icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

ユーザー認証頻度について

Zscalerは、ユーザーがどのような頻度でZscalerサービスに認証する必要があるかについて複数のオプションを提供しています。認証頻度のオプションは次のとおりです。

  • 毎日
  • 一度のみ
  • セッションごと
  • カスタムURLスーパーカテゴリー

これらのオプションは、Zscaler Client Connectorを使用するユーザーには適用されません。

これらのオプションの詳細と設定方法については、[ 認証頻度を設定するを参照してください。

Zscalerでは、認証頻度として[1回だけ]を選択することを推奨しています。これはデフォルトの認証間隔です。認証頻度として[1回だけ]を選択すると、 エンドユーザーにシームレスなエクスペリエンスを提供できます。Zscalerサービスでは、Cookieを設定するためにユーザーを1回だけ認証する必要があります。ユーザーがログインした後は、Cookieがブラウザーに保存されている限り、再度認証する必要はありません。通常、クッキーは約2年で失効します。ただし、Zscalerからログアウトするには、ユーザーは明示的にサービスからログアウトするか、ブラウザーからCookieを削除する必要があります。

認証頻度として[1回だけ]を選択した場合の懸念事項については、以下を参照してください。

セキュリティの懸念事項

次の情報は、認証頻度を1回だけに設定する場合のセキュリティ上の懸念に対処します。

Zscaler認証クッキー

Zscalerサービスは、ユーザーが認証されたかどうかを判断するためにCookieを使用します。Zscalerサービスが使用するCookieのタイプの詳細は、ZscalerのCookieについてを参照してください。

Zscalerはゲートウェイクラウド用にSSLで暗号化された認証Cookieを発行します。したがって、そのCookieはゲートウェイSSLサイトからしか設定と読み取りができません。ネットワーク上でスニッフィングされることもありません。ユーザーがWebサイトを閲覧するとき、プロキシはそのWebサイトからしかCookieを取得することができません。プロキシはゲートウェイにリダイレクトを発行し、クッキーをフェッチし、それを検証します。ゲートウェイCookieが有効な場合、プロキシはそのWebサイトのための新しいドメインCookieを生成し、それへのリダイレクトを発行します。そのため、ユーザーが閲覧したWebサイトのCookieは、ZscalerのプロキシにユーザーIDを提供します。このドメインCookieは12時間ごとにローテーションされます。

ユーザーがドメインCookieを盗んだ場合、そのユーザーはZscalerを通じて最大12時間までそのWebサイトへのインターネット閲覧が可能になります。ゲートウェイSSL CookieとドメインCookieのためのクッキー生成アルゴリズムを持っていない場合、他のWebサイトを閲覧することはできません。

盗まれたデバイスとユーザーの終了

ユーザーのデバイスが盗まれた場合、犯人はそれを使用して、そのユーザーとしてZscaler経由でインターネットを閲覧できます。または、ユーザーが終了したが、個人用デバイスでZscalerサービスに対して認証されている場合、そのユーザーはZscaler経由でインターネットを参照できます。ただし、Zscaler Cookieは特権リソースへのアクセスを許可しないため、これはセキュリティ上の問題ではありません。犯人は、盗まれたデバイスでのすべてのアクションがログに記録されるため、最初にZscalerトラフィックリダイレクトを無効にしようとする場合があります。

Zscaler Private Access(ZPA)およびZscaler Client Connectorは、認証にCookieを使用しません。これは、ZPAを使用する企業、またはZscalerをアイデンティティプロキシとして使用する企業に推奨されるメカニズムです。

Active Directoryサーバの信頼性と拡張性

次の情報は、認証頻度を複数回に設定した場合のActive Directory(AD)サーバーの信頼性とスケーラビリティについて説明します。

複数回の認証頻度

認証頻度として[一度だけ]を選択した場合、認証は、ADサーバのメンテナンス中またはダウンタイムウィンドウ中にエンドユーザーに対して完全に透過的になります。ユーザーがZscalerサービスに対して複数回認証する必要がある認証頻度を選択した場合、ユーザーは定期的にADサーバに対して認証を行います。たとえば、認証頻度として[毎日]を選択した場合、すべてのユーザーがインターネットにアクセスするときに、ADサーバに対して毎日それ自体を認証する必要があります。これらの要求を処理するためにサーバをスケーリングできることを確認する必要があります。

情報の更新

以下の情報は、認証頻度を複数回に設定した場合の情報更新についての説明です。

ユーザーとグループの追加、更新、および非アクティブ化

ユーザー情報グループ情報は、ユーザーが認証されるか、Zscalerサーバがディレクトリサーバからデータを同期するときに更新されます。

認証頻度として[一度だけ]を選択した場合、ユーザとグループの情報は同期の実行時にのみ更新されます。ディレクトリサーバと情報を同期しない場合は、ユーザーを手動で追加および削除するか、グループ情報を更新するか、ZIA管理ポータルでグループを変更できます。

Zscalerは、OktaなどのサードパーティのIdPベンダーを経由して情報を更新するためのAPIを公開もしています。

関連記事s
ユーザーのプロビジョニングと認証についてプロビジョニングと認証の方法の選択認証のデフォルト設定についてデフォルト認証プロファイルの設定ホストされたユーザーデータベースの設定強制再認証の管理ワンタイムトークンとワンタイムリンクの設定ユーザー認証頻度について認証プロファイルについてカスタム認証タイムアウト プロファイルの設定ZscalerのCookieについてサロゲートIPについて認証からのURLとクラウドアプリの除外Microsoft Edgeブラウザーの推奨セキュリティ設定ZIA認証エラーコード