信頼できるドメインについて

Access Gatewayの主要機能はアプリケーションリクエストのプロキシとリダイレクトです。一部のシナリオでは、Access Gatewayで承認されていないリダイレクトが発生する可能性があります。未承認のリダイレクトを防ぐために、Access Gatewayは信頼できるドメインのサポートを提供しています。これを有効にすると、信頼できるドメインのサポートはすべてのリダイレクトを検査し、要求されたリダイレクトが既知または信頼できるドメインであるかを判断します。信頼できるドメインの場合、問題なくリダイレクトが発生します。信頼できるドメインのリストに掲載されていないドメインの場合、リダイレクトがブロックされユーザーにエラーが表示されます。

重要事項

有効にすると、Access Gatewayは信頼できるドメインのみを使用してAccess Gatewayのリダイレクトを調べます。保護されたリソースのリダイレクトは引き続き発生する可能性があり、コアAccess Gatewayの制御外です。

プロセスフロー

プロセスフロー(既知の信頼できるドメイン):

  1. リクエストがAccess Gatewayに送信されます。
  2. Access Gatewayは既知の信頼できるドメインリストに照らし合わせてリクエストを調べます。信頼できるドメインであると判断されます。
    メモ 信頼できるドメインはクライアントのOkta orgと同期されます。
  3. Access Gatewayは、信頼できるドメインのリクエストを保護対象アプリケーションにリダイレクトします。
  4. 保護されたアプリケーションがリクエストを返します。
  5. Access Gateway Admin UIコンソールがリクエストを返します。

プロセスフロー(信頼できないドメイン)

  1. リクエストがAccess Gatewayに送信されます。
  2. Access Gatewayは既知の信頼できるドメインリストに照らし合わせてリクエストを調べます。信頼できないドメインであると判断されます。
  3. Access Gatewayがエラーをクライアントに返します。

信頼できるドメインの管理

Access Gateway Managementコンソールの[Manage Trusted Domains(信頼できるドメインを管理する)]を使用して、Access Gatewayで信頼できるドメイン機能を有効または無効にしたり、信頼できるドメインの一覧を表示したりできます。

信頼できるドメイン:

  • 有効 - 信頼できるドメインを有効にすると、リダイレクトは既知の信頼できるドメインリストに照らし合わせて検証されます。
    他のドメインにリダイレクトすると以下のようなエラーが表示されます:
    信頼できないドメインへのリダイレクトを試みた場合のエラーメッセ―ジ。
  • 無効 - 信頼できるドメインを無効にすると、リダイレクトは通常通り実行されますが既知の信頼できる発信元リストに照らし合わせて検証されません。
重要事項

重要

v2020.8.3以降のAccess Gatewayのデプロイメントでは、デフォルトで信頼できるドメインが有効化されています。
それ以前のバージョンからアップグレードして既存のシステム動作を保持すると、信頼できるドメインはデフォルトで無効化されます。

信頼できるドメインのリストには以下が含まれます:

  • Oktaテナントと同期されるすべての信頼できるドメイン。Oktaテナントで信頼できるドメインを表示するには:
    1. Oktaテナントに管理者としてサインインします。
    2. 管理コンソールで、[セキュリティー] > に移動します API
    3. [Trusted origins(信頼できる発信元)]タブを選択します。
  • [Protected Web Resource(保護対象Webリソース)]フィールドに表示されているすべてのアプリケーションの非公開ドメイン。
    メモ

    メモ

    すべてのアプリケーションドメインは、アプリケーションの追加時にOktaテナントと同期されます。
    プロトコルおよびパス情報はドメインに含まれません。


関連項目