知られている制限

以下に、ブラウザアイソレーションの現在の制限に関する情報を示します。

ウェブサイトの互換性

当社のネットワークベクターレンダリング（NVR）技術により、ビデオストリームの帯域幅制限なしに安全なリモートコンピューティング体験を提供できます。ほとんどのウェブサイトが完璧に動作することを期待していますが、一部のブラウザ機能やウェブ技術はサポートされておらず、将来的に実装される予定です：

• ウェブカメラとマイクのサポートは利用できません。
• WebGLを使用するウェブサイトは機能しない可能性があります。
• NetflixおよびSpotify Web Playerは利用できません。

ブラウザの互換性

• モダンなChromium、Google Chrome、Mozilla Firefox、Safari、Edge（Chromium）、およびOperaがサポートされています。
• Internet Explorer 11およびそれ以下はサポートされていません。

仮想マシン

ブラウザアイソレーションは仮想化環境（VM）ではサポートされていません。

ゲートウェイセレクタ

特定のゲートウェイHTTPポリシーのセレクタはブラウザアイソレーションをバイパスします。これには以下が含まれます：

• 宛先大陸IPジオロケーション
• 宛先国IPジオロケーション
• 宛先IP

これらのセレクタを使用してトラフィックをアイソレートすることはできず、これらのセレクタに対するアイソレーションマッチはゲートウェイログに表示されません。

ファイルダウンロードサイズ

ユーザーがリモートブラウザ内でファイルをダウンロードすると、そのファイルはメモリに保持され、リモートブラウザセッションの終了時に破棄されます。したがって、セッションごとにダウンロードされるファイルの合計サイズは、リモートブラウザに利用可能なメモリ量と共有されます。個々のファイルサイズの最大は512MBを推奨します。

多要素認証

クライアントレスウェブアイソレーションはYubikeyやWebAuthNをサポートしていません。これらの認証技術は、アイソレートされたウェブサイトが非アイソレートされたウェブサイトと同じドメイン名を使用することを要求します。したがって、プレフィックス付きのクライアントレスウェブアイソレーションURLでは機能せず、インラインデプロイメント（例えば、アイソレートされたアクセスアプリケーション）では通常通り機能します。

SAMLアプリケーション

ブラウザアイソレーションがインラインでデプロイされた場合（例えば、WARP、ゲートウェイプロキシエンドポイント、またはMagic WANを介して）、トラフィックのサブセットをアイソレートするように構成できます。ブラウザアイソレーションはローカルとリモートのブラウジングコンテキストを分離します。このため、クロスドメインの相互作用（シングルサインオンなど）が期待通りに機能しない場合があります。

POSTリクエストが405エラーを返す

このエラーは通常、SAML HTTP-POSTバインディングによって発生します。これらは、非アイソレートのアイデンティティプロバイダー（IdP）とアイソレートされたサービスプロバイダー（SP）間ではまだサポートされていません。

回避策

以下の回避策により、ブラウザアイソレーションでSAMLアプリケーションをアイソレートできます。

SAML HTTP-リダイレクトバインディングを使用する

SAML実装をHTTPリダイレクトバインディングを使用するように構成します。これにより、SAMLResponseデータをアイソレートされたSPにルーティングするためにURLパラメータを使用することで、HTTP 405エラーを回避できます。

クライアントレスウェブアイソレーション

ユーザーにクライアントレスウェブアイソレーションを介してアプリケーションにアクセスするように指示します。クライアントレスウェブアイソレーションは、すべてのトラフィック（IdPとSPの両方）を暗黙的にアイソレートし、HTTP-POST SAMLバインディングをサポートします。

ユーザーの便宜のために、Cloudflare Accessでアプリケーションのブックマークを作成します（例えば、https://<authdomain>.cloudflareaccess.com/browser/https://example.com）。

ノート

IdPセッションは、非アイソレートのIdPとクライアントレスウェブアイソレーションIdPの間で共有されません。ユーザーはIdPとの追加セッションを確立するように求められます。

アプリケーションをAccessに追加する

Cloudflare Accessでセルフホストアプリケーションを構成し、アプリケーション設定でブラウザアイソレーションを有効にする。

アイデンティティプロバイダーとサービスプロバイダーの両方をアイソレートする

IdPとSPの両方がアイソレートされている場合、HTTP 405エラーは発生しません。

Order	Selector	Operator	Value	Action
1	Application	In	あなたのアイデンティティプロバイダー、あなたのアプリケーション	Isolate

ノート

リモートブラウザから開始されたSAML HTTP-POSTの試行は、非アイソレートのSPに転送されません。すべてのSPはSSOエラーを回避するためにアイソレートされるべきです。

OktaとSalesforce間のインラインSSO

HTTP-POSTバインディングを使用する一部のアプリケーション（例えば、Salesforce）は、内部HTTPリダイレクトでSSOを完了します。SAML HTTP-POSTエンドポイントに「アイソレートしない」ポリシーを適用することで、SAMLフローが完了し、リモートブラウザ内のアプリケーションにユーザーを認証します。

Order	Selector	Operator	Value	Action
1	Hostname	In	あなたのSalesforceアプリケーションドメイン
	そして
	HTTPメソッド	In	POST	アイソレートしない
2	Hostname	In	あなたのSalesforceアプリケーションドメイン	アイソレート