アプリ動作を定義する

アプリの動作は、イベントに応じて実行するアクションを定義します。

アプリに動作を追加する

  1. Access Gateway管理者UIコンソールに進みます。
  2. トポロジ(Topology)またはアプリケーション(Applications)タブからアプリケーションを開きます。
  3. 設定(Settings) ペインで、動作(Behaviors)を展開します。
  4. 次のカスタム動作のいずれかを選択します:

ログイン(Login)

ユーザー セッションの作成に役立つログインエンドポイントを定義します。

フィールド 説明
ログイン(Login) ドロップダウンメニューからこのオプションを選択します。
ログインパス(Login path) ログインエンドポイントURLへのパス。用途に応じて相対の場合と完全修飾の場合があります。ユーザーが正常にサインインした後に実行されます。

ログイン(Login)は以下の動作をサポートします。

動作

ログインパス
ログイン時の動作を定義しない(Don't define login behavior) ログイン動作を使用しません。 該当なし。
Okta Access Gatewayログインページの使用(Use Okta Access Gateway login page) 認証モジュールのログインページを表示します。 保護されたアプリに有効な相対パスを入力します。認証モジュール(Auth module)は、以前に定義された認証モジュールを参照する必要があります。
アプリケーションログインページを使用(Use Application login page) アプリでホストされたログインページへの、保護されていないパスを使用します。 保護されたアプリの有効な相対パスを入力します。
カスタムログインURLを定義(Define a custom login URL) Access GatewayはサインインするユーザーをカスタムURL(Custom URL)に転送します。 保護されたアプリに有効な相対パスを入力します。カスタムURL(Custom URL)には有効な完全修飾URLが含まれている必要があります。

ログアウト

ユーザーセッションを終了するのに役立つログアウトエンドポイントを定義します。

フィールド 説明
ログアウト(Logout) ドロップダウンメニューからこのオプションを選択します。
ログアウトパス(Logout path) 相対エンドポイントURLのパス。ログアウトするユーザーをこのパスにリダイレクトします。

Oracle EBSアプリケーションの場合、ユーザーがEBSのローカルログインページにリダイレクトされるようにする構成手順については 、「シングルログアウトを使ったEBSのOAGログアウト」を参照してください。
シングルログアウト(Single Logout)
  • 有効:Access GatewayOktaの両方のセッションを終了します。
  • Access Gatewayセッションのみを終了するには、このオプションを無効にします。

Universal Logout

ユーザーがサインアウトすると、ユーザーのAccess Gatewayとアプリのセッションが終了します。ユーザーがAccess Gatewayまたはアプリを使用するには、サインインし直す必要があります。Universal LogoutはユーザーをOktaからサインアウトしません。

Global Token Revocation

OktaからユーザーのAccess Gatewayとアプリのセッションを終了します。ユーザーがAccess Gatewayまたはアプリを使用するには、サインインし直す必要があります。

このオプションを使ってOracle E-Business(EBS)アプリの動作を定義することはできません。

下記の条件を満たしていることを確認してください。

  • Oktaがログアウト要求を送信できるように、アプリがインターネットからOktaにアクセスできる。アプリがイントラネットからのみアクセス可能な場合、Oktaは要求を送信できません。対応アプリにUniversal Logoutを構成するを参照してください。
  • <your-org>-admin.okta.comのURLはSSL復号化から除外されている 。これにより、Access GatewayがOkta orgにアクセスできるようになります。
  • orgがOkta Identity Engineにアップグレードされ、正しく構成されている。「対応アプリにUniversal Logoutを構成する」を参照してください。
ログアウト後のURL このオプションは、カスタムログアウトURLを定義(Define a custom logout URL)を選択した場合に表示されます。フィールドにURLを入力します。

動作

終了ページ
ログアウトページの表示(Show Logout page) シングルログアウト(Single Logout)の値に基づき、OktaとAccess Gatewayのセッションをリセットします。 セッションのクリーンアップが完了すると、ログアウトの成功を示すAccess Gatewayログアウトページが表示されます。

ログインページを表示(Show Login)(Show Login page)

シングルログアウト(Single Logout)の値に基づき、OktaとAccess Gatewayのセッションをリセットします。

Access Gatewayが有効の場合、セッションのクリーンアップ後、Access Gateway(Single Logout)はOktaのサインインページを表示します。無効の場合、ユーザーをAccess Gatewayのログアウトページにリダイレクトします。
アプリケーションログアウトページを使用(Use Application Logout)(Use Application Logout page) シングルログアウト(Single Logout)の値に基づき、OktaとAccess Gatewayのセッションを終了します。

ログアウトパス(Logout path)の値は、保護されたアプリの有効な相対パスである必要があります。

 セッションのクリーンアップ後、Access Gatewayログアウトパス(Logout path)フィールドに指定されたページを表示します。

このオプションは、アプリにすでにログアウトページがある場合、またはエンドユーザーのログアウト後に実行されるアクションにカスタムロジックが必要な場合に使用できます。たとえば、サードパーティのサービスでセッションをクリアする、または外部監査ログに書き込む場合などです。
カスタムログアウトURLを定義(Define a custom Logout URL) シングルログアウト(Single Logout)の値に基づき、OktaとAccess Gatewayのセッションを終了します。

ログアウトパス(Logout path)の値は完全修飾URLである必要があります。

エンドユーザーがログアウト後にリダイレクトされるURL。デフォルトでは、これはログイン後(Post Login)の値です。

ユーザーのログアウト時に、指定されたログアウト後のURL(Post Logout URL)にリダイレクトします。Access GatewayとOktaのセッションは、ユーザーをこのURLにリダイレクトする前に選択した シングルログアウト(Single Logout)の動作に従って終了します。
ログアウト時の動作を定義しない(Don't define any logout behavior) ユーザーのサインアウト時にAccess GatewayアプリセッションもOktaセッションも終了しません。 該当なし。

ログアウト後の状態の移行:

ログアウト後のURL

サインアウト後にエンドユーザーがリダイレクトされるデフォルトURLです。デフォルトではログイン後(Post Login)の値となります。

このフィールドを有効にし、適切なURLを入力します。ユーザーを、顧客がホストする中央のログアウトページや、会社のホームページ、その他類似の場所にリダイレクトします。

エラー

この動作は、エラー発生時に呼び出されるエラーエンドポイントを定義できるようにします。ユーザーを、顧客がホストする中央のログアウトページや、会社のホームページ、その他類似の場所にリダイレクトします。

フィールド 説明
エラー(Error) ドロップダウンメニューからこのオプションを選択します。
エラーパス(Error path) これはエラーエンドポイントURLへのパスです。用途に応じて相対の場合と完全修飾の場合があります。
ドロップダウン値 動作

エラーパス
Okta Access Gatewayエラーページを使用(Use Okta Access Gateway error page) このアプリのエラーパスを定義します。デフォルトでは、一般のAccess Gatewayエラーページが表示されます。 該当なし。
アプリケーションエラーページを使用(Use Application error page) アプリでホストされるエラー ページを表示します。エラーパス(Error path)は、アプリの有効なパスである必要があります。 保護されたアプリに有効な相対パスが存在する必要があります。
カスタムエラーURLを定義(Define a custom error URL) このオプションは、エンドユーザーをカスタムエラーパスのURLパスにリダイレクトします。 エラーパス(Error path)に加え、エラーハンドラーとして使用される完全修飾パスを入力します。このオプションには、有効な完全修飾URLが含まれている必要があります。
エラーの動作を定義しない(Don't define any Error Behavior) Access Gatewayはエラー動作を実行しません。 該当なし。

エラー状態の遷移

セッションなし/セッション有効期限切れ

Access Gatewayがセッションを持たない場合、または現在のセッションがアプリで期限切れになった場合のエンドユーザーエクスペリエンスを定義します。

ドロップダウンリストの値
IDPにリダイレクト(Redirect to IDP) このオプションは、エンドユーザーをOktaにリダイレクトして再認証します。Oktaセッションがまだアクティブである場合、エンドユーザーは更新されたアプリセッションで静的にアプリにリダイレクトされます。
IDPにおける強制再認証(Force reauthentication at IDP) このオプションは、Oktaセッションがアクティブな場合でも、再認証のためエンドユーザーをOktaにリダイレクトします。
デフォルトのセッションなしのページを表示する(Show default no session)(Show default no session page) Access Gatewayの「セッションなし」ページを表示します。
カスタムURLにリダイレクト(Redirect to custom URL) エンドユーザーをカスタムURLにリダイレクトします。

セッション状態の遷移

ポリシー拒否(Policy Denied)

ユーザーがポリシーの要件を満たしていない場合にAccess Gatewayがリソースへのアクセスを拒否する際のエンドユーザーエクスペリエンスを定義します。

ドロップダウンリストの値
デフォルトのポリシー失敗ページを表示(Show default policy failure page) デフォルトのAccess Gatewayポリシー失敗」ページが表示されます。
403ステータスコードを返す(Return 403 status code) ステータスコードHTTP 403の空白ページが返されます。
カスタムURLにリダイレクト(Redirect to custom URL) ポリシーの要件を満たしていないエンドユーザーをカスタムURLにリダイレクトします。

セッション整合性エラー

Access Gatewayがセッション整合性エラーを検出したときのエンドユーザーエクスペリエンスを定義します。これは、エンドユーザーがアクティブアプリセッションを維持しながらネットワークを変更した場合に一般的です。Access GatewayはリモートIPを検証し、アクセスを拒否します。

ドロップダウンリストの値
デフォルトのセキュリティ警告ページを表示(Show default Security warning page) デフォルトのAccess Gatewayセキュリティ警告」ページが表示されます。
405ステータスコードを返す(Return 405 status code) ステータスコードHTTP 405の空白ページが返されます。
IDPにリダイレクト(Redirect to IDP) セッション整合性エラーが検出されると、エンドユーザーは指定のカスタムURLにリダイレクトされます。
IDPにおける強制再認証(Force reauthentication at IDP) エンドユーザーに再認証を強制します。ユーザーはアプリに戻ります。
強制しない(Do not enforce) セッション整合性を強制しません。

証明書の検証動作

証明書の検証動作は早期アクセス機能です。有効にするには、Oktaサポートまで連絡してください。

この動作は、リクエストの検証に証明書チェーンを使用する場合に使われるフィールドと動作を定義できるようにします。

フィールド 説明
クライアント証明書の検証失敗(Client Certificate Validation Failed) ドロップダウンメニューからこのオプションを選択します。
カスタムURL/URI(Custom URL/URI) カスタムエンドポイントへのパスです。用途に応じて相対の場合と完全修飾の場合があります。ユーザーがカスタムURLにリダイレクトされたときに実行されます。
受信ヘッダーフィールド名(Incoming Header Field Name) PEMフォーマット証明書を含むヘッダー属性です。この属性の値は、証明書チェーンの証明書と比較されます。
送信ヘッダーフィールド名(Outgoing Header Field Name) ヘッダー属性は、検証後に証明書を含めるために使用されます。受信ヘッダーフィールドの値は、要求されたバックおよびリソースへのリダイレクト時に、このヘッダーフィールドの値にコピーされます。

クライアント証明書の検証失敗(Client Certificate Validation Failed)は以下をサポートします。

動作
証明書の確認を無効化(Disable certificate checking) このアプリの証明書の確認を無効にします。
エンドユーザーをカスタムURLにリダイレクト(Redirect the end user to a custom URL) 証明書の検証に失敗した際に、ユーザーをカスタムURLにリダイレクトします。
HTTP 405ステータスコードを伴う空白ページを返す(Return a blank page with an HTTP 405 status code) 証明書の検証失敗時に、ユーザーを空白(空)のページにリダイレクトし、呼び出し元にHTTP 405を返します。
「証明書無効のメッセージ」とともにデフォルトのエラーページを表示する(Present a default error page with an "Invalid certificate message)(Present a default error page with an "Invalid certificate message") 証明書の検証失敗時に、エンドユーザーに「証明書無効エラー」(Invalid certificate error)ページを表示します。

アプリのメンテナンス

アプリがメンテナンスモードになっているときのエンドユーザーエクスペリエンスを定義します。

ドロップダウンリストの値
デフォルトのアプリケーションメンテナンス中ページ(Default Application Maintenance page) デフォルトのOkta Access Gatewayアプリメンテナンスページを表示します。
カスタムURLにリダイレクト(Redirect to custom URL) Access Gatewayがメンテナンスモードの場合、エンドユーザーをカスタムURLにリダイレクトします。

アプリが非アクティブ

アプリが非アクティブになっているときのエンドユーザーエクスペリエンスを定義します。

ドロップダウンリストの値
「デフォルトのアプリケーションが非アクティブ」ページ(Default Application inactive page) デフォルトのOkta Access Gatewayアプリ非アクティブページを表示します。
カスタムURLにリダイレクト(Redirect to custom URL)

アプリが非アクティブになっているときに、エンドユーザーをカスタムURLにリダイレクトします。

アプリがオフライン

アプリがオフラインであることが検出された場合のエンドユーザーエクスペリエンスを定義します。

ドロップダウンリストの値
「デフォルトのアプリケーションが非アクティブ」ページ(Default Application inactive page) デフォルトのAccess Gatewayアプリオフラインページを表示します。
カスタムURLにリダイレクト(Redirect to custom URL) アプリがオフラインになっているときに、エンドユーザーをカスタムURLにリダイレクトします。

関連項目

Access Gatewayとセッション

アプリケーションセッションタイムアウトの相互作用