信頼出来るドメインについて

Access Gatewayの第一の機能は、アプリケーションリクエストをプロキシおよびリダイレクトすることです。特定のシナリオにおいては、Access Gatewayで承認されていないリダイレクトが発生する可能性があります。承認されていないリダイレクトを防ぐために、Access Gatewayは信頼できるドメインをサポートしています。有効にすると、信頼できるドメインサポートは、リクエストされたリダイレクトが既知のドメインまたは信頼できるドメインに対するものであるかを判断するために全てのリダイレクトをチェックします。ドメインが信頼されている場合、リダイレクトは問題なく行われます。しかし、ドメインが信頼できるドメインリストに存在しない場合は、リダイレクトはブロックされ、ユーザーにエラーが表示されます。

重要事項

有効にすると、Access Gatewayは、信頼できるドメインのみを使って、Access Gatewayへのリダイレクトを確認します。保護されたリソースリダイレクトが引き続き発生しても、コアAccess Gatewayの管理の範囲でない可能性があります。

プロセスフロー

プロセスフロー(既知の信頼できるドメイン):

  1. リクエストがAccess Gatewayに送られます。
  2. Access Gatewayは、そのリクエストを既知の信頼できるドメインリストと照らし合わせます。ドメインが「信頼できる」と判断する。
    注意:信頼済みドメインは、クライアントOkta orgと同期されます。
  3. Access Gatewayは、信頼できるドメインのリクエストを保護されたアプリケーションにリダイレクトします。
  4. 保護されたアプリケーションはリクエストを返します。
  5. Access Gateway 管理者 UI コンソールにリクエストが返されます。

プロセスフロー(信頼できないドメイン)

  1. リクエストがAccess Gatewayに送られます。
  2. Access Gatewayは、そのリクエストを既知の信頼できるドメインリストと照らし合わせます。ドメインが「信頼できない」と判断されます。
  3. Access Gatewayはエラーをクライアントに返します。

信頼できるドメインを管理する

Access Gateway 管理者コンソール信頼できるドメインの管理を使用すると、Access Gatewayの信頼できるドメイン機能を有効化または無効化し、信頼できるドメインリストを閲覧できるようになります。

信頼できるドメインは:

  • 有効化 - 信頼できるドメインが有効になっている場合、リダイレクトのみが信頼できるドメインリストと照合されます。
    他のドメインへのリダイレクトは、以下のようなエラーを発生します:
    信頼できないドメインに対してリダイレクトを試みた場合のエラーメッセージ。
  • 無効化 - 信頼できるドメインが無効化になっている場合、リダイレクトは正常に行われますが、既知の信頼済みオリジンリストとは照合されません。

信頼できるドメインは、バージョン2020.8.3以降のAccess Gatewayデプロイメントではデフォルトで有効になっています。
既存のシステム動作を維持するために前のバージョンからアップグレードする場合、信頼できるドメインはデフォルトで無効になっています。

信頼できるドメインリストには以下が含まれます:

  • 信頼できるドメインはOktaテナントと同期されます。Okta tenantの信頼できるドメインの閲覧方法を以下に示します:
    1. Oktaテナントに管理者としてサインインします。
    2. Admin Consoleで、[Security(セキュリティ)] [API]に移動します。
    3. 信頼済みオリジンタブを選択します。
  • 保護対象Webリソースフィールドにリストされたすべてのアプリケーションのプライベートドメイン。

    すべてのアプリケーションドメインは、アプリケーションが追加されるとOkta tenantと同期されます。

    プロトコルとパス情報はドメインの一部ではありません。

関連項目