インターネットとSaaSへのセキュアなアクセス(ZIA)
OAuth 2.0認証サーバーについて
OAuth 2.0認証モデルを使用する場合、ZscalerサービスはAPIリクエストでアクセス トークン(JSON Webトークン)を検証して、リクエストを受け入れる必要があります。Zscalerでこの検証を実行できるようにするには、OAuth 2.0承認サーバーをZIA管理ポータルに追加する必要があります。承認サーバーが追加されると、Zscalerサービスは認可サーバーのJWKSエンドポイントから設定された公開キーを取得し、JWT署名を暗号で検証できます。
OAuth 2.0認可サーバーの構成には、次のメリットがあり、次のことが可能になります。
- サードパーティーの認可サーバーを構成して、ZIA APIリソースにセキュアなアクセスを提供します。
- 信頼できるサードパーティーのOAuth 2.0サービスを使用して、APIクライアントの認可と認証を自動化します。
Zscalerサービスでは、JWTを暗号で検証するだけでなく、対象ユーザー、発行者、クライアントIDなど、サポートされているJWTクレームの一部に対する検証を義務付けることができます。これらの値は、承認サーバーをZIA管理ポータルに追加するときに指定できます。
JWTの認証状況を検証した後、Zscalerサービスは範囲の要求とその他の追加の要求(存在する場合)を評価して、APIリクエストを受け入れるか拒否するかを決定します。
- Zscalerサービスでは、PingFederate、Okta、Microsoft Entra ID (旧称Azure Active Directory)を使用したOAuth 2.0の実装がサポートされています。
- OAuth 2.0認証は、クラウド サービスAPIでのみサポートされます。
OAuth 2.0認証サーバー ページについて
OAuth 2.0承認サーバーのページ(管理>クラウド サービスAPIセキュリティ>OAuth 2.0承認サーバー)では、次の操作を行うことができます。
- クラウド サービスAPIのベースURLを表示します。
- サードパーティのOAuth 2.0認証サーバーを追加します。
- 認証サーバーに関する情報を表示します。認証サーバーごとに、次の情報を表示できます。
- 認証サーバー名:認証サーバーの構成に指定された名前。
- ステータス:認証サーバー構成の状態(有効または無効)。
- 定義:認証サーバー構成の説明。
- 最後に成功したフェッチ時刻:認証サーバーの公開鍵が最後にJWKSエンドポイントからフェッチされた日時。
- 認証サーバーを編集します。
- 認証サーバーを削除します。
- テーブルとその列を変更します。
- Sandbox APIトークンタブに移動します。
- クラウド サービスAPIキータブに移動します。