アプリケーションゲートウェイの作成

オンラインで編集

Application Gateway は、既存のアプリケーションへのエントリポイントとして機能するように設定できるWebリバースプロキシです。 保護対象のアプリケーションに多額の費用がかかる変更や拡張を加えることなく、認証および認可機能を提供します。

始める前に

  • このタスクを完了するには管理者権限が必要です。

このタスクについて

下書きモードでは、変更可能な設定をすべて変更できます。 編集ゲートウェイを展開して設定を変更したら、をクリック 用途 > アプリケーションゲートウェイ > アプリケーション名 > 設定 し、画面を下へスクロールして まで移動します。

手順

  1. 用途 > Application GatewayIBM® Verify 管理者としてログインし、へ移動してください。
  2. [アプリケーションゲートウェイの作成] をクリックし、基本情報を入力します。
    ヒント: 名前にはスペースや特殊文字を含めることはできません。 ハイフンやアンダースコアを使用できます。

    プライマリホスト名は、ゲートウェイに到達するために使用される、DNSで解決可能な名前に対応しています。 例えば、myapp-gateway.comなどです。

  3. オプション: 「はい」 を選択すると、エージェントの健全性レポート機能が有効になります。
    このオプションを使用すると、 IBM Verify オンプレミスのIAGランタイムの中央管理および監視拠点となります。
  4. 「次へ」をクリックします。
  5. セキュリティの設定
    設定内の機密データは暗号化されています。 暗号化キーが指定されない場合、自動的に生成されます。
    • 暗号化キーが自動的に生成されると、公開鍵は Application Gateway の設定に保存されます。 「作成」 をクリックすると、秘密鍵が生成されます。 秘密鍵は保存されず、1回限りのダウンロードのみ可能です。 秘密鍵は別途保管し、ゲートウェイを実行する環境で利用できるようにする必要があります。
    • 独自の暗号化キーを使用する場合は、 「キーをアップロード」 を選択し、画面の指示に従ってください。
  6. 「次へ」をクリックします。
  7. 使用するサーバープロトコルを選択し、 「次へ」 をクリックします。
  8. 使用するトランスポート層セキュリティ( TLS )証明書の種類(フロントエンド証明書または信頼済み証明書)を選択してください。
    フロントエンド証明書は、ユーザーのブラウザとWebサイトのサーバー間の通信を保護します。
    • 「証明書の生成」 を選択すると、アプリケーションゲートウェイによって生成された自己署名証明書を使用できます。
    • 「証明書のアップロード」 を選択し、秘密鍵のファイル名を入力してください。 次に、公開証明書をアップロードしてください。 .pem どちらも 形式でなければなりません。
    信頼された証明書には、署名者証明書が必要です。 公開証明書を 形式で .pem アップロードしてください。
  9. 「ホスト名の詳細設定」を有効にし、表示される指示に従ってください。
  10. 「作成」 をクリックします。
  11. 秘密鍵をダウンロードして保存してください。
    秘密鍵は保存されず、1回限りのダウンロードのみ可能です。
  12. (任意): コンテナの設定を編集します。
  13. OpenID 接続プロバイダーを追加します。
    設定情報を入力し、ウィザードの手順に従って進めてください。
    注: プロバイダーとして を選択 IBM Verify すると、アプリケーションが自動的に作成され、「 基本情報 」が事前入力されます。 スコープやクエリ文字列の設定は引き続き可能です。 また、OIDCプロバイダーの権限設定を行う必要があります。 詳細については、 「アプリケーションの権限の管理(管理者またはアプリケーション所有者による)」 を参照してください。
  14. リソースの追加
    リソースは、保護対象とするアプリケーションやサービスを定義するために使用されます。
    1. リソース情報を提供してください。
      • サーバーパスについては、リソースサーバーに完全なパスを渡す「透過パス」を使用するように選択することもできます。 バーチャルホストを設定するには、ホスト名とポートを指定する必要があります。
      • 接続の種類を選択してください。 「 HTTPS 」を選択した場合、必要に応じてサーバー名インジケーター(SNI)を指定できます。 SNIは、接続先のサーバーを特定するための TLS セキュリティプロトコルです。
      • ステートフルリソースは、ゲートウェイが確立した接続に関する情報を保持します。 ステートフル機能が有効になっている場合、ユーザーセッション中に送信されるすべてのリクエストは、同じリソースサーバーに送信されます。
      • HTTP/2 これは、ウェブブラウジングのパフォーマンスと効率を向上させることを目的として設計された、ハイパーテキスト転送プロトコル( HTTP )の更新版です。
    2. シングルサインオンの方式を選択してください。
      JSON Web トークン (JWT)
      JSON Web Token(JWT)は、ユーザーのブラウザとウェブサイトのサーバー間の通信を保護します。 これを使用して、ユーザーの認証、ユーザーに関する情報の提供、およびリソースへのアクセス保護を行うことができます。
      HTTP ヘッダー
      HTTP ヘッダーは、 HTTP リクエストおよびレスポンスに含まれるメタデータです。 リクエストやレスポンスに関する追加情報(コンテンツタイプ、エンコーディング、認証情報など)を提供します。 Webサーバーとクライアント間の通信を改善します。
      基本認証
      基本認証では、ユーザーはユーザー名とパスワードを平文で入力する必要があります。
    3. 保護対象のリソースサーバーを選択または設定します。
  15. 「作成」 をクリックします。
  16. (任意): 承認ポリシーを追加します。
    このポリシーでは、特定のリソースにアクセスできるユーザーを定めています。

    基本情報、ポリシーが適用されるパス、およびポリシーのルールを指定し、「 追加」 をクリックします。

  17. ゲートウェイを公開してください。
    1. 「エクスポート」 をクリックしてデプロイします。
      エクスポートする設定ファイルの種類を選択してください。
    2. ゲートウェイの導入手順に従ってください。
    3. 「完了」をクリックします。

結果

IBM Verify アプリケーションゲートウェイは利用可能であり、テナントを通じて管理できます。 ゲートウェイの設定を変更すると、ゲートウェイの設定に増分バージョン番号が割り当てられます。

次の手順

[アプリケーション] > [アプリケーションゲートウェイ ] > [アプリケーション名] > [ランタイム] をクリックして、ゲートウェイとそのインスタンスの正常性を監視します。