Kerberosアプリケーションのリファレンスアーキテクチャ
従業員の作業をより簡素化するために、多くのOrganizationがKerberosを使用するアプリケーションを開発してきました。これは、SPNEGO(HTTPSを経由するシンプルかつ保護されたGSSAPI Negotiation MechanismまたはKerberos)、 Windows Integrated Authentication( Windows統合認証)、Windows Desktop Authentication(Windowsデスクトップ認証)、またはWindows SSOとも呼ばれます。
これを使用することにより、Windowsデスクトップにログインする従業員は、 Active Directory(AD)資格情報の入力を求められることなく、アプリケーションに容易にアクセスできるようになります。Microsoftや他のベンダーの多くのサードパーティーアプリケーションも、認証にKerberosを使用するようソリューションを調整しています。これは長い間うまく機能してきましたが、昨今はユーザーのモバイル化が進んでおり、さまざまなデバイスやロケーションが使用されるため、ADドメインに接続されたWindowsデバイスに常にログインできるわけではありません。しかし、Access Gatewayを使用すると、現代のモバイルワークフォースとWindows認証を中心に構築されたこれらのアプリケーション間のギャップを埋めることができます。
このシナリオではOktaが、恐らくユーザーのAD資格情報かMFAトークンを使用してまずユーザーにログインさせ、次にユーザーは、Windows Kerberos認証用に設計されたアプリケーションにAccess Gatewayを介してプロキシします。Access GatewayはWindows Kerberosクラスターにアクセスし、確立された信頼で、Windows Kerberosクラスターでユーザー用のトークンを作成させ、そのトークンをアプリケーションをHTTPヘッダーに挿入して渡すことができます。その結果アプリケーションはトークンを認識し、ユーザーを特定できるため、Oktaの背後に追加するときにアプリケーションを変更する必要がなくなります。
さらにユーザーは、モバイルブラウザーなどのドメインに参加していないデバイスを使用してアプリケーションにアクセスできるようになります。Access GatewayがDMZにデプロイされ、公的にアクセスできる場合、これらのユーザーは、アプリケーションへのアクセスの際にネットワークにVPN接続する必要はありません。
アプローチ
上のような環境でアプリケーションを保護するためにAccess Gatewayをデプロイする場合、基本のアーキテクチャのデプロイメントを開始し、必要に応じて特定の機能を追加するのが最適です。この方法論に従えば、Organizationはものごとを迅速に進めることができ、要件分析に過度に行き詰まることがなくなります。
全体適なアーキテクチャを決定する際の主要ステップには以下が含まれます:
- アプリケーションがOktaやAccess Gatewayと統合される方法を特定します。一般的な統合には以下が含まれます:
- アプリケーションにアクセスするユーザーの人数と頻度を特定します。これによって、Access Gatewayのインスタンス、必要なロードバランサーの数と一般的なアーキテクチャコンポーネントの分散方法を判断することができます。
- Access Gatewayを介してインターネットからアクセスする必要のあるアプリケーションと、ユーザーが内部ネットワークにアクセスする必要のあるアプリケーションを特定します。これは通常アプリケーションのサブセットとしてスタートし、時間の経過とともに拡張されます。
- ADチームを特定して協力し、適切なシステムアカウントと信頼/キータブを取得します。
- すべてのADインフラストラクチャを特定してから、Access GatewayからADおよびWindows Kerberosチケット発行インフラストラクチャへの接続を決定します。
Access Gateway Keberosアーキテクチャ
Access Gateway Kerberosのインストールは、さまざまな組み合わせでデプロイできます。一般的なアーキテクチャは以下のとおりです:
| 単一のAccess Gatewayインスタンス | KerberosシンプルインスタンスAccess Gatewayアーキテクチャは、Access Gatewayを使用したKerberosベースの認証および承認に必要なコンポーネントのセットを表します。このアーキテクチャは、開発およびテストの基準を表します。 |
| Kerberosシンプルクラスター | KerberosシンプルクラスターAccess Gatewayアーキテクチャは、Access Gatewayを使用したKerberosベースの認証および承認に必要なコンポーネントのセットを表します。 このアーキテクチャは、Access Gatewayクラスターを追加することで、単一のKerberosインスタンスを拡張します。 |
| Kerberosクラスター | KerberosクラスターAccess Gatewayアーキテクチャは、Access GatewayおよびKerberos側に収容能力とフォ-ルトトレランスを提供する冗長なKerberosクラスターを使用して、Kerberosベースの認証および承認に必要なコンポーネントのセットを表します。 |
| Kerberosマルチドメイン | KerberosマルチドメインAccess Gatewayアーキテクチャは、Access Gatewayと複数のKerberosで信頼されたドメインを使用したKerberosベースの認証および承認に必要なコンポーネントのセットを表します。 |
アーキテクチャの機能領域の内訳
アーキテクチャは、次の機能領域に分類されます。
| 外部インターネット | 外部インターネットは、Okta Orgを含むアプリケーションにアクセスするクライアントを表します。 |
| DMZ | DMZは、外部インターネットからアプリケーションにアクセスできるように、Access Gatewayクラスターと関連コンポーネントが格納されています。 |
| 内部 | 内部ネットワークには、Access Gatewayによって保護されているアプリケーションと、これらのアプリケーションを広く利用できるようにするために必要なその他のコンポーネントが配置されています。 |