信頼済みドメインについて

Access Gatewayの第一の機能は、アプリケーションリクエストをプロキシおよびリダイレクトすることです。特定のシナリオにおいては、Access Gatewayで認可されていないリダイレクトが発生する可能性があります。認可されていないリダイレクトを防ぐために、Access Gatewayは信頼済みドメインをサポートしています。有効にすると、信頼済みドメインサポートは、リクエストされたリダイレクトが既知のドメインまたは信頼済みドメインに対するものであるかを判断するために全てのリダイレクトをチェックします。ドメインが信頼されている場合、リダイレクトは問題なく行われます。しかし、ドメインが信頼済みドメインリストに存在しない場合は、リダイレクトはブロックされ、ユーザーにエラーが表示されます。

重要事項

有効にすると、Access Gatewayは、信頼済みドメインのみを使って、Access Gatewayへのリダイレクトを確認します。保護されたリソースリダイレクトが引き続き発生しても、コアAccess Gatewayの管理の範囲でない可能性があります。

プロセスフロー

プロセスフロー(既知の信頼済みドメイン):

  1. リクエストがAccess Gatewayに送られます。
  2. Access Gatewayは、そのリクエストを既知の信頼済みドメインリストと照らし合わせます。ドメインが「信頼済み」と判断する。
    注意:信頼済みドメインは、クライアントOkta orgと同期されます。
  3. Access Gatewayは、信頼済みドメインのリクエストを保護されたアプリケーションにリダイレクトします。
  4. 保護されたアプリケーションはリクエストを返します。
  5. Access Gateway管理者 UIコンソールにリクエストが返されます。

プロセスフロー(信頼されていないドメイン)

  1. リクエストがAccess Gatewayに送られます。
  2. Access Gatewayは、そのリクエストを既知の信頼済みドメインリストと照らし合わせます。ドメインが「信頼されていない」と判断されます。

  3. Access Gatewayはエラーをクライアントに返します。

信頼済みドメインを管理する

Access Gateway 管理者コンソール信頼済みドメインの管理を使用すると、Access Gatewayの信頼済みドメイン機能を有効化または無効化し、信頼済みドメインリストを閲覧できるようになります。

信頼済みドメインは:

  • 有効化 - 信頼済みドメインが有効になっている場合、リダイレクトのみが信頼済みドメインリストと照合されます。
    他のドメインへのリダイレクトは、以下のようなエラーを発生します:
    信頼されていないドメインに対してリダイレクトを試みた場合のエラーメッセージ。
  • 無効化 - 信頼済みドメインが無効化になっている場合、リダイレクトは正常に行われますが、既知の信頼済みオリジンリストとは照合されません。

信頼済みドメインは、バージョン2020.8.3以降のAccess Gatewayデプロイメントではデフォルトで有効になっています。
既存のシステム動作を維持するために前のバージョンからアップグレードする場合、信頼済みドメインはデフォルトで無効になっています。

信頼済みドメインリストには以下が含まれます:

  • 信頼済みドメインはOktaテナントと同期されます。Oktaテナントの信頼済みドメインの閲覧方法を以下に示します:
    1. Oktaテナントに管理者としてサインインします。
    2. Admin Consoleで、[Security(セキュリティ)] [API]に移動します。
    3. 信頼済みオリジンタブを選択します。
  • 保護対象Webリソースフィールドにリストされたすべてのアプリケーションのプライベートドメイン。

    すべてのアプリケーションドメインは、アプリケーションが追加されるとOktaテナントと同期されます。

    プロトコルとパス情報はドメインの一部ではありません。

関連項目