ベストプラクティス
スケーラブルなAccessアプリケーションとポリシーを構築するためのベストプラクティスを学びましょう。
Accessグループは、複数のアプリケーションに迅速に適用できる再利用可能なルールのセットです。これは「企業ユーザー」のような定義で、デバイスの姿勢チェック要件と特定のメールアドレスを持つ場合や、単に「開発者」のように、アイデンティティプロバイダー内のグループを参照する場合があります。同一のポリシー構造が必要なアプリケーションが多数ある場合は、Accessグループを構築し、複数のアプリケーションで参照することをお勧めします。
To create an Access group:
-
In Zero Trust ↗, go to Access > Access Groups.
-
Select Add a Group.
-
Enter a name for the group (for example,
Lisbon-team). -
Specify as many rules as needed to define your user group. For example, the following rules define a team based in Lisbon, Portugal:
Rule type Selector Value Include Country PortugalRequire Emails Ending In @team.com -
Select Save.
Send a POST request to the /access/groups endpoint:
curl https://api.cloudflare.com/client/v4/accounts/{account_id}/access/groups \--header "X-Auth-Email: <EMAIL>" \--header "X-Auth-Key: <API_KEY>" \--header "Content-Type: application/json" \--data '{ "name": "Lisbon-team", "include": [ { "geo": { "country_code": "PT" } } ], "exclude": [], "require": [ { "email_domain": { "domain": "team.com" } } ], "is_default": false}'You can now select this group in the Access policy builder.
Accessアプリケーションは、本質的に柔軟で強力なドメイン構造機能を持っています。あなたのドメイン構造は、過度に許可的でも制限的でもなく、アプリケーションのセキュリティ目標を達成するべきです。生産用のアプリケーションを設計する前に、アプリケーションパスのドキュメントを確認して、パス定義の仕組みやワイルドカードの使用方法を理解してください。
特に内部で構築された内部ウェブアプリケーションを中心に設計されたワークフローを持つ多くの顧客は、複数の内部サービスに対する相互依存性に関連する課題に直面することがよくあります。また、SPA(シングルページアプリケーション)に関連する課題があり、Zero Trust Web Accessサービスへのオンボーディングが難しくなることがあります。たとえば、アプリケーションにはiFrameや他の埋め込みシステムがあり、異なる内部および/または外部アドレスに依存している場合があります。
内部サービスがこのように機能する場合は、単一のAccessアプリケーション内で複数のトップレベルドメインを指定することをお勧めします。そうでない場合、複数のドメインを使用する目的がポリシー作成の簡素化であるなら、アプリケーションごとに1つの主要なドメインを作成し、残りのデプロイメントをTerraformや他のInfrastructure as Code(IaC)サービスを使用して自動化することをお勧めします。