ハイブリッドマルチクラスタースプリングCIAMアプリケーションのリファレンスアーキテクチャ

ハイブリッドマルチクラスター分割Access Gatewayは、Access Gatewayを使用して異なる要件を持つ複数のWebリソースセットを保護するために必要なコンポーネントを表すアーキテクチャです。このアーキテクチャは、クラスターと複数の仮想環境間で分割されたAccess Gatewayクラスターを導入することにより、シングルクラスターのAccess Gatewayとシングルスプリットクラスターアーキテクチャを組み合わせます。
このアーキテクチャは、以下の要件を満たすように設計されています。

  • 複数のアプリケーションへのセキュアアクセス - 外部インターネットへのアクセスを可能にする。
  • 多様な負荷条件を持つアプリケーションをサポートする。
  • フォールトトレランスの提供 - クラスターワーカーとしてAccess Gatewayの追加インスタンスを提供し、クラスターが使用できない場合は、クラスターが正常に動作し続けるようにする。
  • キャパシティの管理 - 期待される負荷を処理するために、Access Gatewayの追加インスタンスを提供する。

利点と欠点

利点 欠点
  • さまざまなニーズを持つ複数のアプリケーションをサポートする
  • 基本的なフォールトトレランスとキャパシティサポートを提供する
  • 必要に応じて、追加のワーカーによって追加でキャパシティを増強することができる
  • 負荷分散されている
  • 複雑
  • 複数の仮想環境
  • 複数のロードバランサーが必要
  • Access Gateway以前のDMZベースのロードバランサーは、セッションアフィニティ(スティッキーセッション)をサポートする必要がある

アーキテクチャ

コンポーネント

ロケーション

コンポーネント 説明
外部インターネット Webクライアント

従来のクライアントブラウザで、[appN|consumer-app1].example.com URLとして認識されるAccess Gatewayにアクセスします。
Okta org

Okta orgは、アイデンティティサービスを提供しています。
Okta org Universal Directory

Okta orgでホスティングされるOkta Universal Directoryには、その他のLDAPまたはActive Directory実装の外部のユーザーが含まれます。通常、これにはその他のカスタマーアカウントやパートナーアカウントなどが含まれます。
ファイアウォール 外部インターネットからDMZ

外部インターネットとDMZホスティングAccess Gatewayの間の従来のファイアウォール。
内部ネットワーク
Access Gateway以前のロードバランサー

クライアントとAccess Gatewayクラスター間の負荷分散を行います。
クライアントとAccess Gatewayクラスターの間に配置されます。
Access Gateway管理者 構成、構成バックアップ、ログ転送および類似のアクティビティを扱うデータセンター内のAccess Gateway管理者ノード。
内部ネットワーク内の管理者によるアクセス。
Access Gateway環境1 DMZ内にあるAccess Gatewayインスタンスで、CIAMアプリケーション1へのサービスに使用されます。
Access Gateway環境2 DMZ内にあるAccess Gatewayインスタンスで、CIAMアプリケーション2へのサービスに使用されます。
Access Gateway環境3 DMZ内にあるAccess Gatewayインスタンスで、CIAMアプリケーション3へのサービスに使用されます。
通常、Amazon Web Services、MS Azure、Oracle OCIなどと同様の仮想環境でホスティングされます。「Access Gatewayのデプロイメントを管理する」を参照してください。
内部前Access Gatewayアプリケーションロードバランサー Access Gatewayクラスターと保護対象アプリケーション間のロードバランサーとしてのAccess Gateway
CIAMアプリケーションに基づき構成されます。
「負荷分散」を参照してください。
comsumer-app1.example.com(非表示) Access Gatewayによって保護されたアプリケーションの1つにアクセスするために、Webクライアントが入力するアプリケーションの1つを表すURL。通常、この性質のすべてのURLは、Access Gatewayインスタンスによってサービスされ、解決されます。
保護済みのアプリケーション
 保護対象Webリソースのセットで、consumer-app1.internal-example.com URLを使用してアクセスされます。従来のAccess Gatewayは、各アプリケーション定義内で[Protected Web Resource(保護対象Webリソース)]フィールドを使用して対話します。

その他の考慮事項

DNSは通常、外部ドメインと内部ドメインの間で分割されます。[appN|consumer-app1].example.comなどの外部URLはすべて外部で使用され、Access Gatewayインスタンスを指し示します。[protd-N|consumer-app1].internal-example.comなどのAccess Gatewayで使用される内部URLは、内部DNSで提供されます。

ほとんどのアーキテクチャは、ログイベントを外部のsyslogコンポーネントに転送します。Oktaは、すべてのAccess Gateway環境にログサーバーを設定することを強く推奨します。詳しくは、「ログフォワーダーを構成する」を参照してください。

このアーキテクチャでは、アーキテクチャコンポーネントを収容するデータセンターが示されていません。

関連項目

一般的なAccess Gatewayフロー

DNSの用途

高可用性

Access Gatewayの前提条件について