シングルクラスターCIAMアプリケーションのリファレンスアーキテクチャ

シングルクラスターAccess Gatewayは、Access Gatewayを使用して単一のWebリソースを保護するために必要なコンポーネントを表すアーキテクチャです。Access Gatewayクラスターを導入することで、シンプルな Access Gatewayインスタンスアーキテクチャを拡張します。

このアーキテクチャは、以下の要件を満たすように設計されています。

• 1つのアプリケーションへのセキュアアクセス - 外部インターネットへのアクセスを可能にする。
• フォールトトレランスの提供 - クラスターワーカーとしてAccess Gatewayの追加インスタンスを提供し、クラスターが使用できない場合は、クラスターが正常に動作し続けるようにする。
• キャパシティの管理 - 期待される負荷を処理するために、Access Gatewayの追加インスタンスを提供する。

利点と欠点

利点	欠点
インストールが比較的簡単である 基本的なフォールトトレランスとキャパシティサポートを提供する 必要に応じて、追加のワーカーによってキャパシティを増強することができる 負荷分散されている	単一の仮想環境 Access Gateway以前のDMZベースのロードバランサーは、セッションアフィニティ（スティッキーセッション）をサポートする必要がある

アーキテクチャ

コンポーネント

ロケーション	コンポーネント	説明
外部インターネット	Webクライアント	従来のクライアントブラウザで、[appN|consumer-app1].example.com URLとして認識されるAccess Gatewayにアクセスします。
	Okta org	Okta orgは、アイデンティティサービスを提供しています。
	Okta org Universal Directory	Okta orgでホスティングされるOkta Universal Directoryには、その他のLDAPまたはActive Directory実装の外部のユーザーが含まれます。通常、これにはその他のカスタマーアカウントやパートナーアカウントなどが含まれます。
ファイアウォール	外部インターネットからDMZ	外部インターネットとDMZホスティングAccess Gatewayの間の従来のファイアウォール。
内部ネットワーク
	Access Gateway管理者	構成、構成バックアップ、ログ転送および類似のアクティビティを扱うデータセンター内のAccess Gateway管理者ノード。 内部ネットワーク内の管理者によるアクセス。
	Access Gateway以前のロードバランサー	クライアントとAccess Gatewayクラスター間の負荷分散を行います。 クライアントとAccess Gatewayクラスターの間に配置されます。
	Access Gateway	DMZ内に配置されるAccess Gatewayインスタンスは、外部インターネットクライアントが使用するアプリケーションへのアクセスを提供するために使用されます。 通常、Amazon Web Services、MS Azure、Orace OCIなどの仮想環境でホスティングされます。「Access Gatewayのデプロイメントを管理する」を参照してください。
	内部アプリケーションロードバランサー	Access Gatewayクラスターと保護対象アプリケーション間の負荷を分散します。「負荷分散」をご参照ください。
	comsumer-app1.example.com	Access Gatewayによって保護されたアプリケーションの1つにアクセスするために、Webクライアントが入力するアプリケーションの1つを表すURL。 通常、この性質のすべてのURLは、Access Gatewayインスタンスによってサービスされ、解決されます。
	保護済みのアプリケーション	保護対象Webリソースのセットで、consumer-app1.internal-example.com URLを使用してアクセスされます。従来のAccess Gatewayは、各アプリケーション定義内で［Protected Web Resource（保護対象Webリソース）］フィールドを使用して対話します。

その他の考慮事項

このアーキテクチャでは、アーキテクチャコンポーネントを収容するデータセンターが示されていません。

関連項目

一般的なAccess Gatewayフロー

DNSの用途

高可用性

Access Gatewayの前提条件について