信頼出来るドメインについて
Access Gatewayの第一の機能は、アプリケーションリクエストをプロキシおよびリダイレクトすることです。特定のシナリオにおいては、Access Gatewayで承認されていないリダイレクトが発生する可能性があります。承認されていないリダイレクトを防ぐために、Access Gatewayは信頼できるドメインをサポートしています。有効にすると、信頼できるドメインサポートは、リクエストされたリダイレクトが既知のドメインまたは信頼できるドメインに対するものであるかを判断するために全てのリダイレクトをチェックします。ドメインが信頼されている場合、リダイレクトは問題なく行われます。しかし、ドメインが信頼できるドメインリストに存在しない場合は、リダイレクトはブロックされ、ユーザーにエラーが表示されます。
有効にすると、Access Gatewayは、信頼できるドメインのみを使って、Access Gatewayへのリダイレクトを確認します。保護されたリソースリダイレクトが引き続き発生しても、コアAccess Gatewayの管理の範囲でない可能性があります。
プロセスフロー
プロセスフロー(既知の信頼できるドメイン):
プロセスフロー(信頼できないドメイン)
|
信頼できるドメインを管理する
Access Gateway 管理者コンソールの信頼できるドメインの管理を使用すると、Access Gatewayの信頼できるドメイン機能を有効化または無効化し、信頼できるドメインリストを閲覧できるようになります。
信頼できるドメインは:
- 有効化 - 信頼できるドメインが有効になっている場合、リダイレクトのみが信頼できるドメインリストと照合されます。
他のドメインへのリダイレクトは、以下のようなエラーを発生します: - 無効化 - 信頼できるドメインが無効化になっている場合、リダイレクトは正常に行われますが、既知の信頼済みオリジンリストとは照合されません。
信頼できるドメインは、バージョン2020.8.3以降のAccess Gatewayデプロイメントではデフォルトで有効になっています。
既存のシステム動作を維持するために前のバージョンからアップグレードする場合、信頼できるドメインはデフォルトで無効になっています。
信頼できるドメインリストには以下が含まれます:
- 信頼できるドメインはOktaテナントと同期されます。Okta tenantの信頼できるドメインの閲覧方法を以下に示します:
- Oktaテナントに管理者としてサインインします。
- Admin Consoleで、 に移動します。
- 信頼済みオリジンタブを選択します。
- 保護対象Webリソースフィールドにリストされたすべてのアプリケーションのプライベートドメイン。
すべてのアプリケーションドメインは、アプリケーションが追加されるとOkta tenantと同期されます。
プロトコルとパス情報はドメインの一部ではありません。