アプリケーションを保護する

Access Gatewayの中心的役割はアプリケーションの保護です。

アプリケーションは、次のAccess Gatewayアプリケーションアーキテクチャ図に示すようなアーキテクチャを用いてデプロイされます。

一般的なAccess Gateway

  • リバースプロキシとして機能
  • レガシーパターンを用いてオンプレミスのアプリケーションと統合します。
  • オンプレミスアプリケーションごとに、個別のSAMLコントラクトと承認ポリシーがあります。
  • アプリケーションは、独自のSAML暗号化、アサーション属性、セッションタイムアウト、MFAポリシー、およびURL認証を保有します。

Access Gatewayによって保護された各アプリケーションは、特定のニーズおよび要件にしたがって個々に構成されています。

Access Gatewayでアプリケーション構成を作成する場合、さまざまなアプリケーションテンプレートを使用して構成プロセスを迅速化できます。各アプリケーションテンプレートは、特定のアプリケーション要件のセットを対象としています。サポートされているすべてのアプリケーションタイプのリストについては、「Access Gatewayでサポートされているアプリケーション」を、現在サポートされているすべてのアプリケーションバージョンのリストについては、「サポートされているテクノロジー」をご参照てください。

サンプルヘッダーアプリケーションを追加する

サンプルアプリケーションは多数ありますが、このガイドではヘッダーアプリケーションの例を統合します。

ヘッダーアプリは、Access Gatewayがどのように動作するかを習熟するのに役に立ち、アプリケーション統合をトラブルシューティングする必要がある場合にテストエンドポイントを提供します。

はじめに

次の事項を確認します。

  • Access Gatewayがインストールされ、構成されている。「Access Gatewayのデプロイメントを管理する」を参照してください。
  • Access GatewayOkta orgをIDプロバイダー(IdP)としてを使用している。「Access Gateway内のIDプロバイダーを構成する」を参照してください。
  • Okta orgで管理者権限を持っており、グループの作成やアプリケーションの割り当てが可能である。

  • アプリケーション向けの適切なDNSエントリが存在する。

ヘッダーアプリケーションテストのベストプラクティスは、テスト目的でheader.<yourdomain>/etc/hostsに追加することです。Windowsでは、このファイルはc:\windows\system32\drivers\etc\hostsです
このエントリは、Access Gatewayに使用するのと同じIPアドレスを指している必要があります。例:

. . . 
10.0.0.1 admin
10.0.0.1 header.myExampleDomain.com
. . .

ヘッダーアプリケーションの例を作成する

  1. Access Gateway 管理者 UI コンソールを開きます。

    Access Gatewayは、デフォルトの自己署名付き証明書を作成します。これは、本番用ではないデプロイメントに適しています。ブラウザによって発生したセキュリティの例外を無視して先に進みます。本番用デプロイメントの場合、有効な証明書をインストールすることができるため、これらの例外は必要ありません。

  2. [Application(アプリケーション)]タブ

    をクリックします。アプリケーションタブを選択
  3. [Add(追加)]をクリックして、アプリケーションを追加します。
    [Add(追加)]をクリックします。

  4. アプリケーションメニューから[Header Based(ヘッダーベース)]を選択し、[Create(作成)]をクリックします。

    [Header Based(ヘッダーベース)]を選択し、[Create(作成)]をクリックします。

    New Protected Application(保護されたアプリケーションの新規作成)ウィザードが開始し、追加するアプリケーションの[Essentials(基本設定)]ペインが表示されます。

  5. [Essentials(基本情報)]ペインで以下を指定します:

    フィールド
    Label(ラベル) アプリケーションの名前。
    例:ヘッダーアプリケーションの例
    パブリックドメイン header.<your domain>などの完全修飾ホスト名。
    テストの場合、header.<yourdomain>を/etc/hostsに追加します。
    保護対象Webリソース 保護対象リソースのURL。
    テストの場合、http://header.service.spgwを入力します。

    header.server.spgwの保護対象Webリソースを指定すると、実行時にヘッダーテストスイートを実行するようAccess Gatewayに指示します。
    グループ アプリケーションにアクセスする必要のあるユーザーが含まれるグループを入力します。
    テストの場合、これは通常Everyoneグループです。
    説明 任意。アプリケーションの適切な説明

  6. [Settings(設定)] タブを確認し、[Done(完了)] をクリックします。

    アプリケーション設定オプションに関する詳細については、「アプリケーションの詳細設定を定義する」をご参照ください。

ヘッダーアプリケーション構成を完了する

  1. Access Gateway 管理者 UI コンソールに戻ります。

  2. 新しいアプリケーションを選択し、[pencil(鉛筆)]アイコンをクリックします。

    add-sample-header-app-okta.06

  3. [Attributes(属性)]セクションで、[+]をクリックします。

    add-sample-header-app-okta.07

  4. [Add new Session Attribute(新規セクション属性を追加する)]ウィンドウまでスクロールします。

  5. [Name(名前)]フィールドで、[manager(マネージャー)]を入力します。

  6. [Value(値)]フィールドでは、属性タイプをマネージャーとして選択します。

  7. [Okay(OK)]をクリックします。

    add-sample-header-app-okta.08

    値メニューに追加する属性の名前を入力し、ドロップダウンボックスの[new attribute(新規属性)]をクリックします。

  8. [Done(完了)] をクリックします。
  9. ヘッダーアプリ保護されたアプリケーションリストにアクティブと表示されていることを確認します。

ヘッダーアプリケーション例をテストする

  1. アプリケーションが含まれる行で、[Goto application(アプリケーションに移動する)]>[SP Initiated(SP開始済み)]の順にクリックします。
  2. アプリケーションページで、Oktaに送信されたヘッダー アプリがプロファイル情報と一致していることを確認します。
    サンプルヘッダーアプリテスト