HTTPSゲートウェイサーバー

PAM360では現在、セキュアHTTPSゲートウェイサーバーが中間プロキシとして作動するように構成し、URLをサポートし、PAM360ユーザーデバイスからアクセスできないリソースの特権接続の起動を促進することができます。接続は、HTTPSベースのWebリンクを使って確立します。これらのリンクでは、ターゲットURLが内部または外部リソースURLあるいはイントラネットリンクにすることができます。また、HTTPSゲートウェイサーバーを、希望するッポート、KeyStoreパス、およびKeyStoreパスワードで構成し、ターゲットURLへの接続を確保することもできます。

HTTPSゲートウェイサーバーの構成および制限についてのその他詳細は、以下のセクションを参照してください。

  1. ロールと許可
  2. HTTPSゲートウェイサーバーの構成
  3. HTTPSゲートウェイ接続のリソースの構成
  4. マルチサーバー環境の関数挙動
  5. HTTPSゲートウェイサーバーの制限

1.ロールと権限

デフォルトでは、管理者ロールがあるユーザーは、HTTPSゲートウェイサーバーを、管理者と接続ユーザーロールがあるユーザーは、HTTPS接続をゲートウェイサーバーから行うことができます。上記のユーザーロールとは別に、管理者は、他のPAM360ユーザーが、HTTPSゲートウェイサーバーを構成する、および(または)HTTPS接続を、以下のカスタムロールを有効化してこ、構成されたゲートウェイから行うことができます:

1.1 HTTPS ゲートウェイサーバー

[管理者] >> [カスタマイズ] >> [ロール] >> [ロールを追加] >> [PAM360設定]の順に移動し、カスタムロール[HTTPSゲートウェイサーバー]を有効化します。このカスタムロールを有効化すると、ユーザーは、HTTPSゲートウェイサーバーを構成することができます。

1.2 HTTPS ゲートウェイ接続

[管理者] >> [カスタマイズ] >> [ロール] >> [ロールを追加] >> [リモートアクセス]の順に移動し、[HTTPSゲートウェイ接続]を有効化します。このカスタムロールを有効化すると、ユーザーは、HTTPS接続を、構成されたゲートウェイサーバーから起動することができます。

2.HTTPSゲートウェイサーバーの構成

PAM360インストール後、デフォルトでは、HTTPSゲートウェイサーバーは、PAM360で構成され、実行されます。HTTPSゲートウェイサーバーを下に記載の要件にあわせて再構成するには、'[管理者] >> [構成] >> [HTTPSゲートウェイ]の順に移動し、下の手順に従います:

  1. ポート - HTTPSゲートウェイサーバーは、デフォルトでは、ポート8285で構成されます。ポート8285が組織の別のアプリケーション/インスタンスについて構成されている場合は、可能な場合は、都合のよい時点で、ポートを更新します。
  2. KeyStoreパス - デフォルトでは、「httpsCerts.keystore」という名前のKeyStoreファイルがPAM360インストールディレクトリのconf フォルダにあり、HTTPS接続関連の証明書がすべて保存されます。以下が必要です:
    1. より強いセキュリティ上の理由から、HTTPS接続関連の証明書をすべて保存する一意のKeyStore ファイル
    2. HTTPSゲートウェイ接続を安全にするには
    タイプ 「.keystore」の新しいKeyStoreファイルを作成し、各ファイルパスをこのKeyStore Pathフィールドに入力できます。
  3. KeyStoreパスワード:このHTTPSゲートウェイサーバー固有の新しいKeyStoreファイルを作成した場合、 新しいKeyStoreファイルをの生成中に追加した各KeyStoreパスワードを入力します。
  4. [更新]をクリックし、更新した構成で、HTTPSゲートウェイサーバーを保存および起動します。
    5. https-gateway
  5. ほとんどのHTTPS接続は、HTTPSゲートウェイサーバーで安全に作動します。個別のHTTPS接続URLでは、各ルート証明書がHTTPSゲートウェイサーバーからセキュリティに接続する必要があります。それらのURLが安全に作動するには、その関連するルート証明書をHTTPSゲートウェイサーバーのKeyStoreにインポートする必要があります。それらの証明書をKeyStoreにインポートするには、以下の手順を行います:
    1. [管理者] >> [HTTPSゲートウェイサーバー] >> [接続証明書]の順に移動します。
    2. 各URLのルート証明書のパスを参照します。
    3. [インポート]をクリックして、追加された証明書をKeyStore ファイルに保存して、HTTPS接続の安全性を高めます。
    4. 各証明書をインポートした後、HTTPSゲートウェイサーバーの再起動が必要です。そのためには、[サーバー設定]タブのトグルボタンを使用できます。
    6. https-gateway

HTTPSゲートウェイサーバーがPAM360 Webサービス向けに構成されたロードバランサにより、組織内で効率よく作動するには、以下の手順を行います:

  1. PAM360のリモートホスト機能を構成します。
  2. <PAM360 Installation Directory/conf>に移動し、system_propertiesという名前のファイルを開きます。
  3. 新しいシステムプロパティhttps.gateway.server.loadbalancer.enabled=trueを追加します。

    4. 注記:
    構成されたリモートホスト機能と新しいシステムプロパティがない場合、サーバーは、実際のアドレスではなく、受け取ったすべての要求について、ロードバランサIPアドレスを受け取ります。これで、IPアドレスが許可値以外の最大HTTPSゲートウェイ閾値に到達できます。

3.HTTPSゲートウェイ接続のリソースの構成

HTTPSゲートウェイサーバー構成が完了すると、自動ログオン構成に進むことができ、URLをリソースタブから追加し、HTTPSゲートウェイ接続を使用することができます。

3.1 HTTPSゲートウェイ接続の自動ログオンヘルパーの構成

デフォルトでは、HTTPSゲートウェイ接続は次のタイプのリソースをサポートします - WebサイトアカウントWindowsWindows Domain、およびLinux。このHTTPSゲートウェイをWebベースのURLをサポートする他のリソースに使用する場合は、以下の手順を行います:

  1. [管理者] >> [カスタマイズ] >> [自動ログオンヘルパー]の順に移動します。
  2. HTTPSゲートウェイの横の[編集]アイコンをクリックします。
  3. WebベースのURLをサポートするリソースタイプを選択し、右列に移動します。
  4. [保存]をクリックして、サポートされているリソースタイプを更新します。
    5. https-gateway
    https-gateway

3.2 URL (HTTPSベース)のリソースへの追加

URLをリソースに2つの異なるシナリオで追加できます。新しいリソース追加中、またはリソース編集オプションを使った既存の利用可能リソース向けに追加できます。PAM360で利用可能なリソース:

  1. [リソース]タブに移動します。
  2. リモート接続をHTTPSゲートウェイ接続から行う各リソースの横のリソース操作列で、[リソースを編集]を選択します。.
  3. 表示されるポップアップで、HTTPS WebリンクのYRLタイプをリソースURLフィールドに入力します。
  4. [保存]をクリックして、更新します。
    5. https-gateway
    https-gateway
  5. これで、各リソースにHTTPSゲートウェイ接続が、リモート接続のタイプになります。

3.3 HTTPSゲートウェイ接続

HTTPSゲートウェイ接続ロールがあるユーザー(管理者、接続ユーザー、カスタムロールがあるユーザー)は、以下の方法でリモート接続できます:

  1. [接続] >> [リモート接続] >> [HTTPSゲートウェイ接続]から。
    2. https-gateway
  2. 構成されたリソースの横のリソースタブで、リモート接続[HTTPSゲートウェイ接続を開く]オプションから。
    3. https-gateway

ターゲットURLへのセッションが各ページから起動されると、Webページが、所定のサーバーURLとカスタムポートの新しいタブで開きます。(例, https://server-name:8285/GS_36c1cc2f_/{uri})

注記:

  1. HTTPSゲートウェイサーバーは、MSP組織での構成に限定され、クライアント組織では構成できません。それでも、クライアント組織のリソースをリソースURLでセットアップし、 HTTPSゲートウェイ接続用にMSP組織で構成されたHTTPSゲートウェイサーバーを使用することができます。
  2. PAM360 cookie設定を調節し、ManageEngine製品へのセッションをHTTPSゲートウェイサーバーから認証します。この更新は、ADMPやADFS等のManageEngineアプリケーションサーバーにPAM360と同様のcookie名があるため、必要になります。


4.マルチサーバー環境の関数挙動

  1. アプリケーションスケーリングが構成された環境内の単一サーバーでHTTPSゲートウェイサーバーを無効化すると、ゲートウェイサーバーは完全に停止しません。また、HTTPSゲートウェイサーバーを完全に停止するには、利用可能な残りのサーバーでPAM360の再起動が必要です。
  2. HTTPSゲートウェイ接続関数が複数のサーバー(プライマリとセカンダリ)でシームレスに作動するには:
    1. KeyStoreパスを共通UNCパスの形で入力する必要があります。
    2. ポートは、複数サーバー間で同じである必要があります。
  3. HTTPSゲートウェイサーバーを読取専用サーバー上でセットアップすることはできません。

5.HTTPSゲートウェイサーバーの制限

  1. HTTPSベースのWebリンクのみのPAM360の追加をサポートしています。
  2. ユーザーが、構成されたターゲットURLとは別のサイトに移動する場合、その操作は、HTTPSプロキシ歳ーバーからルーティングされなくなります。このルールは、認証と関連する関数に外部サイトを利用するWebサイトにも関連します。
  3. 現在、URI(Uniform Resource Identifier)があるターゲットURLの使用がまだサポートされていないとき、ホスト名またはドメイン名をターゲットURLとして入力できるだけです。
  4. 絶対cssおよびjsソースパスを含むWEえbサイトはサポートしていません。
  5. トラステッドドメインのみからの要求を許可するWebサイトはサポートしていません。
  6. Password Manager Pro、ServiceDesk Plus等の他のManageEngine製品のURLへの接続は、cookieをPAM360と共有できないため、認証できません。