
      • Android 4.4.2 以降は利用可能です
    • API へのアクセスにて、Java 6/7 など標準で TLS 1.1 以上との互換性がないプログラムからの接続ができなくなります
      • TLS 1.1 以上と互換性のあるバージョンを利用するか、アップデート等を行うことにより利用できるようになります
    • 参考情報・関連情報

対応バージョン未定

  • ソフト開発API への OAuth 1.0 でのアクセスを廃止します
    • Version 11.1 にて、OAuth 2.0 に対応しましたので、OAuth 2.0 を利用して接続するよう、変更をお願いします。
  • 「全てのプロセス履歴を検索する」「タスク処理履歴を検索する」API にて、プロセスデータ項目を検索結果に含めるには、表示項目として明示的に指定するように変更します
    • 現在は、検索条件として指定されたプロセスデータ項目は自動的に検索結果にも含まれています
    • 仕様変更後は、<view /> 要素が指定されているプロセスデータ項目のみが検索結果に含まれるようになります

 


お知らせ