SAMLパススルーリファレンスアーキテクチャ

このリファレンスアーキテクチャは、SAMLパススルーアプリケーションとAccess Gatewayの統合に必要な構成要素、フロー、および類似要件を示します。

トピック:

アーキテクチャ

SAMLパススルーアーキテクチャは以下のもので構成されます:

  • 分割DNS:内部ユーザーは、外部ユーザーと同じDNS名を使ってSAML-AWAREアプリにアクセスします。ただし提供されるアドレスは、外部ユーザーに対する Access GatewayのIPアドレスまたは内部ユーザーに対するSAML-AWAREアプリのIPアドレスです。
  • Okta SAMLアプリ:ユーザーには表示されないOktaベースのアプリケーション。
  • Access GatewayおよびAccess Gatewayアプリケーション:プロキシSAMLリクエスト。Access Gatewayアプリケーションは、ユーザーには表示されません。
  • Oktaブックマークアプリケーション:ユーザーがOkta orgのアプリにアクセスする際に使用します。

フロー

外部のインターネットユーザー インターネットユーザー
  1. ユーザーがアプリケーションへのアクセスをリクエスト
  2. Access Gatewayがリクエストを傍受し、OktaにリダイレクトしてSAMLアサーションを実行します。
  3. ユーザーがSAML認証要求をOktaに送信し、Oktaポリシーに従ってOktaにログインします。
  4. OktaがAccess Gateway向けのSAMLアサーションを生成します。
  5. ユーザーがAccess GatewayにSAMLアサーションを提示すると、Access GatewayAccess Gatewayセッションクッキーを作成します。
  6. Access Gatewayは、SAMLアプリケーションに対するリクエストをプロキシします。
  7. アプリケーションはOktaからのSAMLアサーションをリクエストします。
  8. Access Gatewayは、ブラウザに対してSAML認証リクエストをプロキシします。
  9. ブラウザはSAML認証要求をOktaに送信します。
  10. Oktaは、アクセスポリシーに基づいてSAMLアサーションを生成します。
    ユーザーが既にOktaにログインしているため、再認証を求められることはありません。
  11. ブラウザはSAMLアサーションをAccess Gatewayに送信します。
  12. Access Gatewayは、アプリに対してSAMLアサーションをプロキシします。
  13. アプリはSAMLアサーションを読み取って、ローカルセッションを作成し、Access Gatewayにコンテンツを渡します
  14. Access Gatewayはアプリケーションセッションとコンテンツをユーザーに渡します。
  1. ユーザーはアプリケーションへのアクセスをリクエストします。
  2. アプリはOktaからのSAMLアサーションをリクエストします。
  3. ブラウザはSAML認証リクエストをOktaに送信します。
  4. Oktaはアクセスポリシーに基づいてユーザーを認証しSAMLアサーションを生成します。
  5. ブラウザはSAMLアサーションをアプリケーションに送信します。
  6. アプリはSAMLアサーションを読み取って、ローカルセッションを作成し、Access Gatewayにコンテンツを渡します。

構成要素および要件

構成要素 説明と要件
Okta Access Gateway Okta Access Gatewayの全てのバージョンがSAMLパススルーをサポートします。

Access Gatewayアプリ

Access Gateway内では定義されるが、どのユーザーにも表示されないアプリケーション。

Okta SAMLアプリ Oktaが使用する非表示のアプリケーション。
Oktaブックマークアプリ Okta orgにリストされたブックマークアプリケーション。
SAMLアプリケーション 外部リファレンスと同じ名前を用いるが、スプリットDNSによって区別される内部SAMLアプリケーション。
外部URL Access Gateway内の[Public Domain field(パブリックドメインフィールド)]によって指定される外部URL。外部DNSによって区別される内部SAMLアプリと同一のDNS。
例: https://saml-app.example.com