セキュアなプライベート アクセス(ZPA)
App Connectorの設定
ZPA Admin Portal内で、App Connector、App Connectorグループおよびプロビジョニング キーを作成できます。各機能の範囲と制限の完全なリストについては、「範囲と制限」を参照してください。
新しいApp Connectorを追加するには、以下の手順を実行します。
- [構成とコントロール]>[プライベート インフラストラクチャー]>[App Connector管理]>[App Connector]に移動します。
- [App Connectorを追加]をクリックします。
- 表示される[App Connectorを追加]ウィンドウで、次の操作を行います。
- 1.キーを選択
プロビジョニング キーを作成するか、既存のキーを選択します。プロビジョニング キーは、プラットフォームにApp Connectorを展開するときに入力する必要がある安全なランダムなテキスト文字列です。各キーは特定のApp Connectorグループに関連付けられており、App ConnectorのIDのように機能します。
展開後、App Connectorが起動し、ZPAクラウドとの最初の接続が行われます。IDとしてキーを提示することで、ZPAクラウドはこれが本物のApp Connectorであることを確認し、どのApp Connectorグループに属しているかを識別できます。その後、ZPAは自動的に展開プロセスを完了します。
[キーの選択] タブで、次のいずれかのオプションを選択します。
画像を参照してください。- 既存のプロビジョニングキーを選択する
- ドロップダウンメニューから既存のプロビジョニングキーを選択します。[選択内容のクリア]をクリックすると、選択内容を削除することができます。画像をごらんください。
- [次へ]をクリックします。
- [ドキュメンテーションのレビュー]タブが表示されたら、[6.ドキュメンテーションのレビュー]までスキップします。
- プロビジョニングキーを新規に作成する
- 既存のプロビジョニングキーを選択する
- 2. 署名証明書
- [署名証明書]タブのドロップダウン メニューから、ZPAがApp Connectorに発行する証明書の署名に使用する証明書を選択します。新しい登録証明書を生成する必要がある場合は、「登録証明書の生成」を参照してください。画像を参照してください。
- [次へ]をクリックします。
証明書についての詳細は、証明書についてを参照してください。
閉じる - 3. App Connectorグループ
[App Connectorグループ]タブで、次のオプションのいずれかを選択します。
画像を参照してください。- App Connectorグループを選択
- ドロップダウン メニューから既存のApp Connectorグループを選択します。特定のグループを検索するか、[選択をクリア]をクリックして選択を削除できます。App Connectorグループは、複数のプロビジョニング キーに関連付けることができます。そのため、プロビジョニング キーに既に関連付けられている既存のグループにこのApp Connectorを割り当てることができます。
- [次へ]をクリックします。
- App Connectorグループを追加
- [名前]:グループの名前を入力します。名前には、ピリオド(.)、ハイフン(-)、アンダースコア(_)を除く、特殊文字を含めることはできません。
- [ステータス]:有効 が選択されていることを確認します。
- [DNS解決オプション]: DNS解決チェックに必要なインターフェイスを有効にします。App Connectorグループに割り当てられたApp ConnectorがIPv4のみを使用するアプリケーションのDNS解決チェックを実行する場合は、[IPv4]を選択します。App Connectorグループに割り当てられたApp ConnectorがIPv6のみを使用するアプリケーションのDNS解決チェックを実行する場合は、[IPv6]を選択します。[IPv4およびIPv6]を選択した場合、両方のインターフェイスでアプリケーションの解決チェックを実行できます。DNS解決チェックが機能するには、App Connectorで対応するインターフェイスが有効になっている必要があり、アプリケーションをホストしているサーバーは選択したインターフェイスをサポートしている必要があります。デフォルトでは、[IPv4およびIPv6]が選択されています。
エンドツーエンドIPv6がサポートされている場合にのみ、[IPv6]オプションを選択してください。IPv6を使用する場合は、App ConnectorがIPv6用にセットアップされていることを確認してください。詳細は、「App Connector展開の前提条件」および「ZPAのインターネット プロトコル サポートについて」を参照してください。
- [TCPクイック確認]:アプリケーションのTCPクイック確認を実行するには、App ConnectorグループTCP クイック確認を有効にします。TCPクイック確認は、特定のプロトコル(サーバー メッセージ ブロック プロトコルなど)を使用するアプリケーションのパフォーマンスを向上させるために使用されます。
- [説明]: (省略可)グループの説明を入力します。
- [ディザスター リカバリー]:ディザスター リカバリー用にApp Connectorグループを指定できます。ディザスター リカバリー用に指定されたApp Connectorグループは、ZPAクラウドをバイパスして、ディザスター シナリオが発生した場合のビジネス継続性を確保します。ディザスター リカバリー用に指定されたアプリケーション コネクター グループは、ディザスター リカバリー用に指定されたアプリケーション セグメントを提供するサーバー グループに関連付ける必要があります。ディザスター リカバリーはデフォルトで無効になっています。詳細は、「ディザスター リカバリーについて」「ディザスター リカバリーApp Connectorグループについて」を参照してください。
ディザスタリカバリモードは、ディザスタリカバリドメイン名のDNS TXTレコードをDNSサーバにアップロードすると起動されます。詳細については、DNS TXTレコードの作成を参照してください。
- [AppProtectionを無効化]: [はい]を選択すると、App ConnectorグループのAppProtectionが無効になります。デフォルトでは、[いいえ]が選択されており、新しいApp Connectorグループに対してAppProtectionが有効になっていることを意味します。有効にすると、App Connectorグループとそれに関連付けられたApp ConnectorおよびアプリケーションをAppProtectionプロファイルを介して検査および管理できるようになります。詳細は、「AppProtectionプロファイルについて」を参照してください。
アカウントでこの機能が有効になっている場合は、[AppProtectionを無効にする]オプションが表示されます。この機能が有効になっていない場合、[AppProtectionを無効にする]オプションは表示されません。
- [App Connector許可リスト]:展開済みApp ConnectorグループのIPアドレスまたはサブネットを入力して、特定のIP上のApp Connectorグループを許可します。この機能は、プロビジョニング キーと署名証明書に加えて、App Connector登録プロセスにセキュリティ レイヤーを追加するために使用されます。IPv4とIPv6の両方のIPアドレスがサポートされています。App Connectorグループがサブネットに展開されている場合は、サブネット プレフィックス表記を使用できます。たとえば、App Connectorグループが10.80.1.18と10.80.1.19に展開されている場合、IPアドレスは10.80.1.0/24として定義できます。特定のIPアドレスまたはサブネットを検索したり、[編集]アイコンをクリックしてIPアドレスまたはサブネットを編集したり、[削除]アイコンをクリックしてIPアドレスまたはサブネットを削除したり、[すべて削除]をクリックしてすべてのIPアドレスまたはサブネットを削除したりできます。
この機能は限定的に利用できます。詳細は、Zscalerサポートにお問い合わせください。App Connector許可リストにIPアドレスを入力するときは、次の点を考慮してください。
- App ConnectorのIPアドレスがApp Connector許可リスト フィールドに設定されていない場合、App Connector登録は保留中のままになります。たとえば、ユーザーはApp Connector許可リストのIPアドレスとして10.1.1.0/30を設定します。つまり、App Connectorグループには2つのApp Connectorしか存在できず、このグループ内のApp ConnectorはIPアドレスとして10.1.1.1と10.1.1.2のみを使用できます。
- 動的ホスト構成プロトコル(DHCP)またはその他のネットワークの変更によりApp ConnectorグループのIPアドレスが変更された場合、App Connectorグループは登録に失敗します。
- App Connectorが静的IPで設定されている場合は、App Connector許可リスト エントリーを更新しない限り、IPアドレスを変更しないでください。新しいApp Connectorをグループに追加する場合は、新しいApp Connectorが正常に登録できるように、App Connector許可リストを更新する必要があります。
- [ローカル バージョン プロファイルを保持]: App Connectorグループでローカルのバージョン プロファイルを保持する場合に有効にします。既定では、[無効]が選択されています。
- [バージョンプロファイル]:現在のバージョンプロファイルを表示します。初期設定値は[デフォルト]に設定されています。詳細は、バージョンプロファイルの設定を参照してください。
- [App Connectorソフトウェア更新スケジュール]:曜日と開始時刻を選択して、グループの定期的なApp Connectorソフトウェア更新をスケジュールします。特定の曜日と開始時刻を検索するか、[選択をクリア]をクリックして選択内容を削除できます。
- [App Connectorのロケーション]:グループ内のApp Connectorが設定されている場所を入力します。入力したロケーションがマップに表示されます。マップ上のロケーション マーカーをクリックした場合、[緯度]、[経度]および[ロケーションのアドレス]のフィールドが自動的に入力されます。
- [緯度]:緯度座標を表示します。
- [経度]:経度座標を表示します。
- [国コード]:入力したロケーションアドレスの国コードが表示されます。
- [ロケーション情報の詳細]:入力したロケーション情報を表示します。
- [次へ]をクリックします。
- App Connectorグループを選択
- 4.プロビジョニングキーの作成
- [名前]: プロビジョニングキーの名前を入力します。名前には、ピリオド (.)、ハイフン ( -)、アンダースコア ( _ ) を除いて、特殊文字を含めることはできません。
この名前は、登録されている各App Connectorの名前のプレフィックスとして自動的に割り当てられます。つまり、特定のApp Connectorグループ内のすべてのApp Connector、その名前に同じプレフィックスを使用します。
グループ内の異なるApp Connectorを区別するために、各App Connectorには、登録時に名前に番号が自動的に追加されます。この番号は、キーで登録されるn番目のApp Connectorであることを示します。たとえば、この手順でプロビジョニング キー名としてAWS Oregonと入力すると、このキーを使用して登録する最初のApp Connectorの名前はAWS Oregon-1になります。同じキーで登録する次のApp Connectorの名前はAWS Oregon-2となり、以下同様に続きます。
- [プロビジョニング キーの最大再利用回数)]:このキーを使用してApp Connectorを登録できるインスタンスの最大数を入力します。App Connectorを追加した後、この番号を変更できます。
[プロビジョニング キーの再利用のインスタンス]フィールドは変更できません。ZPAは、このApp Connectorグループに登録されているApp Connectorの数を追跡し、このフィールドに数を自動的に表示します。これにより、App Connectorを登録するために不明な第三者によってキーが不適切に使用されないようにすることができます。
- [次へ]をクリックします。
- 5.レビュー
- [レビュー]タブで、構成の設定を確認します。画像を参照してください。
- 保存 をクリックします。
- 6.ドキュメンテーションの確認
- [ ドキュメントの確認] タブで、次の操作を行います。
- [プロビジョニング キーのコピー]: App Connectorのプロビジョニング キーをコピーします。このキーは、App Connectorをプラットフォームに展開するときに入力する必要があります。[コピー]アイコンをクリックすると、キーをクリップボードにコピーできます。
- [ドキュメントの確認]: App Connectorを展開するプラットフォームを選択し、表示される指示に従います。詳細については、サポートされているプラットフォームの「App Connectorの展開ガイド」を参照してください。
- [完了]をクリックします。
- [ ドキュメントの確認] タブで、次の操作を行います。
- 1.キーを選択