セキュアなプライベート アクセス(ZPA)
ブラウザーアクセスについて
ブラウザーアクセスを使用すると、ユーザーがZscaler Client Connectorをデバイスにインストールすることなく、ZPA経由のユーザー認証とアプリケーションアクセスにWebブラウザーを活用できます。特定のユースケースでは、すべてのデバイスにZscaler Client Connectorをインストールすることが現実的でないまたは望ましくない場合があります。たとえば、次の操作を実行できます。
- Zscaler Client Connectorが現在対応していないOSを搭載したデバイスのアプリケーションへのユーザーアクセスを制御します。
- 自社で所有または管理していない可能性のあるデバイス(契約社員やパートナーが所有するデバイスなど)上のアプリケーションに、サードパーティによるアクセスを提供します。
ブラウザーアクセスは、次のことができるため、ZPAエクスペリエンスを向上させます。
- Zscaler Client Connectorまたはブラウザーのプラグインや設定を必要とせずに、任意のWebブラウザーからユーザーがアプリケーションにアクセスできるようにします。
- 既存のアイデンティティー プロバイダー(IdP)を使用して、インターネットのフットプリントを管理することなく、現在のユーザー、請負業者、およびその他のサードパーティユーザーにアクセスを提供します。
ただし、Application Segment内でアプリケーションを定義し、ブラウザー アクセスを有効にすると、Zscaler Client Connectorアクセスが自動的に適用されます。これにより、ユーザーは、Webページのコンテンツを変更しないプロキシーを使用して、またはTLS 1.2(暗号スイートECDHE-RSA-AES128-GCM-SHA256)をサポートする任意のWebブラウザーを介して、またはZscaler Client Connectorを介してアプリケーションへのアクセスを要求できます。ZPAはHTTPおよびHTTPSプロトコルをサポートしており、ZPAはHTTPリクエストにViaヘッダーを挿入します。ZPAは、適切な設定のCORSリクエストと、特定のヘッダーを含む有効なOPTIONSリクエストも受け入れます。詳細は、「Application Segmentの設定」を参照してください。
ZPA Browser Accessでは、アプリケーションサーバーがTLS 1.2暗号をサポートしている必要があります。
CORSリクエストのサポート対象ブラウザーは、Firefox 81.0、Chrome 64_65、Google Chrome 86.0.4240.75、Microsoft Edge 86.0.622.43、Safari 12.0、およびSafari 13.0です。
ブラウザーアクセスCookieはセッションベースであるため、Webブラウザーのセッションが終了するとクリアされます。そのため、ユーザーはブラウザーアクセスを介してアプリケーションにアクセスする前に認証する必要があります。さらに、ユーザーは、ZPAタイムアウトポリシールールの認証タイムアウト設定に基づいて定期的に再認証するように求められます。詳細は、タイムアウトポリシーの設定を参照してください。
Application Segment内でブラウザーアクセスが使用可能になっている定義済みアプリケーションに、異なる外部ホスト名と内部ホスト名を使用する場合は、以下のシナリオに注意してください。
- 内部ホスト名は公開されないため、パブリックDNSには内部ホスト名の記録はありません。
- バックエンドのSSLが検証できないため、アプリケーションのホスト名と証明書のホスト名が一致せず、エンドユーザーにWebサーバー証明書エラーが表示されます
Application Segment内でブラウザーアクセスが使用可能になっている定義済みアプリケーションに、同一の外部ホスト名と内部ホスト名を使用する場合は、以下のシナリオに注意してください。
- 内部ホスト名はパブリックDNSで公開されます。
- バックエンドのSSLを検証できるため、エンドユーザーがWebサーバー証明書エラーを受け取ることがありません。
[ブラウザーアクセス]ページについて
[ブラウザー アクセス]ページ([リソース管理]>[アプリケーション管理]>[ブラウザー アクセス])では、次の操作を実行できます。
- DNS検索ドメインの表示と追加.
- テーブルの行をすべて展開すると、各アプリケーションの詳細情報が表示されます
- 表に表示される情報をフィルタリングします。デフォルトでは、フィルターは適用されません。
- Application Segment内でブラウザーアクセス用に特別に設定されたすべてのアプリケーションのリストを表示します。アプリケーションごとに、次の情報を確認できます。
- 名前:アプリケーションの名前。展開すると、以下の情報が表示されます。
- セグメントグループ:アプリケーションセグメントが所属するセグメントグループ。
- サーバー グループ:アプリケーションがホストされているサーバー グループ。
- 正規名(CNAME):アプリケーションに関連付けられた正規の名前です。[コピー]アイコンをクリックすると、CNAMEレコードをクリップボードにコピーすることができます。
- 証明書:指定したアプリケーションに関連付けられたブラウザーアクセス(Webサーバ)証明書
- ドメイン:アプリケーションに関連付けられた完全修飾ドメイン名(FQDN)。
- [ステータス]:アプリケーションセグメントが有効であるか無効であるかを示します。
- アプリケーションプロトコル:アプリケーションに使用されるプロトコル(HTTPSまたはHTTP)。
- アプリケーションポート:アプリケーションに使用されるポート番号。
- 名前:アプリケーションの名前。展開すると、以下の情報が表示されます。
- 既存のアプリケーションセグメントを編集します。
- アプリケーションを削除します。
- Application Segmentsページにアクセスし、新しいApplication Segmentを追加したり、既存のApplication Segmentsを管理したりします。
- AppProtectionのページに移動して、AppProtectionが有効になっているアプリケーションを管理します。
- [特権リモート アクセス]のページにアクセスして、特権リモート アクセスが有効になっているアプリケーションを管理します。
- セグメント グループページにアクセスして、新しいセグメント グループを追加したり、既存のグループを管理することができます。