アプリケーションの動作を管理する

Access Gatewayはアプリケーション動作の管理をサポートします。アプリケーション動作は、サインイン、サインアウト、エラーの場合などイベントが発生した時に行われるアクションを定義します。

動作を追加するには:

  1. Access Gateway Admin UIコンソールに進みます。

  2. [Topology(トポロジー)]タブまたは[Applications(アプリケーション)]タブから、アプリケーションを開きます。
  3. [Settings(設定)]ペインで、[Behaviors(動作)]を展開します。

以下のカスタム動作のうちの1つを選択します:

ログイン

ユーザーセッションの作成を支援するログイン エンドポイントを定義できます。

フィールド:

フィールド説明
Login(ログイン)ドロップダウンリストボックス、ログイン時の動作。
Login path(ログインパス)ログイン エンドポイントURLへのパス。
用途に応じて相対パスまたは完全修飾型。
ログイン成功後に実行される。

ログインは以下をサポートします:

ドロップダウンリストボックスの値動作

ログインパス

Don't define login behavior(ログイン動作を定義しない)デフォルト
ログイン動作を指定しません。

該当なし。

Use Okta Access Gateway login page(Okta Access Gatewayログインページを使用)選択すると、Access Gatewayは認証モジュール ログインページを表示します。

保護対象アプリケーションの有効な相対パス


認証モジュールは必ず事前に定義された認証モジュールを参照する必要があります。

Use Application login page(アプリケーションログインページを使用)選択すると、アプリケーションホストされたログインページへ関連付けられた保護対象外のパスが使用されます。

保護対象アプリケーションの有効な相対パス

Define a custom login URL(カスタムログインURLを定義)選択すると、Access Gatewayはログイン時にユーザーをカスタムURL へ転送します。

ログインパスには保護対象アプリケーションの有効な相対パスが含まれていなければなりません。
カスタムURLには、ログイン成功後に実行される有効な完全修飾型URLが含まれていなければなりません。

ログアウト

ユーザーセッションの破棄を支援するログアウト エンドポイントを定義できます。

フィールド

フィールド説明
Logout(ログアウト)ドロップダウンリストボックス、ログアウト時の動作。
Logout path(ログアウトのパス)ログアウトエンドポイントURLへの相対パス
Single Logout(シングルログアウト)有効にすると、Access GatewayおよびOktaセッションの両方を破棄します。無効にするとAccess Gatewayセッションのみを破棄します。
デフォルト:有効。

ドロップダウンリストボックスの値

動作

表示されるエンドページ

Show Logout page(ログアウトページを表示)

デフォルトSingle Logout(シングルログアウト)トグルボタンの値に基づき、
OktaおよびAccess Gatewayセッションをリセットします。


セッションのクリーンアップ後、Access GatewayはAccess Gatewayログアウトページを表示します。

Show Login page(ログインページを表示)

選択するとSingle Logout(シングルログアウト)トグルボタンの値に基づき、OktaおよびAccess Gatewayセッションをリセットします。

セッションのクリーンアップ後、Access GatewayはAccess Gatewayログインページを表示します。

Use Application Logoutpage(アプリケーションログアウトページを使用)

選択するとSingle Logout(シングルログアウト)トグルボタンの値に基づき、OktaおよびAccess Gatewayセッションを破棄します。
メモログアウトパスの値には保護対象アプリケーションの有効な相対パスが含まれていなければなりません。

セッションのクリーンアップ後、Access Gatewayはアプリケーションのログアウトページを表示します。
アプリケーションが既にログアウトページを持っている場合、またはエンドユーザーがログアウトした後に実行するアクションでカスタムロジックが必要な場合にこのオプションを使用できます。例えば、サードパーティサービスでセッションをクリアする、または外部監査ログを書き込む場合など。

Define a custom logout URL(カスタムログアウトURLを定義)

選択すると、Access Gatewayはセッションを破棄せず、指定されたURLへのリダイレクトのみ行います。
メモログアウトパスの値は完全修飾されたURLでなければなりません。

これがエンドユーザーがログアウトした後にリダイレクトされるURLです。デフォルトではこれはPost Login(ログイン後)の値です。カスタマイズするにはチェックボックスを選択します。


ログアウト時に、指定されたログアウト後のURLにリダイレクトします。 そこで必要なOktaセッションクリーンアップが実行されます。このURLにリダイレクトする前に、Access Gatewayが破棄されます。

ログアウトステータスの遷移

ログアウト後のURL

ログアウト後にエンドユーザーがリダイレクトされるデフォルトURL
デフォルトではこれはPost Login(ログイン後)の値です。
このフィールドを有効にし、適切なURLを入力します。
ユーザーを顧客がホストする特定のログアウトページにリダイレクトしたり、エンドユーザーを会社のホームぺージなどにリダイレクトするために使用できます。

エラー

エラー発生時に呼び出されるエラーエンドポイントを定義できます。エラー動作は、ユーザーを顧客がホストする特定のログアウトページにリダイレクトしたり、エンドユーザーを会社のホームぺージなどにリダイレクトするために使用できます。

フィールド:

フィールド説明
Error(エラー)ドロップダウンリスト、エラー時の動作。
Error path(エラーパス)エラー エンドポイントURLへのパス。用途に応じて相対パスまたは完全修飾型が可能。

ドロップダウンリストボックスの値動作

エラーパス

Use Okta Access Gateway erroe page(Okta Access Gatewayエラーページを使用)デフォルト
このアプリケーションのエラーパスを定義します。デフォルトでは、汎用Access Gatewayエラーページを表示します。

該当なし。

Use Application error page(アプリケーションエラーページを使用)選択すると、アプリケーションホストされたエラーページが表示されます。
メモエラーパスはアプリケーション内で有効なパスでなければなりません。

保護対象アプリケーション内に存在する有効な相対パス。

Define a custom error URL(カスタムエラーURLを定義)選択するとエラーパスが呼び出された時に、エンドユーザーを指定されたカスタムエラーパスURL パスにリダイレクトします。

Error path(エラーパス)には、エラーハンドラーとして使用される完全修飾パスを入力します。
カスタムURLには、有効な完全修飾URLが含まれていなければなりません。
通常、エラーフローを呼び出し実行するために使用されます。

Don't define any Error Behavior(エラー動作を定義しない)

選択すると、Access Gatewayはエラー動作を提供しません。

該当なし。

エラーステータスの遷移

セッションなし/セッション有効期限切れ

Access Gatewayでこのアプリケーションのセッションが無い、または現在のセッションの有効期限が切れた時のエンドユーザーエクスペリエンスを定義できます。

ドロップダウンリストボックスの値
Redirect to IDP(IDPにリダイレクト)デフォルト
再認証のためにエンドユーザーをOktaにリダイレクトします。Oktaセッションがまだアクティブである場合、エンドユーザーはリフレッシュされたアプリケーションセッションを持つアプリケーションに、サイレントでリダイレクトされます。
Force reauthentication at IDP(IDPで強制的に再認証)選択すると、再認証のためにエンドユーザーがOkraにリダイレクトされます。
メモ:Oktaセッションがアクティブであっても、エンドユーザーは再認証を要求されます。
Show default no session page(デフォルトのセッションなしページを表示)選択すると、デフォルトのAccess Gatewayのセッションなしページが表示されます。

Redirect to custom URL(カスタムURLにリダイレクト)

選択すると、エンドユーザーを指定されたカスタムURLにリダイレクトします。
カスタムURL/URIは有効なURLを指定する必要があります。

セッションステータスの遷移

ポリシー拒否

ポリシー不適合の場合にAccess Gatewayがリソースへのアクセスを拒否した時のエンドユーザーエクスペリエンスを定義できます。

ドロップダウンリストボックスの値
Show default policy failure page(デフォルトのポリシー不適合ページを表示)デフォルト
デフォルトのAccess Gatewayポリシー不適合ページを表示します。
Return 403 status code(403ステータスコードを返す) 選択すると、HTTP 403ステータスコードが表示された空白ページを返します。
Redirect to custom URL(カスタムURLにリダイレクト)選択すると、ポリシー拒否の場合にエンドユーザーを指定されたカスタムURLにリダイレクトします。
カスタムURL/URIは有効なURLを指定する必要があります。

セッション整合性エラー

Access Gatewayがセッション整合性エラーを検出した場合のエンドユーザーエクスペリエンスを定義できます。
アクティブなアプリケーションセッションを維持した状態でエンドユーザーがネットワークを変更した場合によく見られます。
Access GatewayはリモートIPをフィンガープリントし、アクセスを拒否します。

ドロップダウンリストボックスの値
Show default Security warning page(デフォルトのセキュリティ警告ページを表示)デフォルト
デフォルトのAccess Gatewayセキュリティ警告ページを表示します。
Return 405 status code(405ステータスコードを返す)選択すると、405ステータスコードが表示された空白画面を返します。
Redirect to IDP(IDPにリダイレクト)選択すると、エンドユーザーをセッション整合性エラー時に指定されたカスタムURLにリダイレクトします。
カスタムURL/URIは有効なURLを指定する必要があります。

Force reauthentication at IDP(IDPで強制的に再認証)

エンドユーザーを強制的に再認証します。再認証されると、SSO でアプリケーションに戻ります。

Do not enforce(施行しない)

セッション整合性を強制しません。

証明書の検証動作

認証検証動作はEarly Accessの機能です。有効にする場合は、Oktaサポートにお問い合わせください。

証明書チェーンを使用してリクエストを検証する際に使用するフィールドと動作を定義できます。

注意

入力および出力する証明書ヘッダーフィールドと証明書動作を指定することで、関連アプリケーションが追加認証のためにクライアント証明書チェーンを使用することを暗黙的に定義します。



フィールド:

フィールド説明
Client Certificate Validation Failed(クライアント証明書の検証に失敗)ドロップダウンリストボックス、クライアント証明書の検証が失敗した場合の動作。
Custom URL/URI(カスタムURL/URI)カスタムエンドポイントへのパス、
用途に応じて相対パスまたは完全修飾パス。
カスタムURLへのリダイレクト時のみに実行。
Incoming Header Field Name(入力ヘッダーフィールド名)PEM 形式の証明書を含むヘッダー属性。この属性の値が証明書チェーン証明書と比較されます。

Outgoing Header Field Name(出力ヘッダーフィールド名)

検証後に証明書を含めるために使用されるヘッダー属性。入力ヘッダーフィールドの値がこのヘッダーフィールドの値にコピーされ、リクエストされたバックおよびリソースへとリダイレクトされます。

Client Certificate Validation Failed(クライアント証明書の検証に失敗)は以下をサポートします:

ドロップダウンリストボックスの値動作
Disable certificate checking(証明書の確認を無効にする)デフォルトでは、このアプリケーションの証明書の確認は無効化されています。
Redirect the end user to a custom URL(エンドユーザーをカスタムURLにリダイレクト)証明書検証エラー時に、カスタムURL/URIフィールドに記載されたURL/URIにリダイレクトします。
Return a blank page with an HTTP 405 status code(HTTP 405ステータスコードが表示された空白ページにを返す)証明書検証エラーの場合、ブランク(空白) ページにリダイレクトしHTTP 405ステータスを呼び出し元に返します。
Present a default error page with an "Invalid certificate message"(デフォルトのエラーページに「無効な証明書」メッセージを付けて表示)証明書検証エラーの場合、「無効な証明書」エラーページをエンドユーザーに表示します。

アプリケーションのメンテナンス

アプリケーションがメンテナンスモードの場合のエンドユーザーエクスペリエンスを定義できます。

ドロップダウンリストボックスの値
Default Application Maintenance page(デフォルトのアプリケーションのメンテナンスページ)デフォルト
Okta Access Gatewayアプリケーションのメンテナンスページを表示します。
Redirect to custom URL(カスタムURLにリダイレクト)選択すると、メンテナンスモードの際に指定されたカスタムURLにエンドユーザーをリダイレクトします。
カスタムURL/URIは有効なURLを指定する必要があります。

アプリケーションのインアクティブ

アプリケーションがインアクティブモードの場合のエンドユーザーエクスペリエンスを定義できます。

ドロップダウンリストボックスの値
Default Application inactive page(デフォルトのアプリケーションのインアクティブページ)デフォルト
Okta Access Gatewayアプリケーションのインアクティブページを表示します。
Redirect to custom URL(カスタムURLにリダイレクト)選択すると、アプリケーションがインアクティブの場合に指定されたカスタムURLにエンドユーザーをリダイレクトします。
カスタムURL/URIは有効なURLを指定する必要があります。

アプリケーションのオフライン

アプリケーションがオフラインモードであると検出された場合のエンドユーザーエクスペリエンスを定義できます。

ドロップダウンリストボックスの値
Default Application inactive page(デフォルトのアプリケーションのインアクティブページ)

デフォルト

デフォルトのOkta Access Gatewayアプリケーションのオフラインページを表示します。

Redirect to custom URL(カスタムURLにリダイレクト)選択すると、アプリケーションがオフラインの場合に指定されたカスタムURLにエンドユーザーをリダイレクトします。
カスタムURL/URIは有効なURLを指定する必要があります。