アプリ動作を定義する
アプリの動作は、イベントに応じて実行するアクションを定義します。
アプリに動作を追加する
- Access Gateway管理者UIコンソールに進みます。
- [トポロジ]または[アプリケーション]タブからアプリケーションを開きます。
- 設定 ペインで、[Behaviors(動作)]を展開します。
- 次のカスタム動作のいずれかを選択します:
ログイン
ユーザー セッションの作成に役立つログインエンドポイントを定義します。
| フィールド | 説明 |
|---|---|
| Login(ログイン) | ドロップダウンメニューからこのオプションを選択します。 |
| Login path(ログインパス) | ログインエンドポイントURLへのパス。用途に応じて相対の場合と完全修飾の場合があります。ユーザーが正常にサインインした後に実行されます。 URLは、ログイン、ログアウト、エラーの各動作で一意である必要があります。Access Gatewayでは、複数動作での同一URLの使用はサポートされません。URLを既存の定義済みポリシーと重複させることはできません。「アプリケーションポリシーを管理する」を参照してください。 |
[Login(ログイン)]は以下の動作をサポートします。
| 値 | 動作 |
ログインパス |
|---|---|---|
| Don't define login behavior(ログイン時の動作を定義しない) | ログイン動作を使用しません。 | 該当なし。 |
| Use Okta Access Gateway login page(Okta Access Gatewayログインページの使用) | 認証モジュールのログインページを表示します。 | 保護されたアプリに有効な相対パスを入力します。[Auth module(認証モジュール)]は、以前に定義された認証モジュールを参照する必要があります。 |
| Use Application login page(アプリケーションログインページを使用) | アプリでホストされたログインページへの、保護されていないパスを使用します。 | 保護されたアプリの有効な相対パスを入力します。 |
| Define a custom login URL(カスタムログインURLを定義) | Access Gatewayはサインインするユーザーを[Custom URL(カスタムURL)]に転送します。 | 保護されたアプリに有効な相対パスを入力します。[Custom URL(カスタムURL)]には有効な完全修飾URLが含まれている必要があります。 |
ログアウト
ユーザーセッションを終了するのに役立つログアウトエンドポイントを定義します。
Access Gatewayは、Okta orgのプライマリメールアドレスを使ってユーザーセッションを作成、識別します。セキュリティ上の理由から、複数のユーザーアカウントで同じプライマリメールアドレスを使いまわさずに、ユーザーアカウントごとに一意のプライマリメールアドレスを使用することをお勧めします。これにより、Universal Logoutが有効な場合などに、プロファイルに同じプライマリメールアドレスが指定されたいずれかのユーザーがセッションを終了したときに、同一プライマリメールアドレスのすべてのユーザーのセッションがOktaによって終了されるのを防止できます。
| フィールド | 説明 |
|---|---|
| Logout(ログアウト) | ドロップダウンメニューからこのオプションを選択します。 |
| Logout path(ログアウトパス) | 相対エンドポイントURLのパス。ログアウトするユーザーをこのパスにリダイレクトします。 URLは、ログイン、ログアウト、エラーの各動作で一意である必要があります。Access Gatewayでは、複数動作での同一URLの使用はサポートされません。URLを既存の定義済みポリシーと重複させることはできません。「アプリケーションポリシーを管理する」を参照してください。 |
| Single Logout(シングルログアウト) |
|
|
Universal Logout |
ユーザーがサインアウトすると、ユーザーのAccess Gatewayとアプリのセッションが終了します。ユーザーがAccess Gatewayまたはアプリを使用するには、サインインし直す必要があります。Universal LogoutはユーザーをOktaからサインアウトしません。 |
|
Global Token Revocation |
OktaからユーザーのAccess Gatewayとアプリのセッションを終了します。ユーザーがAccess Gatewayまたはアプリを使用するには、サインインし直す必要があります。Oktaがログアウト要求を送信できるように、アプリはインターネットからOktaにアクセスできる必要があります。アプリがイントラネットからのみアクセス可能な場合、Oktaは要求を送信できません。「対応アプリにUniversal Logoutを構成する」を参照してください。 |
| Post Logout URL(ログアウト後のURL) | このオプションは、[Define a custom logout URL(カスタムログアウトURLを定義)]を選択した場合に表示されます。フィールドにURLを入力します。 |
|
値 |
動作 |
終了ページ |
|---|---|---|
| Show Logout page(ログアウトページの表示) | [Single Logout(シングルログアウト)]の値に基づき、OktaとAccess Gatewayのセッションをリセットします。 | セッションのクリーンアップが完了すると、ログアウトの成功を示すAccess Gatewayログアウトページが表示されます。 |
|
Show Login(ログインページを表示) |
[Single Logout(シングルログアウト)]の値に基づき、OktaとAccess Gatewayのセッションをリセットします。 |
[Single Logout(シングルログアウト)]が有効の場合、セッションのクリーンアップ後、Access GatewayはOktaのサインインページを表示します。無効の場合、ユーザーをAccess Gatewayのログアウトページにリダイレクトします。 |
| Use Application Logout(アプリケーションログアウトページを使用) | [Single Logout(シングルログアウト)]の値に基づき、OktaとAccess Gatewayのセッションを終了します。 [Logout path(ログアウトパス)]の値は、保護されたアプリの有効な相対パスである必要があります。 |
セッションのクリーンアップ後、Access Gatewayは[Logout path(ログアウトパス)]フィールドに指定されたページを表示します。 このオプションは、アプリにすでにログアウトページがある場合、またはエンドユーザーのログアウト後に実行されるアクションにカスタムロジックが必要な場合に使用できます。たとえば、サードパーティのサービスでセッションをクリアする、または外部監査ログに書き込む場合などです。 |
| Define a custom Logout URL(カスタムログアウトURLを定義) | [Single Logout(シングルログアウト)]の値に基づき、OktaとAccess Gatewayのセッションを終了します。 [Logout path(ログアウトパス)]の値は完全修飾URLである必要があります。 |
エンドユーザーがログアウト後にリダイレクトされるURL。デフォルトでは、これは[Post Login(ログイン後)]の値です。 ユーザーのログアウト時に、指定された[Post Logout URL(ログアウト後のURL)]にリダイレクトします。 Access GatewayとOktaのセッションは、ユーザーをこのURLにリダイレクトする前に選択した [Single Logout(シングルログアウト)]の動作に従って終了します。 |
| Don't define any logout behavior(ログアウト時の動作を定義しない) | ユーザーのサインアウト時にAccess GatewayアプリセッションもOktaセッションも終了しません。 | 該当なし。 |
ログアウト後の状態の移行:
ログアウト後のURL
サインアウト後にエンドユーザーがリダイレクトされるデフォルトURLです。デフォルトでは[Post Login(ログイン後)]の値となります。
このフィールドを有効にし、適切なURLを入力します。ユーザーを、顧客がホストする中央のログアウトページや、会社のホームページ、その他類似の場所にリダイレクトします。
エラー
この動作は、エラー発生時に呼び出されるエラーエンドポイントを定義できるようにします。ユーザーを、顧客がホストする中央のログアウトページや、会社のホームページ、その他類似の場所にリダイレクトします。
| フィールド | 説明 |
|---|---|
| Error(エラー) | ドロップダウンメニューからこのオプションを選択します。 |
| Error path(エラーパス) | これはエラーエンドポイントURLへのパスです。用途に応じて相対の場合と完全修飾の場合があります。 URLは、ログイン、ログアウト、エラーの各動作で一意である必要があります。Access Gatewayでは、複数動作での同一URLの使用はサポートされません。URLを既存の定義済みポリシーと重複させることはできません。「アプリケーションポリシーを管理する」を参照してください。 |
| ドロップダウン値 | 動作 |
エラーパス |
|---|---|---|
| Use Okta Access Gateway error page(Okta Access Gatewayエラーページを使用) | このアプリのエラーパスを定義します。デフォルトでは、一般のAccess Gatewayエラーページが表示されます。 | 該当なし。 |
| Use Application error page(アプリケーションエラーページを使用) | アプリでホストされるエラー ページを表示します。[Error path(エラーパス)]は、アプリの有効なパスである必要があります。 | 保護されたアプリに有効な相対パスが存在する必要があります。 |
| Define a custom error URL(カスタムエラーURLを定義) | このオプションは、エンドユーザーをカスタムエラーパスのURLパスにリダイレクトします。 | [Error path(エラーパス)]に加え、エラーハンドラーとして使用される完全修飾パスを入力します。このオプションには、有効な完全修飾URLが含まれている必要があります。 |
| Don't define any Error Behavior(エラーの動作を定義しない) | Access Gatewayはエラー動作を実行しません。 | 該当なし。 |
エラー状態の遷移
セッションなし/セッション有効期限切れ
Access Gatewayがセッションを持たない場合、または現在のセッションがアプリで期限切れになった場合のエンドユーザーエクスペリエンスを定義します。
| ドロップダウンリストの値 | |
|---|---|
| Redirect to IDP(IDPにリダイレクト) | このオプションは、エンドユーザーをOktaにリダイレクトして再認証します。Oktaセッションがまだアクティブである場合、エンドユーザーは更新されたアプリセッションで静的にアプリにリダイレクトされます。 |
| Force reauthentication at IDP(IDPにおける強制再認証) | このオプションは、Oktaセッションがアクティブな場合でも、再認証のためエンドユーザーをOktaにリダイレクトします。 |
| Show default no session(デフォルトのセッションなしのページを表示する) | Access Gatewayの「セッションなし」ページを表示します。 |
| Redirect to custom URL(カスタムURLにリダイレクト) | エンドユーザーをカスタムURLにリダイレクトします。 |
セッション状態の遷移
ポリシー拒否
ユーザーがポリシーの要件を満たしていない場合にAccess Gatewayがリソースへのアクセスを拒否する際のエンドユーザーエクスペリエンスを定義します。
| ドロップダウンリストの値 | |
|---|---|
| Show default policy failure page(デフォルトのポリシー失敗ページを表示) | デフォルトの「Access Gatewayポリシー失敗」ページが表示されます。 |
| Return 403 status code(403ステータスコードを返す) | ステータスコードHTTP 403の空白ページが返されます。 |
| Redirect to custom URL(カスタムURLにリダイレクト) | ポリシーの要件を満たしていないエンドユーザーをカスタムURLにリダイレクトします。 |
セッション整合性エラー
Access Gatewayがセッション整合性エラーを検出したときのエンドユーザーエクスペリエンスを定義します。これは、エンドユーザーがアクティブアプリセッションを維持しながらネットワークを変更した場合に一般的です。Access GatewayはリモートIPを検証し、アクセスを拒否します。
| ドロップダウンリストの値 | |
|---|---|
| Show default Security warning page(デフォルトのセキュリティ警告ページを表示) | デフォルトの「Access Gatewayセキュリティ警告」ページが表示されます。 |
| Return 405 status code(405ステータスコードを返す) | ステータスコードHTTP 405の空白ページが返されます。 |
| Redirect to IDP(IDPにリダイレクト) | セッション整合性エラーが検出されると、エンドユーザーは指定のカスタムURLにリダイレクトされます。 |
| Force reauthentication at IDP(IDPにおける強制再認証) | エンドユーザーに再認証を強制します。ユーザーはアプリに戻ります。 |
| Do not enforce(強制しない) | セッション整合性を強制しません。 |
証明書の検証動作
証明書の検証動作は早期アクセス機能です。有効にするには、Oktaサポートまで連絡してください。
この動作は、リクエストの検証に証明書チェーンを使用する場合に使われるフィールドと動作を定義できるようにします。
受信/送信証明書ヘッダーフィールドと証明書の動作を指定することで、関連するアプリが追加の認証のためにクライアント証明書チェーンを使用することを暗黙的に定義します。
| フィールド | 説明 |
|---|---|
| Client Certificate Validation Failed(クライアント証明書の検証失敗) | ドロップダウンメニューからこのオプションを選択します。 |
| Custom URL/URI(カスタムURL/URI) | カスタムエンドポイントへのパスです。用途に応じて相対の場合と完全修飾の場合があります。ユーザーがカスタムURLにリダイレクトされたときに実行されます。 |
| Incoming Header Field Name(受信ヘッダーフィールド名) | PEMフォーマット証明書を含むヘッダー属性です。この属性の値は、証明書チェーンの証明書と比較されます。 |
| Outgoing Header Field Name(送信ヘッダーフィールド名) | ヘッダー属性は、検証後に証明書を含めるために使用されます。受信ヘッダーフィールドの値は、要求されたバックおよびリソースへのリダイレクト時に、このヘッダーフィールドの値にコピーされます。 |
Client Certificate Validation Failed(クライアント証明書の検証失敗)は以下をサポートします。
| 値 | 動作 |
|---|---|
| Disable certificate checking(証明書の確認を無効化) | このアプリの証明書の確認を無効にします。 |
| Redirect the end user to a custom URL(エンドユーザーをカスタムURLにリダイレクト) | 証明書の検証に失敗した際に、ユーザーをカスタムURLにリダイレクトします。 |
| Return a blank page with an HTTP 405 status code(HTTP 405ステータスコードを伴う空白ページを返す) | 証明書の検証失敗時に、ユーザーを空白(空)のページにリダイレクトし、呼び出し元にHTTP 405を返します。 |
| Present a default error page with an "Invalid certificate message(「証明書無効のメッセージ」とともにデフォルトのエラーページを表示する) | 証明書の検証失敗時に、エンドユーザーに「証明書無効エラー」ページを表示します。 |
アプリのメンテナンス
アプリがメンテナンスモードになっているときのエンドユーザーエクスペリエンスを定義します。
| ドロップダウンリストの値 | |
|---|---|
| Default Application Maintenance page(デフォルトのアプリケーションメンテナンス中ページ) | デフォルトのOkta Access Gatewayアプリメンテナンスページを表示します。 |
| Redirect to custom URL(カスタムURLにリダイレクト) | Access Gatewayがメンテナンスモードの場合、エンドユーザーをカスタムURLにリダイレクトします。 |