CASB構成ガイド

CASBについて

クラウド・アクセス・セキュリティー・ブローカー(CASB)は、組織のオンプレミス・インフラストラクチャとクラウド・プロバイダーのインフラストラクチャの間に位置するソフトウェア・ツールまたはサービスです。CASBはゲートキーパーとして機能し、組織が自社のインフラストラクチャを超えてセキュリティー・ポリシーの範囲を拡張できるようにします(searchcloudsecurity.techtarget.com)。

CASBとOkta OIN

パス/リバース・プロキシーのCASBとの統合を簡素化するために、Oktaは管理者がフェデレーションにSAMLを使用する公開されたOINアプリに関連付けられた多様なデフォルト設定を上書きできる機能を開発しました。設定はMicrosoft Office 365アプリにも適用できます。

上書きできる値は次のとおりです。

  • Assertion Consumer Service URL(ACS)
  • 対象者
  • 受信者
  • 宛先

これらの設定を上書きするには、管理者はAPIを使用して$app.settings.signOnオブジェクトに次の適切な上書き値を入力する必要があります。

SAML プロパティーサインオン値の例
Assertion Consumer Service URLssoAcsUrlOverridehttps://casb-provider.com/ssoAcsUrlOverride
対象者 audienceOverridehttps://casb-provider.com/audienceOverride
宛先destinationOverridehttps://casb-provider.com/destinationOverride
受信者recipientOverridehttps://casb-provider.com/recipientOverride

特定のアプリ用にCASBを構成する

特定のアプリ用にCASBを構成する方法の例を紹介します。

iframeを使って、エンド・ユーザーのホーム・ページを既存のポータルに埋め込むことができます。

  1. Oktaで[セキュリティー] > [API]に移動し、新しいAPIトークンを作成します。

  2. 次のように API呼び出しを実行して、アプリの詳細を取得します。

     curl -X GET \ https://{{Okta host}}/api/v1/apps/{{App ID}} \ -H 'Authorization: SSWS {{ API Key }}' \ -H 'Accept: application/json' 

    API IDは、下に示すようにアプリのURLから取得できます 。

  3. APIレスポンスをテキスト・エディターにコピーします。

  4. 下の例のように、API呼び出しを使ってアプリのデータを更新します。

    注意:表示される属性は最低限必要なものです。実際の値を保存したデータで置き換えます(API レスポンスのsignOnセクションを参照してください)。

     curl -X PUT \ https://{{Okta host}}/api/v1/apps/{{App ID}} \ -H 'Authorization: SSWS {{ API Key }}' \ -H 'Accept: application/json' \ -H 'Content-Type: application/json' \ -d '{ "label": "Amazon Web Services", "name": "amazon_aws", "signOnMode": "SAML_2_0", "settings": { "app": { "appFilter": null, "awsEnvironmentType": "aws.amazon", "groupFilter": "aws_(?{{accountid}}\\d+)_(?{{role}}[a-zA-Z0-9+=,.@\\-_]+)", "secretKey": null, "accessKey": null, "loginURL": "https://console.aws.amazon.com/ec2/home", "identityProviderArn": "arn:aws:iam::456272127071:saml-provider/OktaRainVladDobrikov2,arn:aws:iam::456272127071:role/RoleOktaRainVladDobrikov", "overrideAcsURL": null, "sessionDuration": 3600, "secretKeyEnc": null, "roleValuePattern": "arn:aws:iam::${accountid}:saml-provider/OKTA,arn:aws:iam::${accountid}:role/${role}" }, "signOn": { "defaultRelayState": "defaultRelayStateOverride", "ssoAcsUrlOverride": "https://casb-provider.com/ssoAcsUrlOverride", "audienceOverride": "https://casb-provider.com/audienceOverride", "recipientOverride": "https://casb-provider.com/recipientOverride", "destinationOverride": "https://casb-provider.com/destinationOverride" } } }' 
  5. 更新したばかりのアプリケーションに、OktaからSAMLログインを実行します。