Kerberosシンプルクラスターアプリケーションのリファレンスアーキテクチャ

KerberosシンプルクラスターAccess Gatewayアーキテクチャは、Access Gatewayを使用したKerberosベースの認証および承認に必要なコンポーネントのセットを表します。Access Gatewayクラスターを追加することで、単一のKerberosインスタンスを拡張します。

このアーキテクチャは、以下の要件を満たすように設計されています。

• Kerberos（Windows IIS）ベースのサービスを保護する。
• Access Gatewayの基本的なフォールトトレランスと高可用性のニーズを満たす。

利点と欠点

利点	欠点
インストールが比較的簡単である VPNの置き換えに使用できる 基本的なフォールトトレランスとキャパシティサポートを提供する 必要に応じて、追加のワーカーによってキャパシティを増強することができる 負荷分散されている 管理者インスタンスにファイアウォールの内側でアクセスできる	単一の仮想環境 Access Gateway前のDMZベースのロードバランサーは、セッションアフィニティ（スティッキーセッション）をサポートする必要があります。

アーキテクチャ

コンポーネント

ロケーション	コンポーネント	説明
外部インターネット	Webクライアント	従来のクライアントブラウザで、[appN|consumer-app1].example.com URLとして認識されるAccess Gatewayにアクセスします。
	consumer-app1.example.com URLは非表示	外部WebクライアントがAccess Gatewayによって保護対象アプリケーションの1つにアクセスするために入力するアプリケーションを表すURL。通常、この性質のすべてのURLは、Access Gatewayインスタンスによってサービスされ、解決されます。
	Okta org	Okta orgは、アイデンティティサービスを提供しています。
	Okta org Universal Directory	Okta Universal Directoryは、他のLDAP/AD実装以外のユーザーを含むOkta org内に格納されています。通常、これらは他の顧客アカウントやパートナーアカウントなどを含みます。
ファイアウォール	外部インターネットからDMZ	外部インターネットとDMZホスティングAccess Gatewayの間の従来のファイアウォール。
DMZ	ロードバランサー	ロードバランサー前　　クライアントとクラスター間の負荷分散を行います。クライアントとクラスターの間に配置されます。
	Access Gateway	DMZ内に配置されるAccess Gatewayクラスターは、外部インターネットクライアントが使用するアプリケーションへのアクセスを提供するために使用されます。Kerberosサービスとキータブを含みます。 通常、Amazon Web Services、MS Azure、Orace OCIなどの仮想環境でホスティングされます。「Access Gatewayのデプロイメントを管理する」を参照してください。 キータブの作成の詳細については「キータブを作成する」を参照してください。 Access Gateway Kerberosサービスの定義についての詳細は、「Kerberosサービスを追加する」を参照してください。
ファイアウォール	DMZから内部ファイアウォール	DMZと内部ネットワーク間の従来のファイアウォール。
内部ネットワーク	サービス/保護対象アプリケーション	保護対象Webリソースのセット（この場合はMicrosoftサービス）で、comsumer-app1.internal-example.com URLを使用してアクセスされます。 サポート対象バージョン： Microsoft IIS IWA：IIS 7以降 Microsoft OWA IWA：IIS 7以降
	内部前Kerberosドメイン負荷分散	Kerberosドメインサービスクラスター用のロードバランサー。
	キーディストリビューションセンターを含むMicrosoftドメインサービスクラスター	キーディストリビューションセンター（KDC）を含むドメインサービスクラスター。 このアーキテクチャにおいて、ドメインサービス/KDCは、クラスターとして作用する複数のインスタンスを表します。

その他の考慮事項

関連項目

一般的なAccess Gatewayフロー

DNSの用途

高可用性

Access Gatewayの前提条件について