株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > ZPA > 【Zscaler】ZPAでVPNを置き換える!#7 認証のタイミング
最終更新日

【Zscaler】ZPAでVPNを置き換える!#7 認証のタイミング

ZPA ZTNA Zscaler

こんにちは。ネットワールドSEの藤田です。

ZPAでVPNを置き換える!の第七回です。
今回はZPAにおける、ユーザ認証のタイミングについて確認していきます。


【Zscaler】ZPAでVPNを置き換える!#1 ZPAが求められる理由 - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#2 ユーザの操作感 - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#3 アプリケーション通信の流れ - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#4 アプリケーションの定義 - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#5 アクセスポリシーの定義 - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#6 App Connectorの構成 - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#7 認証のタイミング - ネットワールド らぼ
【Zscaler】ZPAでVPNを置き換える!#8 アプリケーションの転送制御 - ネットワールド らぼ

免責事項

  • 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
  • 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
  • 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
  • 本書の利用は、利用者様の責任において行われるものとします。
  • 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いかねます。

ZPAのユーザ認証タイミング

ZPAは主に社内向けのプライベートアプリケーションを公開するために使用されます。その中には機密性の高いものが含まれる場合もあるでしょう。そうするとイベント発生時、あるいは定期的に認証を強制したいという要件も出てきます。また、SAMLでユーザのコンテキスト情報を受け取り、アクセスポリシーに適用している場合には定期的にSAML属性を更新したいという要望もあるかもしれません。

ZPAは外部IdP(Entra ID、Okta等)とSAMLで認証します。それ以降は、ZPAの認証タイムアウトが発生したタイミングで再認証が要求されます。逆に言うと、認証タイムアウトが発生しない間は再認証は要求されません。そこで、特定のイベント発生時に認証タイムアウト値を強制的にクリアすることにより、再認証を要求することもできます。


それではもう少し詳しくみていきましょう。


タイムアウトポリシー

ZPAの認証タイムアウトは「タイムアウトポリシー」という設定で指定できます。

タイムアウトポリシーは、アクセスポリシーと同様に条件を指定してアプリケーションセグメントごとに適用できます。正確には、アプリケーションセグメントが所属するセグメントグループで認証タイムアウト値が管理されることになります。タイムアウトポリシーに指定できる条件は以下の通りです。

  • アプリケーションセグメント/セグメントグループ
  • SAML/SCIM属性(IdPが保持する認証情報とコンテキスト情報)
  • プラットフォーム(Linux/Android/Windows/iOS/Mac)
  • クライアントタイプ(Webブラウザ/Cloud Connectorなど)
  • デバイスポスチャ

https://help.zscaler.com/ja/zpa/configuring-timeout-policies

デフォルトは7日であり、最低10分から指定することができます。また、一部のユースケース(IdP接続など)向けに認証タイムアウトを無期限に指定することもできます。

再認証要求は、認証タイムアウトが切れたアプリケーションへ接続している場合にのみ要求されます。ユーザがアプリケーションを使用していない状態で再認証を要求されることはありません。


認証タイムアウトは、あくまでセグメントグループに紐づいている点にご注意ください。同じセグメントグループ配下のアプリケーションセグメントは、認証タイムアウト値を共有します。

認証タイムアウト後も既存のセッションはそのまま使用できますが、新規セッションは確立できません。また、認証タイムアウト後にアプリケーションをバイパス処理することもできます。バイパスについては次回ご紹介します。


イベントによる認証タイムアウトのクリア

認証タイムアウトを待たず、特定のイベントが発生した場合に認証を要求したいという要件もあるかと思います。例えば、端末起動後は必ず認証を通したい、というような要件です。ZPAではイベント発生時に強制的にタイムアウト値をクリアすることにより、これを実現しています。現時点では以下のイベントが選択できます。

  • システムのスリープ/休止状態
  • システムの再起動
  • ネットワークIPの変更
  • Windowsログオン セッションの開始
  • Windowsセッションのロック

これらにより、ユーザが離席したり、作業場所を変更するなどした際に再認証を要求することができます。


再認証通知

ユーザへ再認証が必要な旨を通知することができます。5~1440分の間で指定することができます。例として、10分を指定した場合、認証タイムアウトの10分前に以下のような通知を表示されます。

再認証が必要となる前に、ZCCより「AUTHENTICATE EARLY」をクリックすることで、再認証処理を実行することができます。

このようにして、ユーザへ再認証を促す通知を管理します。

まとめ

今回はZPAでユーザへ認証を要求するタイミングについてご説明しました。VPNではアプリケーションごとにタイマーを指定するという構成は難しいと思いますが、アプリケーションを中心に設計されたZPAでは柔軟に構成することができます。さて、次回はアプリケーションの転送制御をZPAがどのように行っているかご紹介したいと思います。ありがとうございました。