このトピックでは、SASE クライアントをインストールせずに、ブラウザから企業内部アプリケーションにアクセスする方法について説明します。
シナリオ
外部ベンダーまたはモバイルオフィスユーザーは、クライアントをインストールせずに、ブラウザから安全に社内アプリケーションにアクセスする必要があります。
前提条件
CNAME レコードモードでは、カスタムプロキシドメイン名を SASE のアクセスポイントドメイン名にマッピングするために CNAME レコードが追加されます。
実装方法
SASE は、内部ドメイン名へのエージェントレスアクセスをサポートするために 2 つのプロキシモードを提供しています。実際の要件に基づいて適切なモードを選択してください。
プロキシ方法 | 原則 | 利点 | 欠点 |
[ドメインマッピング] | SASE は新しいプロキシドメイン名を提供します。ユーザーはこのドメイン名を使用してオフィスアプリケーションにアクセスできます。 | 元のアクセスロジックに影響を与えない独立した新しいドメイン名が使用されます。 | アクセスドメイン名の変更により、以下の問題が発生する可能性があります。
|
[CNAME] | 企業が申請したドメイン名を使用し、CNAME レコードに基づいて SASE ゲートウェイにマッピングされます。ユーザーはこのドメイン名を使用してオフィスアプリケーションにアクセスします。 | 内部ドメイン名を再利用できます。 | 構成プロセスは複雑です。
|
ステップ 1: アプリケーションを作成する
SASE コンソール にログインします。
左側のナビゲーションツリーで、 を選択します。
カスタムプロキシドメイン名が必要かどうかによって、プロキシモードを選択します。
ドメインマッピングプロキシモード
SASE が提供する新しいプロキシドメイン名を使用します。ユーザーはこのドメイン名を使用して内部アプリケーションにアクセスできます。
Add Application をクリックし、 セクションで Application Name を指定し、Browser-based Access を選択して、Next をクリックします。
Application Address セクションで、Application Address、Port、Protocol、Proxy Domain Name (SaaS Proxy Gateway)、および Configure Domain Name Mappings パラメータを構成します。次の図に基づいてドメインマッピングプロキシモードを構成します。
CNAME レコードモード
企業が申請したドメイン名を使用し、SASE ゲートウェイを指す CNAME レコードを構成します。ユーザーはこのドメイン名を使用してオフィスアプリケーションにアクセスできます。
ページの右上隅にある Certificate Management をクリックします。企業 SSL 証明書と秘密鍵を SASE コンソールにアップロードします。
Add Application をクリックし、 セクションで Application Name を指定し、Browser-based Access を選択して、Next をクリックします。
Application Address セクションで、Application Address、Port、Protocol パラメータを構成し、Proxy Domain Name (SaaS Proxy Gateway) には [CNAME] を選択し、カスタムプロキシドメイン名を設定します。次の図に基づいてドメインマッピングプロキシモードを構成する方法を理解します。
アプリケーションが次の条件を満たしている場合は、OK をクリックしてアプリケーションの作成を完了します。そうでない場合は、Browser Access Settings と Advanced Settings を参照してください。
SSO が構成されていない。
アプリケーションにアクセスするためのドメイン名が制限されていない。
アプリケーションに他の内部アドレスを指す URL が構成されていない。
アプリケーションフロントエンドから他の内部アプリケーションへのクロスドメインリクエストが開始されていない。
ブラウザアクセス設定
アプリケーションに内部アドレスへの URL が含まれている場合、または他の内部アプリケーションへのクロスドメインリクエストを行う必要がある場合、クライアントがインストールされていれば、内部ネットワークが接続されているため、アプリケーションにアクセスできます。ただし、エージェントレスシナリオでは、他の内部アプリケーションに直接アクセスできないため、通常のエージェントレスアクセスを確保するために関連 URL を書き換える必要があります。
HTML の書き換えを設定する
HTML-based Internal Domain Rewriting を選択します。アプリケーションに含まれる他の内部アプリケーションにプロキシドメイン名が設定されている場合、SASE はすべての URL をスキャンし、自動的にプロキシドメイン名に置き換えます。
次のシナリオでは、SASE ゲートウェイはドメイン名を自動的に検出できないため、書き換え前と書き換え後のアドレスを指定します。その後、SASE はそれらをプロキシドメイン名に置き換えます。
<script> // JavaScript 変数を使用して URL を宣言します。SASE ゲートウェイは URL を自動的に検出できないため、URL を置き換えるルールを指定する必要があります。 const url = "https://www.a.com/" // URL を window.href に割り当てます window.href = url </script>
JavaScript の書き換えを設定する
JavaScript-based Internal Request Rewriting を選択します。アプリケーションのフロントエンド JavaScript コードが他の内部アプリケーションへのクロスドメインリクエストを開始する場合、リクエストアドレスは自動的に置き換えられます。
匿名アクセスを設定する
Anonymous Access を選択し、特定の IP アドレスまたは IP 範囲を構成して、ID 検証またはゼロトラストポリシーチェックなしで特定の内部パスにアクセスできるようにします。この場合、リクエストは直接許可されます。
詳細設定
ゲートウェイリクエスト書き換えパラメータを構成して、エージェントレスリクエストのヘッダーとクエリパラメータを構成済みの値に書き換えることができます。これらの値は、後で分析するためにエージェントレスアクセス識別子を識別するために使用できます。
設定が完了したら、OK をクリックします。設定が有効になるまで約 2分かかります。
ステップ 2: ゼロトラストポリシーを構成する
ゼロトラストポリシーを構成することで、認証されたユーザーのみがブラウザからエージェントレスアプリケーションにアクセスできるようになり、セキュリティが強化されます。
左側のナビゲーションツリーで、 を選択します。
Create Policy をクリックします。Create Policy パネルで、Applicable User パラメータとアプリケーションを構成します。
説明エージェントレスアプリケーションは、セキュリティベースライン設定またはトリガーテンプレートをサポートしていません。
OK をクリックします。
ステップ 3: 設定を確認する
テストマシンで、プロキシドメイン名の接続テストを実行します。プロキシドメイン名が SASE アクセスポイントに解決されていることを確認します。
ブラウザからプロキシドメイン名にアクセスし、オフィスアプリケーションへのアクセスが正常かどうかを確認します。
説明ブラウザから初めてドメイン名にアクセスすると、ログインページにリダイレクトされます。
ドメインマッピングモード: アプリケーションリストからプロキシアドレスをコピーします。
CNAME レコードモード: アクセスにカスタムプロキシドメイン名を使用します。
その他の操作
DingTalk を IdP として有効にしているユーザーの場合は、Secure Access Service Edge を介した DingTalk ユーザーのセキュアアクセス を参照できます。Web アプリケーションを作成し、[アプリケーションホームページアドレス] にエージェントレスアプリケーションプロキシドメイン名を設定し、有効なユーザーを構成します。この構成により、DingTalk ユーザーはログイン情報を入力せずにアプリケーションにアクセスできます。