Access Gatewayデプロイメントの前提条件
ここでは、Access Gatewayをデプロイするための前提条件について説明します。
Okta Access Gatewayは、オンプレミスで、またはお客様のIaaS(サービスとしてのインフラストラクチャ)環境で稼働します。
詳細については、「サポート対象テクノロジー」を参照してください。
Access GatewayはSSL暗号化をサポートしません。
ハードウェア要件
Access Gatewayの仮想アプライアンスをホストするハードウェアは、特定の命令セット要件を満たしている必要があります。
Access Gatewayは、Intel® NehalemおよびAMD Buildozerマイクロアーキテクチャの登場で利用できるようになったx64命令セットのSSE4.2拡張を使用します。Access Gatewayの仮想アプライアンスが稼働するサーバーは、この命令セットに対応している必要があります。
Okta orgのアカウント要件
Access Gatewayの構成プロセスでは、Okta orgをIDプロバイダーとして構成するためにスーパー管理者アカウントが必要です。「Access Gateway内のIDプロバイダーを構成する」を参照してください。
ファイアウォールとアクセス要件
ポートとプロトコル
Access Gatewayでは、さまざまなポートとプロトコルを自由に利用できる必要があります。それが可能であれば、Access Gatewayは着信リクエストを受け付け、そのリクエストをアプリケーションにプロキシし、管理インターフェイスを提供し、Oktaやその他のログサーバー製品と通信することができます。
| 説明 | 通信方向 | プロトコル | ポート | コメント |
|---|---|---|---|---|
| Okta org APIアクセス | アウトバウンド | TCP/HTTPS | 443 | Okta orgのIPアドレスは変更される場合があります。ファイアウォールACLの一部として特定のIPアドレス範囲を使わなければならないときは、「Okta IPアドレスへのアクセスを許可する」を参照してください。 |
| Access Gatewayのアップデート | アウトバウンド | TCP/HTTPS | 443 | yum.oag.okta.comへのアクセスをより詳細に制御する必要があるときは、IPアドレスごとのアクセス権を設定できます。 IPアドレスの検出には、NSLookupなどのツールを利用できます。 Oktaは、Access Gatewayのアップデート、VPN(仮想プライベートネットワーク)、その他類似サービスに関連するIPアドレスをいつでも変更する権利を保持しています。特定のIPアドレスの確認については、Oktaサポートまでお問い合わせください。 |
| 統合済みアプリケーション | アウトバウンド | TCP/HTTPS | アプリケーションポート | 保護対象アプリケーションとのAccess Gateway通信。 |
| Access Gateway 管理者 UI コンソールとアプリ | インバウンド | TCP/HTTPS | 443 | Access Gatewayが、インターネット向けのリバースプロキシとして機能している、またはDMZにデプロイされているときは、すべてのエンドユーザーがポート443を使ってAccess Gatewayに直接アクセスできる必要があります。 |
| セキュアシェル(SSH)の管理 | インバウンド/ アウトバウンド |
TCP/SSH | 22 | 任意。このポートでは、 Access Gateway Managementコンソールへのアクセスに必要な各ノードへの内部SSHアクセスが伝送されます。Access Gateway Managementコンソールにアクセスできるようにするには、デフォルトでは仮想環境コンソールを使用するしかありません。ポート22を汎用インターネット通信向けに開かないことをお勧めします。 |
| Access Gatewayの高可用性 | インバウンド/ アウトバウンド |
TCP/SSH | 22 | 構成レプリケーションをするためのAccess Gatewayノード間の内部双方向通信。 |
| Access Gatewayの高可用性 | ワーカーから管理者へ | TCP/HTTPS | 443 | 高可用性Access Gatewayワーカーインスタンスの初期構成時は、Access Gatewayの管理者との通信に、ポート443でHTTPSを使用してください。 |
| NTP | アウトバウンド | UDP | 123 | ネットワークの時刻と日付の同期。 |
| Oktaサポートとの接続 | アウトバウンド | TCP | 443 | vpn.oag.okta.comやsupport.oag.okta.comへのアクセスをより詳細に制御する必要があるときは、IPアドレスを介したアクセスを構成できます。 IPアドレスの検出には、NSLookupなどのツールを利用できます。 Oktaは、Access Gatewayのアップデート、VPN(仮想プライベートネットワーク)、その他類似サービスに関連するIPアドレスをいつでも変更する権利を保持しています。特定のIPアドレスの確認については、Oktaサポートまでお問い合わせください。 |
| System Log | アウトバウンド | System Log TCP | お客様指定 | ログサーバー製品へのイベントログの転送。 |
| Access Gatewayからキー配布センター(KDC)へ | アウトバウンド | TCP/UDP | 88 | キー配布センター(KDC)とのAccess Gateway通信。 |
| Access GatewayからDNSへ | アウトバウンド | TCP/UDP | 53 | DNSとのAccess Gateway通信。 |
アプリケーション固有のアクセス
アプリケーションの構成方法によっては、Access Gatewayで次のサービスとポートが必要になる可能性があります。
| 説明 | 通信方向 | プロトコル | ポート |
|---|---|---|---|
| Access Gatewayからデータストアへ | アウトバウンド | LDAP/ODBC | お客様指定(389/636など) |
| Oracle E-Business Rapid SSO | アウトバウンド | TCP/JDBC/SQL | お客様指定(1521など) |
一般的なサイトへのアクセシビリティ
次のURLは、Access Gatewayアプライアンスからアクセス可能である必要があります。
| URL | 説明 |
|---|---|
| vpn.oag.okta.com | OktaサポートのVPN |
| yum.oag.okta.com | アップデートサポート |
| www.okta.com | ネットワークテスト |
| {client org}.okta.com | クライアント固有のOkta org |
フロントエンドロードバランサー要件
Access Gatewayが高可用性構成でインストールされている場合、組織はトラフィックを管理するためのロードバランサーを用意する必要があります。SNAT(Source Network Address Translation)プロトコルとDNAT(Dynamic Network Address Translation)プロトコルのいずれかを使用できます。ソースポートとIPアドレスのハッシュを通じてバランスが行われるようにロードバランサーを構成してください。「アーキテクチャの例」と「ロードバランサー」を参照してください。