アプリケーション動作の定義
アプリケーション動作は、イベントが発生したときに実行するアクションを定義します。
アプリケーションに動作を追加する
- Access Gateway管理者UI コンソールに進みます。
- [トポロジ] または [アプリケーション] タブからアプリケーションを開きます。
- [Settings(設定)] ペインで、[動作]を展開します。
- 次のカスタム動作のいずれかを選択します:
ログイン
この動作は、ユーザーセッションの作成に役立つログインエンドポイントを定義できるようにします。
| フィールド | 説明 |
|---|---|
| ログイン | ドロップダウンリストボックス、ログインにおける動作。 |
| ログインパス | ログインエンドポイントURL のパス。 用途に応じて相対または完全修飾。 ログイン成功後に実行されます。 URLは、ログイン、ログアウト、エラーの各動作で一意である必要があります。Access Gatewayでは、複数動作での同一URLの使用はサポートされません。URLを既存の定義済みポリシーと重複させることはできません。「アプリケーションポリシーを管理する」をご覧ください。 |
[ログイン]は以下をサポートします。
| ドロップダウンリストの値 | 動作 |
ログインパス |
|---|---|---|
| [Don't define login behavior(ログイン時の動作を定義しない)] | デフォルト。特殊なログイン動作はありません。 | 該当なし。 |
| [Use Okta Access Gateway login page(Okta Access Gatewayログインページの使用)] | 選択すると、Access Gatewayは認証モジュールログインページを表示します。 | 保護されるアプリケーションの有効な相対パス。 認証モジュールは、以前に定義された認証モジュールを参照する必要があります。 |
| [Use Application login page(アプリケーションログインページを使用)] | 選択された場合、アプリケーションでホストされたログインページへの、保護されていないパスを使用します。 | 保護済みのアプリケーションの有効な相対パス。 |
| [Define a custom login URL(カスタムログインURLを定義)] | 選択されると、Access Gateway は、ログイン時にユーザーをカスタムURL に転送します。 | ログインパスには、保護されたアプリケーションの有効な相対パスが含まれている必要があります。 カスタム URL には、ログインが成功した後に実行される有効な完全修飾URLが含まれていなければなりません。 |
ログアウト
この動作は、ユーザーセッションの破棄に役立つログアウトエンドポイントを定義できるようにします。
Access Gatewayは、Okta orgのプライマリメールアドレスを使ってユーザーセッションを作成、識別します。セキュリティ上の理由から、複数のユーザーアカウントで同じプライマリメールアドレスを使いまわさずに、ユーザーアカウントごとに一意のプライマリメールアドレスを使用することをお勧めします。これにより、ユニバーサルログアウトが有効な場合などに、プロファイルに同じプライマリメールアドレスが指定されたいずれかのユーザーがセッションを終了したときに、同一プライマリメールアドレスのすべてのユーザーのセッションがOktaによって終了されるのを防止できます。
| フィールド | 説明 |
|---|---|
| ログアウト | ドロップダウンリストボックス、ログアウトにおける動作。 |
| [Logout path(ログアウトパス)] | 相対エンドポイントURLのパス。[Logout(ログアウト)]ドロップダウンによる定義に基づいて、ログアウト時にこのパスにリダイレクトします。 URLは、ログイン、ログアウト、エラーの各動作で一意である必要があります。Access Gatewayでは、複数動作での同一URLの使用はサポートされません。URLを既存の定義済みポリシーと重複させることはできません。「アプリケーションポリシーを管理する」をご覧ください。 |
| [Single Logout(シングルログアウト)] |
|
|
Universal Logout(ユニバーサルログアウト) |
|
| ログアウト後のURL | [Defint a custom logout URL(カスタムログアウトURLの定義)]を選択した場合にのみ表示されます。 |
|
ドロップダウンリストの値 |
動作 |
終了ページの表示 |
|---|---|---|
| [Show Logout page(ログアウトページの表示)] | デフォルト。[Single Logout(シングルログアウト)]トグルの値に基づいて、OktaとAccess Gatewayのセッションをリセットします。 | セッションのクリーンアップが完了すると、ログアウトの成功を示すAccess Gatewayログアウトページが表示されます。 |
|
[Show Login(ログインページを表示)] |
選択すると、[Single logout(シングルログアウト)]の値に基づいて、OktaとAccess Gatewayのセッションをリセットします。 |
セッションのクリーンアップ後、Access Gatewayは次のように動作します。
|
| [Use Application Logout(アプリケーションログアウトページを使用)] | 選択すると、[Access Gateway(シングルログアウト)]トグルの値に基づいて、OktaとAccess Gatewayのセッションを破棄します。 ログアウトパスの値は、保護されたアプリケーションの有効な相対パスである必要があります。 |
セッションのクリーンアップ後、Access Gatewayはログアウトパスフィールドに指定されたページを表示します。 このオプションは、アプリケーションにすでにログアウトページがある場合、またはエンドユーザーのログアウト後に実行されるアクションにカスタムロジックが必要な場合に使用できます。たとえば、サードパーティのサービスでセッションをクリアする、または外部監査ログに書き込む場合などです。 |
| [Define a custom Logout URL(カスタムログアウトURLを定義)] | 選択されると、[Single Logout(シングルログアウト)]の値に基づき、OktaとAccess Gatewayセッションを破棄します。 ログアウトパスの値は完全修飾 URLである必要があります。 |
エンドユーザーがログアウト後にリダイレクトされる URL。デフォルトでは、これはログイン後の値です。 ログアウト時に、指定されたPost Logout URL(ログアウト後のURL)にリダイレクトします。このURLをリダイレクトする前に、Access GatewayとOktaセッションは、指定されたSLOの動作に基づき破棄されます。 |
| [Don't define any logout behavior(ログアウト時の動作を定義しない)] | ログアウト時にAccess GatewayアプリセッションもOktaセッションも破棄されません。 | N/A |
ログアウト後の状態の移行:
ログアウト後のURL
ログアウト後にエンドユーザーがリダイレクトされるデフォルトURL。デフォルトではログイン後の値となります。
フィールドを有効にし、適切なURLを入力します。ユーザーを、顧客がホストする中央のログアウトページにリダイレクトしたり、エンドユーザーを会社のホームページに戻らせたりできます。
エラー
この動作は、エラー発生時に呼び出されるエラーエンドポイントを定義できるようにします。エラー動作を使用することで、お客様がホスティングする中央のログアウトページにユーザーをリダイレクトしたり、エンドユーザーを会社のホームページなどに移動させたりすることができます。
| フィールド | 説明 |
|---|---|
| エラー | ドロップダウンリスト、エラーにおける動作。 |
| [Error path(エラーパス)] | エラーエンドポイントURLのパス。用途に応じて相対の場合と完全修飾の場合があります。 URLは、ログイン、ログアウト、エラーの各動作で一意である必要があります。Access Gatewayでは、複数動作での同一URLの使用はサポートされません。URLを既存の定義済みポリシーと重複させることはできません。「アプリケーションポリシーを管理する」をご覧ください。 |
| ドロップダウン値 | 動作 |
[Error path(エラーパス)] |
|---|---|---|
| [Use Okta Access Gateway error page(Okta Access Gatewayエラーページを使用)] | デフォルト。このアプリケーションのエラーパスを定義します。デフォルトでは、一般のAccess Gatewayエラーページが表示されます。 | 該当なし。 |
| [Use Application error page(アプリケーションエラーページを使用)] |
選択された場合、アプリケーションでホストされたエラーページが表示されます。 エラーパスは、アプリケーションの有効なパスである必要があります。 |
保護済みのアプリケーションに存在する必要がある有効な相対パス。 |
| [Define a custom error URL(カスタムエラーURLを定義)] | これを選択し、エラーパスが呼び出されると、エンドユーザーは指定されたカスタムエラーパスURLパスにリダイレクトされます。 | エラーパスに加え、エラーハンドラーとして使用される完全修飾パスを入力します。 カスタム URLには、有効な完全修飾URLが含まれている必要があります。 通常は、エラーフローの実行に使用されます。 |
| [Don't define any Error Behavior(エラーの動作を定義しない)] | 選択された場合、Access Gatewayはエラーに対する動作を提供しません。 | 該当なし。 |
エラー状態の遷移
セッションなし/セッション有効期限切れ
この動作は、Access Gatewayにセッションがない場合、または、このアプリケーションで現在のセッションの有効期限が切れた場合のエンドユーザーエクスペリエンスを定義できるようにします。
| ドロップダウンリストの値 | |
|---|---|
| [Redirect to IDP(IDPにリダイレクト)] | デフォルト。エンドユーザーは、再認証されるためにOktaにリダイレクトされます。Oktaセッションがまだアクティブである場合、エンドユーザーは更新されたアプリケーションセッションで静的にアプリケーションにリダイレクトされます。 |
| [Force reauthentication at IDP(IDPにおける強制再認証)] |
選択すると、エンドユーザーは認証のためにOktaにリダイレクトされます。 エンドユーザーは、Oktaセッションがアクティブな場合でも再認証を求められます。 |
| [Show default no session(デフォルトのセッションなしのページを表示する)] | 選択された場合、デフォルトの「Access Gatewayセッションなし」ページが表示されます。 |
| [Redirect to custom URL(カスタムURLにリダイレクト)] | 選択された場合、エンドユーザーは指定されたカスタムURLにリダイレクトされます。 カスタムURL/URIは、有効なURLを指定する必要があります。 |
セッション状態の遷移。
ポリシー拒否
この動作は、ポリシーが失敗し、Access Gatewayがリソースへのアクセスを拒否した場合のエンドユーザーエクスペリエンスを定義できるようにします。
| ドロップダウンリストの値 | |
|---|---|
| [Show default policy failure page(デフォルトのポリシー失敗ページを表示)] | デフォルト。デフォルトの「Access Gatewayポリシー失敗」ページが表示されます。 |
| [403ステータスコードを返す] | 選択すると、ステータスコードHTTP 403の空白ページが返されます。 |
| [Redirect to custom URL(カスタムURLにリダイレクト)] | 選択すると、ポリシーが拒否された場合にエンドユーザーは指定のカスタムURLにリダイレクトされます。 カスタムURL/URIは、有効なURLを指定する必要があります。 |
セッション整合性エラー
この動作は、Access Gatewayがセッション整合性エラーを検出した場合のエンドユーザーエクスペリエンスを定義できるようにします。これは、エンドユーザーがアクティブアプリケーションセッションを維持しながらネットワークを変更した場合に一般的です。Access GatewayはリモートIPを検証し、アクセスを拒否します。
| ドロップダウンリストの値 | |
|---|---|
| [Show default Security warning page(デフォルトのセキュリティ警告ページを表示)] | デフォルト。デフォルトの「Access Gatewayセキュリティ警告」ページが表示されます。 |
| [Return 405 status code(405ステータスコードを返す)] | 選択すると、ステータスコード405の空白ページが返されます。 |
| [Redirect to IDP(IDPにリダイレクト)] | 選択すると、セッション整合性エラーの発生時にエンドユーザーは指定のカスタムURLにリダイレクトされます。 カスタムURL/URIは、有効なURLを指定する必要があります。 |
| [Force reauthentication at IDP(IDPにおける強制再認証)] | エンドユーザーに再認証を強制します。再認証後に、エンドユーザーはアプリケーションにSSOされます。 |
| [Do not enforce(強制しない)] | セッション整合性を強制しません。 |
証明書の検証動作
証明書の検証動作は早期アクセス機能です。有効にするには、Oktaサポートまで連絡してください。
この動作は、リクエストの検証に証明書チェーンを使用する場合に使われるフィールドと動作を定義できるようにします。
受信/送信証明書ヘッダーフィールドと証明書の動作を指定することで、関連するアプリケーションが追加の認証のためにクライアント証明書チェーンを使用することを暗黙的に定義します。
| フィールド | 説明 |
|---|---|
| [Client Certificate Validation Failed(クライアント証明書の検証失敗)] | ドロップダウンリスト、クライアント証明書の検証失敗時の動作。 |
| [Custom URL/URI(カスタムURL/URI)] | カスタムエンドポイントへのパス。 用途に応じて相対または完全修飾。 カスタムURLへのリダイレクト時にのみ実行されます。 |
| [Incoming Header Field Name(受信ヘッダーフィールド名)] | PEMフォーマット証明書を含むヘッダー属性。この属性の値は、証明書チェーンの証明書と比較されます。 |
| [Outgoing Header Field Name(送信ヘッダーフィールド名)] | ヘッダー属性は、検証後に証明書を含めるために使用されます。受信ヘッダーフィールドの値は、要求されたバックおよびリソースへのリダイレクト時に、このヘッダーフィールドの値にコピーされます。 |
[Client Certificate Validation Failed(クライアント証明書の検証失敗)]は以下をサポートします。
| ドロップダウンリストの値 | 動作 |
|---|---|
| [Disable certificate checking(証明書の確認を無効化)] | デフォルト。このアプリケーションにおける証明書の確認が無効になっています。 |
| [Redirect the end user to a custom URL(エンドユーザーをカスタムURLにリダイレクト)] | 証明書の検証失敗時に、カスタムURL/URIフィールドにリストされたURL/URIにリダイレクトします。 |
| [Return a blank page with an HTTP 405 status code(HTTP 405ステータスコードを伴う空白ページを返す)] | 証明書の検証失敗時に、呼び出し元を空白(空)のページにリダイレクトし、HTTP 405を返します。 |
| [Present a default error page with an "Invalid certificate message(「証明書無効のメッセージ」とともにデフォルトのエラーページを表示する)] | 証明書の検証失敗時に、エンドユーザーに「証明書無効エラー」ページを表示します。 |
アプリケーションのメンテナンス
この動作は、アプリケーションがメンテナンスモードの場合のエンドユーザーエクスペリエンスを定義できるようにします。
| ドロップダウンリストの値 | |
|---|---|
| [Default Application Maintenance page(デフォルトのアプリケーションメンテナンス中ページ)] | デフォルト。デフォルトのOkta Access Gatewayアプリケーションメンテナンスページを表示します。 |
| [Redirect to custom URL(カスタムURLにリダイレクト)] | 選択すると、メンテナンスモード時にエンドユーザーは指定されたカスタムURLにリダイレクトされます。カスタムURL/URIは、有効なURLを指定する必要があります。 |