CIAMアプリケーションのリファレンスアーキテクチャ

カスタマーアイデンティティアクセス管理(CIAM)アーキテクチャに重点を置いている組織には、アーキテクチャについて明確な考慮事項があります。一般に、CIAMインフラストラクチャは、多数のユーザーと、アプリケーションへの多数のリクエストに対応することを目的として構築されます。アプリケーションは、複数のレベルの冗長性を備えて構築され、アクティブ/アクティブ構成で、世界中の複数のデータセンターに配置することができます。通常のアーキテクチャには、単一のアプリケーションのみが含まれる場合と、さまざまなインフラストラクチャー要件を持つ複数のアプリケーションが含まれる場合があります。各アプリケーションは一般的に、インフラストラクチャーを共有するのではなく、分離とパフォーマンスのために個別のスタックを持っています。さらに、ユーザーログインまたはユーザー登録を要求する前に、ユーザーをアプリケーションに深く理解することを要求されることが多くあります。
Okta環境では、一般的にCIAMユーザーはオンプレミスのLDAP、AD、またはデータベースではなくUniversal Directoryに保存されます。

アプローチ

上のような環境でアプリケーションを保護するためにAccess Gatewayをデプロイする場合、基本のアーキテクチャのデプロイメントを開始し、必要に応じて特定の機能を追加するのが最適です。この方法論に従えば、Organizationはものごとを迅速に進めることができ、要件分析に過度に行き詰まることがなくなります。

全体的なアーキテクチャを決定する際の主なステップには以下が含まれます:

  • Access Gatewayを介してインターネットからアクセスする必要のあるアプリケーションと、ユーザーが内部ネットワークにアクセスする必要のあるアプリケーションを特定します。これは通常アプリケーションのサブセットとしてスタートし、時間の経過とともに拡張されます。
  • アプリケーションがOktaやAccess Gatewayと統合される方法を特定します。一般的な統合には以下が含まれます:
    • 多数の保護されていないURL(パススルー)
    • ヘッダーベース
    • SAML
    • サイトの匿名パーソナライゼーション
    • その他
  • アプリケーションにアクセスするユーザーの人数と頻度を特定します。これによって、Access Gatewayのインスタンス、ロードバランサーの必要数と一般的なアーキテクチャコンポーネントの分散方法を判断することができます。

Access Gate CIAMアーキテクチャ

Access Gateway CIAMのインストールは、さまざまな組み合わせでデプロイできます。一般的なアーキテクチャは以下のとおりです:

シンプルCIAMアプリケーションのリファレンスアーキテクチャ すべてのアーキテクチャの中で最もシンプルな単一Access Gatewayサーバーアーキテクチャは、開発およびテストシナリオにおいて一般的です。
シングルクラスターCIAMアプリケーションのリファレンスアーキテクチャ シングルクラスターAccess Gatewayは、Access Gatewayを使用して単一のWebリソースを保護するために必要なコンポーネントを表すアーキテクチャです。このアーキテクチャは、Access Gatewayクラスターを導入することで、シンプルなAccess Gatewayインスタンスアーキテクチャを拡張します。
シングルスプリットクラスターCIAMアプリケーションのリファレンスアーキテクチャ シングルスプリットクラスターAccess Gatewayは、Access Gatewayを使用して複数の類似したWebリソースを保護するために必要なコンポーネントを表すアーキテクチャです。このアーキテクチャは、複数の仮想環境に分割されたAccess Gatewayクラスターを導入することで、シングルクラスターのAccess Gatewayアーキテクチャを拡張します。
ハイブリッドマルチクラスタースプリングCIAMアプリケーションのリファレンスアーキテクチャ
ハイブリッドマルチクラスター分割Access Gatewayは、Access Gatewayを使用して異なる要件を持つ複数のWebリソースセットを保護するために必要なコンポーネントを表すアーキテクチャです。このアーキテクチャは、クラスターと複数の仮想環境間で分割されたAccess Gatewayクラスターを導入することにより、シングルクラスターのAccess Gatewayとシングルスプリットクラスターアーキテクチャを組み合わせます。
マルチクラスターCIAMアプリケーションのリファレンスアーキテクチャ マルチクラスターAccess Gatewayは、Access Gatewayを使用して異なる要件を持つ複数のWebリソースセットを保護するために必要なコンポーネントを代表するアーキテクチャです。このアーキテクチャは、複数の仮想環境に分散した複数のAccess Gatewayクラスターを使用して、シングルクラスターAccess Gatewayアーキテクチャを拡張します。

アーキテクチャの機能領域の内訳

アーキテクチャは、次の機能領域に分類されます。

外部インターネット 外部インターネットは、Okta Orgを含むアプリケーションにアクセスするクライアントを表します。
DMZ DMZは、外部インターネットからアプリケーションにアクセスできるように、Access Gatewayクラスターと関連コンポーネントが格納されています。
内部 内部ネットワークには、Access Gatewayによって保護されているアプリケーションと、これらのアプリケーションを広く利用できるようにするために必要なその他のコンポーネントが配置されています。