既知の場所からの特定の展開では、Zscaler サロゲート IP サービスを有効にしてユーザーをプライベートIPアドレスにマップし、場所のポリシーではなくユーザーのポリシーを認証できないトラフィックに適用できます。

• Google EarthやSkydriveなど、Cookieに対応していないアプリケーション
• 復号されていないHTTPSトランザクション
• 不明のユーザーエージェントを使用するトランザクション

ユーザーが複数のプライベートIPアドレスからインターネットを閲覧する場合、代理IPサービスはすべてのプライベートIPアドレスをそのユーザーにマッピングする。また、このサービスはログにユーザーとのトランザクションを関連付ける。

代理IPサービスでは、一度に一人のユーザーにのみプライベートIPアドレスをマッピングし、マッピングを以下が終了するまで保持します：

• 設定されたアイドルタイムが終了する
• ユーザーがセッションからログアウトする、またはZscalerのサービスからログアウトする
• 別のユーザーが同じプライベートIPアドレスから認証されたトランザクションを送信する

別のユーザーが同じプライベートIPアドレスから Zscaler サービスにログインした場合、このサービスはプライベートIPアドレスを新しいユーザーにマップします。 マッピングが 1 分間に 3 回以上変更された場合 (つまり、3 人の異なるユーザーが 1 分以内に同じプライベートIPアドレスからログインしてインターネットを閲覧した場合)、サービスはユーザーのプライベートIPアドレスへのマッピングを 5 分間停止し、この 5 分間に認証をサポートしないトランザクションにロケーション ポリシーを適用します。

さらに、組織は 1 つ以上の 専用プロキシ ポート をサブスクライブし、それらを場所に関連付けることができます。 少なくとも 1 つのサブスクライブ済みポートがある場所でこの機能を有効にすると、サービスは内部IPアドレスやプライベートIPアドレスではなくパブリックIPアドレスをユーザーにマップするため、認証できないリモート ユーザー トラフィックにユーザー レベルのポリシーを適用できます。

Zscalerは、Windowsストアアプリなどの非ブラウザーアプリで代理IPを有効にすることを推奨しています。

メリット

代理IPを使えば、ユーザーはあるWebブラウザーでサービスに認証することができ、別のWebブラウザーを開いたり、ブラウザー以外のアプリケーションを使用したりしても、再度認証する必要はありません。

必要条件

この機能を使用するには、お客様の組織で次のいずれかの方法を使用して、サービスにトラフィックを転送する必要があります。

• NATのないGREまたはIPSecトンネル
• ロケーションまたはサブロケーションに対して [XFF 転送を有効にする] オプションがオンになっているフォワード プロキシ チェーン
• お客様の組織で専用のプロキシ ポートを契約している

また、場所またはサブ場所で [認証の強制 ] がオンになっている必要があります。 ロケーションとサブロケーションでサロゲート IP を有効にする方法の詳細については、ロケーション の設定 および サブロケーションについてを参照してください。

制限事項

この機能を無効にすると、ユーザーが少なくとも1つのWebブラウザーで認証に成功した後、Zscalerはすべてのユーザー・トラフィックを認証済みとしてタグ付けすることができません。例えば、ユーザーがChromeでZscalerサービスに認証した後にFirefoxを開くと、Firefoxで再度認証するよう促されます。