クラウドセキュリティネットワーク

第3回 クライアントレスでZTNAを実現

SASE製品であるNetskopeとクラウド型ID管理・統合認証サービスであるOkta(IdP)を用いて、クライアントレスでゼロトラストを実現する方法について紹介します。「ゼロトラストネットワークは構築したいけど、クライアントを端末に入れたくない…」という方にこちらの記事がご参考になれば幸いです。

今回はNetskopeとOktaでの設定方法を掲載しますが、SAML対応しているIdPであればOkta以外でも設定可能です。

 

~設定手順~

①OktaでReverse Proxy用の設定を作成

 OktaでSAMLアプリを作成し、SAML Settingsで②Netskope Settingsに表示されている内容を入力します。

 

 また、 View SAML setup instructions の値をコピーしておきます。(②New Account 作成時に入力します)

 

②NetskopeでSAML Reverse Proxy Account を作成

 Add AccountをクリックするとNew Account という画面が表示されますので、APPLICATIONでPrivate Appsを選択し、IDP SSO URL・IDP CERTIFICATEには①でコピーしておいた情報を入力します。

 

 

③Private Appの設定

 アクセスしたい社内リソースなどをPrivate Appとして定義します。クライアントレスで利用する場合は必ず赤枠 Allow Browser Access を有効化します。

 ※別途社内リソースへアクセスするためのコネクター構築が必要です。

 

④Policyを作成

 ③で作成したPrivate Appへの通信を許可するポリシーを作成します。この時、Access Methods は Browser Access を選択します。

 

以上で設定は完了ですので、クライアントレスで実際に接続してみます。

 

接続

実際の接続はブラウザのアドレスバーに③に記載されているPUBLIC HOST を入力し、行います。

まずOktaの認証画面が表示されるので認証情報を入力します。

 

 

 

すると、上図の様な画面が表示された後、下図のように設定した社内リソースなどへのアクセスが可能です。

 

現在、こちらの機能はブラウザアクセス(HTTP/HTTPS)のみ対応となっておりますのでご了承下さい。

最後までご覧頂きありがとうございました。