マルチクラスターCIAMアプリケーションのリファレンスアーキテクチャ

マルチクラスターAccess Gatewayは、Access Gatewayを使用して異なる要件を持つ複数のWebリソースセットを保護するために必要なコンポーネントを代表するアーキテクチャです。複数の仮想環境に分散した幾つかのAccess Gatewayクラスターを使用して、シングルクラスターのAccess Gatewayアーキテクチャを拡張します。このアーキテクチャは、以下の要件を満たすように設計されています。

  • 複数のアプリケーションへのセキュアアクセス - 外部インターネットへのアクセスを可能にする。
  • 多様な負荷条件を持つ、複数の地域または地域に分散したアプリケーションをサポートする。
  • フォールトトレランスの提供 - クラスターワーカーとしてAccess Gatewayの追加インスタンスを提供し、クラスターが使用できない場合は、クラスターが正常に動作し続けるようにする。
  • キャパシティの管理 - 期待される負荷を処理するために、Access Gatewayの追加インスタンスを提供する。

利点と欠点

利点 欠点
  • 複数の地域でさまざまなニーズを持つ複数のアプリケーションをサポートする
  • 基本的なフォールトトレランスとキャパシティサポートを提供する
  • 必要に応じて、追加のワーカーによって追加でキャパシティを増強することができる
  • 負荷分散されている
  • 非常に複雑である
  • 複数の仮想環境
  • 複数のロードバランサーが必要
  • Access Gateway以前のDMZベースのロードバランサーは、セッションアフィニティ(スティッキーセッション)をサポートする必要がある

アーキテクチャ

コンポーネント

ロケーション

コンポーネント 説明
外部インターネット Webクライアント

従来のクライアントブラウザで、[appN|consumer-app1].example.com URLとして認識されるAccess Gatewayにアクセスします。
Okta org

Okta orgは、アイデンティティサービスを提供しています。
Okta org Universal Directory

Okta orgでホスティングされるOkta Universal Directoryには、その他のLDAPまたはActive Directory実装の外部のユーザーが含まれます。通常、これにはその他のカスタマーアカウントやパートナーアカウントなどが含まれます。
ファイアウォール 外部インターネットからDMZ 外部インターネットとDMZホスティングAccess Gatewayの間の従来のファイアウォール。
内部ネットワーク
Access Gatewayより前のロードバランサー クライアントとAccess Gatewayクラスター間の負荷分散を行います。クライアントとAccess Gatewayクラスターの間に配置されます。
Access Gateway管理者 構成、構成バックアップ、ログ転送および類似のアクティビティを扱うデータセンター内のAccess Gateway管理者ノード。内部ネットワーク内の管理者によるアクセス。
Access Gateway環境1 DMZ内にあるAccess Gatewayインスタンスで、CIAMアプリケーション1へのサービスに使用されます。
Access Gateway環境2 DMZ内にあるAccess Gatewayインスタンスで、CIAMアプリケーション2へのサービスに使用されます。
Access Gateway環境3 DMZ内にあるAccess Gatewayインスタンスで、CIAMアプリケーション3と4へのサービスに使用されます。通常、Amazon Web Services、MS Azure、Oracle OCIなどの仮想環境でホスティングされます。「Access Gatewayのデプロイメントを管理する」を参照してください。
内部前Access Gatewayアプリケーションロードバランサー Access Gatewayクラスターと保護対象アプリケーション間のロードバランサーとしてのAccess Gateway。CIAMアプリケーションに基づき構成されます。「Access Gatewayロードバランサーについて」を参照してください。
非表示(consumer-app1.example.com) Access Gatewayによって保護されたアプリケーションの1つにアクセスするために、Webクライアントが入力するアプリケーションの1つを表すURL。通常、この性質のすべてのURLは、Access Gatewayインスタンスによってサービスされ、解決されます。
保護済みのアプリケーション 保護されたWebリソースのセットで、consumer-app1.internal-example.com URLを使用してアクセスされます。従来または過去のアプリケーションAccess Gatewayは、各アプリケーション定義内で保護されたWebリソース(Protected Web Resource)フィールドを使用して対話します。

その他の考慮事項

DNSは通常、外部ドメインと内部ドメインの間で分割されます。[appN|consumer-app1].example.comなどの外部URLはすべて外部で使用され、Access Gatewayインスタンスを指し示します。[protd-N|consumer-app1].internal-example.comなどのAccess Gatewayで使用される内部URLは、内部DNSで提供されます。

ほとんどのアーキテクチャは、ログイベントを外部のsyslogコンポーネントに転送します。Oktaは、すべてのAccess Gateway環境にログサーバーを設定することを強く推奨します。詳細については、ログフォワーダーを構成するを参照してください。

このアーキテクチャでは、アーキテクチャコンポーネントを収容するデータセンターが示されていません。

関連項目

一般的なAccess Gatewayフロー

Access Gateway DNSの使用について

Access Gatewayの高可用性について

Access Gatewayの前提条件