インターネットとSaaSへのセキュアなアクセス(ZIA)
プロビジョニングと認証の方法の選択
この記事では、Zscalerサービスがサポートするさまざまなプロビジョニングと認証のメカニズムの概要について説明します。詳細は、「プロビジョニングとユーザーの認証について」を参照してください。Zscalerでは、プロビジョニングにはSCIMを展開し、認証にはSAMLを使用してアイデンティティー連合を展開することをお勧めします。
プロビジョニング方法
次のテーブルでは、サポートされている5つのプロビジョニング メソッド(SCIMを使用したアイデンティティー フェデレーション、SAML、ホスト済みユーザー データベース、ディレクトリー サーバーとの同期およびZscaler認証ブリッジ(ZAB))のメリット、要件、サポートされている認証方式をリストします。
- スキム閉じる
SCIM ユーザーとグループは、API経由でプロビジョニングされます。SAMLは、サポートされている唯一の認証方法です。ZscalerZscalerは、プロビジョニングにこの方法を、認証にSAMLを推奨しています。詳細は、SCIMについてを参照してください。 メリット - 同期間隔を待ったり、ユーザーがZscalerサービスにログインするのを待つ必要はありません。
- グループ メンバーシップや部署のメンバーシップが変更されると、Zscalerユーザー データベースはほぼリアルタイムで自動的に更新されます。
- Zscalerから顧客のユーザー ディレクトリーや顧客のネットワーク内の他のコンポーネントへのインバウンド接続は必要ありません。
- テクノロジー パートナーシップにより、主要なIDプロバイダーとの統合が簡素化されます。
必要条件 - SCIMクライアントを入手し、実装する必要があります。
- クラウドベースのIDプロバイダーを使用する場合は、そのIdPがSCIM 2.0をサポートしているかどうかを確認します。
SCIM プロビジョニングを設定するには、[SCIMの設定を参照してください。 - SAMLを用いたIDフェデレーション閉じる
SAMLを用いたIDフェデレーション ユーザーはプロビジョニングされ、アイデンティティー プロバイダーに対して一度認証されます。Zscalerは、認証にこの方法を推奨します。詳細は、SAMLについての理解を参照してください。 メリット - 既存のファイアウォールに変更はありません。
- 初回認証は、ユーザーに対して完全に透過的に行うことができます。
- Zscalerパートナーを通じて無料で入手できます。
必要条件 - SAMLサービスを取得し、実装する必要があります。
- クラウドベースのIDプロバイダーを使用する場合は、お住まいの地域で利用可能かどうかを確認します。
SAMLを設定するには、[SAMLの設定を参照してください。 - ホスティングされたユーザーデータベース閉じる
ホスティングされたユーザーデータベース ユーザー情報は、CSVインポートまたはZABを使用して手動でデータベースにアップロードします。SAMLまたはSCIMが不可能な場合、Zscalerは最大100人のユーザーを持つ組織にこの方法をお勧めします。
対応する認証方式は次のとおりです。
メリット - 導入が簡単。
- データのバックアップは不要です。
必要条件 N/A ホストされるユーザー データベースを設定するには、「ホストされたユーザー データベースの設定を参照してください。 - ディレクトリサーバの同期閉じる
ディレクトリサーバーの同期 ユーザー、グループ、部署のデータを、Microsoft Active Directory (AD)サーバーやライトウェイト ディレクトリー アクセス プロトコル(LDAP)サーバーなどのディレクトリー サーバーから同期します。パスワードは同期されません。SAMLを実現できない場合、Zscalerは100名のユーザーを超える組織にこの方法を推奨しています。詳細については、LDAPユーザー同期についてを参照してください。
対応する認証方式は次のとおりです。
メリット - 既存のインフラを利用します。
- セキュアな通信を実現します。
- ユーザーデータは定期的またはオンデマンドで同期させることができます。
必要条件 - ファイアウォールを構成して、Zscalerサービスがディレクトリー サーバーと同期できるようにします。
- Zscalerサービスには、ディレクトリーへの読み取り専用アクセス権が必要です。
ディレクトリー サーバーと同期するには、「Active DirectoryまたはOpenLDAPとユーザー データの同期を参照してください。 - ZAB閉じる
ZAB Active Directory (AD)またはライトウェイト ディレクトリー アクセス プロトコル(LDAP)サーバーからZscalerデータベースにユーザー情報を自動的にインポートするために使用できる仮想アプライアンス。詳細は、Zscaler認証ブリッジについてを参照してください。
プロビジョニングにZABを使用し、認証にSAMLを使用する場合、ZIA管理ポータルのプライマリーIdPのみでSAML自動プロビジョニングを有効にできます。ZABがプロビジョニングに使用されている間は、どのIdPでもSCIMを有効にすることはできません。
対応する認証方式は次のとおりです。
メリット - ディレクトリサーバへのインバウンド接続は必要ありません。
- 仮想アプライアンスは、お客様の組織で管理、保守されます。
- ユーザーデータは定期的またはオンデマンドで同期させることができます。
必要条件 仮想アプライアンスをダウンロードし、インストールします。 ZABを展開するには、「Zscaler認証ブリッジの展開」を参照してください。
認証方式
次のテーブルでは、7つのサポートされている認証方式(SAMLを使用したアイデンティティー フェデレーション、Kerberos認証、ディレクトリー サーバー、ZAB、ワンタイム リンク、ワンタイム トークン、およびパスワード)のメリットと要件をリストします。
- SAMLを用いたIDフェデレーション閉じる
SAMLを用いたIDフェデレーション ユーザーはプロビジョニングされ、アイデンティティー プロバイダーに対して一度認証されます。Zscalerは、認証にこの方法を推奨します。詳細は、SAMLについての理解を参照してください。 メリット - 既存のファイアウォールに変更はありません。
- 初回認証は、ユーザーに対して完全に透過的に行うことができます。
- Zscalerパートナーを通じて無料で入手できます。
必要条件 - SAMLサービスを取得し、実装する必要があります。
- クラウドベースのIDプロバイダーを使用する場合は、お住まいの地域で利用可能かどうかを確認します。
SAMLを設定するには、[SAMLの設定を参照してください。 - Kerberos認証閉じる
Kerberos認証 Zscalerは、ネットワーク サービスに対するユーザーの認証に広く使用されている業界標準のセキュアなプロトコルであるKerberosを使用した認証をサポートしています。詳細は、Kerberos認証についてを参照してください。 メリット - Office 365やWindows Metroアプリなど、Cookieに対応しないアプリケーションを使用する際に、Zscalerサービスがユーザーを認証できるようにします。
- これにより、ユーザーに対して透過的なシングル サインオン(SSO)認証が可能になります。ユーザーは、企業ドメインにログインするときに一度認証されます。ログインしてZscalerサービスに対して自分自身を認証する必要はありません。
- Zscalerサービスは、HTTPSトランザクションを復号化せずに、HTTPSトランザクションだけでなくFTPトランザクションに対し詳細なユーザー、グループ、部署のポリシーを適用することができます。サービスは、復号なしでCONNECTリクエストを認証できます。ただし、後続のClientHelloリクエストを認証するには、トランザクションを復号化する必要があります。
- ZIA Public Service Edgeからの着信接続を許可するために、組織でファイアウォールを設定する必要はありません。
- Kerberosは、Windows 7、Windows 8、OS X、Linux、FreeBSDなど、ほとんどのオペレーティング システムがサポートするセキュアなオープン スタンダード プロトコルです。さらに、Microsoft Edge、Firefox、Safariなど、ほとんどのブラウザーでKerberos認証がサポートされています。
必要条件 - トラフィックをZscalerサービスに転送するにはPACファイルを使用する必要があります。
- ユーザーは、認証にKerberosを使用する前に、Zscalerサービスでプロビジョニングする必要があります。
さらに、Windows環境では、以下のものが必要です。
- Windows Server 2003、2008以降を実行するドメイン コントローラー。
- クライアント デバイスは、Windows Vista以降を実行している必要があります。
Kerberos認証を構成するには、「Kerberos認証の展開を参照してください。 - ディレクトリサーバの同期閉じる
ディレクトリサーバーの同期 Zscalerサービスは、ディレクトリー サーバーにクエリーしてパスワードを検証します。この方法は、LDAP同期をプロビジョニング方式とする場合にのみ使用されます。詳細は、LDAPユーザー同期についてを参照してください。 メリット - 既存の認証インフラを利用します。
- セキュアな通信を実現します。
- ソフトウェアやハードウェアを現地でインストールする必要がありません。
- パスワードは組織から離脱しません。
必要条件 - ファイアウォールを構成してZscalerサービスを許可します。
- ディレクトリー サーバーは、ZscalerサービスがLDAP BINDを実行できるようにする必要があります。
ディレクトリー サーバーと同期するには、「Active DirectoryまたはOpenLDAPとユーザー データの同期を参照してください。 - ZAB閉じる
ZAB ユーザーのプロビジョニングと認証に使用できる仮想アプライアンス。詳細は、Zscaler認証ブリッジについてを参照してください。 メリット - 仮想アプライアンスは、お客様の組織で管理、保守されます。
- ユーザーデータは定期的またはオンデマンドで同期させることができます。
- パスワードは組織から離脱しません。
必要条件 仮想アプライアンスをダウンロードし、インストールします。 ZABを展開するには、「Zscaler認証ブリッジの展開」を参照してください。 - ワンタイムリンク閉じる
ワンタイムリンク Zscalerサービスは、ユーザーがクリックしてパスワードなしでログインできるように、一意のURLをメールで送信します。 メリット - パスワードの管理は不要です。
- 導入が簡単。
- 企業またはADのパスワードは組織の外に出ません。
- 会社のメールアドレスではなく、一時的なメールアドレスにリンクを送ることができます。
- 管理者の介入なし。
- ユーザーがパスワードを覚える必要がありません。
- ソフトウェアやハードウェアを現地でインストールする必要がありません。
必要条件 - ユーザーがリンクをクリックできるようにします。
- リンクは有効な電子メールアドレスにのみ送信できます。
ワンタイム リンクとその構成方法の詳細は、ワンタイム トークンとワンタイム リンクの設定を参照してください。 - ワンタイムトークン閉じる
ワンタイムトークン Zscalerサービスは、ユーザーがログインするための一時的なパスワードをメールで送信します。 メリット - ユーザーはリンクをクリックしません。
- 管理者の介入なしに、ユーザー自身がパスワードを管理できます。
- 認証はActive Directoryのパスワードに依存しません。
- ソフトウェアやハードウェアを現地でインストールする必要がありません。
必要条件 有効なメールアドレス ワンタイム トークンとその構成方法の詳細は、ワンタイム トークンとワンタイム リンクの設定を参照してください。 - パスワード閉じる
パスワード Zscalerサービスのデータベースにパスワードをアップロードして保存します。この方法は、ホストされているユーザー データベースでのみ使用されます。 メリット - 有効なEmailアドレスは必要ありません。
- パスワードの複雑性の強制をサポートします。
- 設定した間隔でパスワードの有効期限を設定することができます。
必要条件 - 管理者はパスワードを管理する必要があります。
- ソフトウェアやハードウェアを現地でインストールする必要がありません。
パスワードベースの認証およびホストされるユーザー データベースの設定方法の詳細は、ホストされたユーザー データベースの設定を参照してください。