Workforce異種アプリケーションのリファレンスアーキテクチャ
多くのWorkforceカスタマーは、従業員向けに会社のネットワーク内で多数のアプリケーションを実行しています。これらのアプリケーションは、何年または何十年にもわたってデプロイされており、さまざまな言語/プラットフォームを使用する自社開発アプリケーションやサードパーティーの商用オフザシェルフ(COTS)ソリューションで構成することができます。これらのアプリケーションの一部またはすべてをセキュリティ保護する現在のWebアクセス管理ソリューションさえあります。アプリケーションは、HTTPヘッダー、Windows Kerberosトークン、またはSAML/oAuthトークンを検索して、ユーザーを識別することもあります。アプリケーションは、アクティブ/アクティブ、アクティブ/パッシブ(スタンドバイ)、またはアクティブ/DR可用性などのモデルを使用することで、複数のデータセンター内のHAクラスターにデプロイできます。
ユーザーは、企業のActive Directory、別のLDAPディレクトリまたはデータベース、またはその両方に保存できます。ユーザーは、企業ネットワーク上に物理的に配置されたネットワーク、VPN接続を介して企業ネットワーク上の仮想的に配置されたネットワーク、またはインターネットを介してアプリケーションにアクセスしている可能性があります。
アプローチ
上のような環境でアプリケーションを保護するためにAccess Gatewayをデプロイする場合、基本のアーキテクチャのデプロイメントを開始し、必要に応じて特定の機能を追加するのが最適です。この方法論に従えば、Organizationはものごとを迅速に進めることができ、要件分析に過度に行き詰まることがなくなります。
全体的なアーキテクチャを決定する際の主なステップには以下が含まれます:
- Access Gatewayを介してインターネットからアクセスする必要のあるアプリケーションと、ユーザーが内部ネットワークにアクセスする必要のあるアプリケーションを特定します。これは通常アプリケーションのサブセットとしてスタートし、時間の経過とともに拡張されます。
- アプリケーションがOktaやAccess Gatewayと統合される方法を特定します。一般的な統合には以下が含まれます:
- アプリケーションにアクセスするユーザーの人数と頻度を特定します。これによって、Access Gatewayのインスタンス、必要なロードバランサーの数と一般的なアーキテクチャコンポーネントの分散方法を判断することができます。
Access Gatewayworkforce アーキテクチャ
Access Gatewayworkforce のインストールは、さまざまな組み合わせでデプロイできます。一般的なアーキテクチャは以下のとおりです:
| Access Gatewayシングルサーバーアーキテクチャ | すべてのアーキテクチャの中で最もシンプルなシングルAccess Gatewayサーバーアーキテクチャは、開発およびテストシナリオにおいて一般的です。 |
| 内部専用シングルデータセンターのアーキテクチャ | 内部専用シングルデータセンタークラスターは、シングルサーバーアーキテクチャで展開し、Access Gatewayクラスターを導入して容量を拡張し、フォールトトレランスを提供しますが、内部使用専用アプリケーション向けです。 |
| 外部専用シングルデータセンターのアーキテクチャ | 外部専用シングルデータセンタークラスターは、シングルサーバーアーキテクチャで展開し、Access Gatewayクラスターを導入して容量を拡張し、フォールトトレランスを提供します。 |
| マルチデータセンターのアーキテクチャ | マルチデータセンターAccess Gatewayアーキテクチャは、内部および外部のシングルアーキテクチャの両方で展開されますが、マルチデータセンターの環境ではAccess Gatewayと複数の環境レベル両方のフォ-ルトトレランスを備えています。 |
| 包括的アーキテクチャ | すべてのアプリケーションをシングルデータセンターとして表示する包括的なアーキテクチャ。 |
アーキテクチャの機能領域の内訳
アーキテクチャは、次の機能領域に分類されます。
| 外部インターネット | 外部インターネットは、Okta Orgを含むアプリケーションにアクセスするクライアントを表します。 |
| DMZ | DMZは、外部インターネットからアプリケーションにアクセスできるように、Access Gatewayクラスターと関連コンポーネントが格納されています。 |
| 内部 | 内部ネットワークには、Access Gatewayによって保護されているアプリケーションと、これらのアプリケーションを広く利用できるようにするために必要なその他のコンポーネントが配置されています。 |