証明書チャレンジで保護されたアプリケーションのリファレンスアーキテクチャ
証明書チャレンジで保護されたアプリケーションのAccess Gatewayアーキテクチャは、ファイアウォールまたは保護されたIPアーキテクチャのいずれかを展開し、証明書チャレンジを使用して保護対象のWebリソースへのアクセスを制限します。このアーキテクチャのアプリケーションは、すべてのAccess Gatewayインスタンスに予めロードされている非常に特殊な証明書を使って検証されたクライアントのみがアクセスできます。
証明書は、OktaプロフェッショナルサービスがAccess Gatewayインスタンス上にロードして更新する必要があります。
- 外部クライアントから内部URLを非表示にすることによって保護対象のWebリソースを保護します。
- ファイアウォールによって保護された未承認のリクエスト。
- 予め構成された証明書ベースのチャレンジ/レスポンスが、保護対象のWebリソースへのアクセスを許可または拒否する
利点と欠点
| 利点 | 欠点 |
|---|---|
|
|
アーキテクチャ
コンポーネント
| ロケーション | コンポーネント | 説明 |
|---|---|---|
| 外部インターネット | 外部URL | クライアントが、保護対象Webリソースの代わりにAccess Gatewayへのアクセスに使用する外部URL |
| DNS | 外部URLにDNS解像度を提供するDNSサーバー | |
| 外部インターネットとDMSの間 | ファイアウォール | DMZハウジングAccess Gatewayと外部インターネットを分割するファイアウォール |
| DMZ | Access Gateway | 複数のDNSサーバーを使って内部URLと外部URLを解決するDMZに配置されたAccess Gatewayクラスター。 |
| Access Gateway証明書とポリシー |
|
|
| 内部インターネットとDMSの間 | ファイアウォール | DMZハウジングAccess Gatewayと内部インターネットを分割するファイアウォール |
| 内部ネットワーク | 証明書 | 保護対象Webリソースにチャレンジを発行するときに使われるカスタム証明書。 |
| 内部DNSとURL | Access Gatewayの保護対象Webリソースを示す内部URLをサポートする内部DNSサーバー。 | |
| アプリケーション | 保護対象Webリソース(アプリケーション)。 |