icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

OAuth 2.0認証サーバーについて

OAuth 2.0認証モデルを使用する場合、ZscalerサービスはAPIリクエストでアクセス トークン(JSON Webトークン)を検証して、リクエストを受け入れる必要があります。Zscalerでこの検証を実行できるようにするには、OAuth 2.0承認サーバーをZIA管理ポータルに追加する必要があります。承認サーバーが追加されると、Zscalerサービスは認可サーバーのJWKSエンドポイントから設定された公開キーを取得し、JWT署名を暗号で検証できます。

OAuth 2.0認可サーバーの構成には、次のメリットがあり、次のことが可能になります。

  • サードパーティーの認可サーバーを構成して、ZIA APIリソースにセキュアなアクセスを提供します。
  • 信頼できるサードパーティーのOAuth 2.0サービスを使用して、APIクライアントの認可と認証を自動化します。

Zscalerサービスでは、JWTを暗号で検証するだけでなく、対象ユーザー、発行者、クライアントIDなど、サポートされているJWTクレームの一部に対する検証を義務付けることができます。これらの値は、承認サーバーをZIA管理ポータルに追加するときに指定できます。

JWTの認証状況を検証した後、Zscalerサービスは範囲の要求とその他の追加の要求(存在する場合)を評価して、APIリクエストを受け入れるか拒否するかを決定します。

  • Zscalerサービスでは、PingFederate、Okta、Microsoft Entra ID (旧称Azure Active Directory)を使用したOAuth 2.0の実装がサポートされています。
  • OAuth 2.0認証は、クラウド サービスAPIでのみサポートされます。

OAuth 2.0認証サーバー ページについて

OAuth 2.0承認サーバーのページ(管理>クラウド サービスAPIセキュリティ>OAuth 2.0承認サーバー)では、次の操作を行うことができます。

  1. クラウド サービスAPIのベースURLを表示します。
  2. サードパーティのOAuth 2.0認証サーバーを追加します。
  3. 認証サーバーに関する情報を表示します。認証サーバーごとに、次の情報を表示できます。
    • 認証サーバー名:認証サーバーの構成に指定された名前。
    • ステータス:認証サーバー構成の状態(有効または無効)。
    • 定義:認証サーバー構成の説明。
    • 最後に成功したフェッチ時刻:認証サーバーの公開鍵が最後にJWKSエンドポイントからフェッチされた日時。
  4. 認証サーバーを編集します。
  5. 認証サーバーを削除します。
  6. テーブルとその列を変更します。
  7. Sandbox APIトークンタブに移動します。
  8. クラウド サービスAPIキータブに移動します。

OAuth 2.0認証サーバー ページのスクリーンショット

関連記事s
クラウド サービス APIキーについてクラウド サービスAPIキーの管理Sandbox APIトークンについてSandbox APIトークンの管理 OAuth 2.0によるZIA APIの保護OAuth 2.0認証サーバーについてOAuth 2.0認可サーバーの管理OktaのOAuth 2.0構成ガイドMicrosoft Entra ID用OAuth 2.0の設定ガイド