このトピックでは、Edge ファイアウォールまたはルーターで出力方向 NAT アドレスを指定して内部ネットワークの範囲を定義する方法について説明します。この方法で内部ネットワークを定義することにより、Universal Broker サービスは、内部ユーザーの 2 要素認証をバイパスするなどのネットワーク固有のポリシーを適用できます。

Universal Broker の内部ネットワークを定義するには、[ブローカ] ページの [ネットワーク範囲] タブを使用して、内部エンド ユーザー トラフィックに属している出力方向 NAT のすべての範囲を指定します。

Universal Broker サービスは、Edge ルーターまたはファイアウォール上の出力方向 NAT アドレスの指定された範囲を内部ネットワークからの発信元として認識します。これらの範囲内のオリジンから接続するユーザーは、内部ユーザーとみなされます。これらの範囲外のオリジンから接続するユーザーは、外部ユーザーとみなされます。

重要: ネットワーク構成が変更され、指定したアドレス範囲のいずれかが使用されなくなった場合は、[ネットワーク範囲] リストから使用されていない範囲を手動で削除する必要があります。 Universal Broker サービスでは、アドレス範囲が使用中であるかどうかが検出されず、リストから範囲が自動的に削除されることはありません。

前提条件

内部エンド ユーザー トラフィックに対応する Edge ルーターまたはファイアウォールの出力方向ネットワーク アドレス変換 (NAT) アドレスを特定します。

手順

  1. [設定] > [ブローカ] の順に選択します。
  2. [ブローカ] ページで、[ネットワーク範囲] タブをクリックします。
    内部エンドユーザー トラフィックに対応するアドレス範囲のリストが表示されます。
    注: [ネットワーク範囲] タブがパブリック IP アドレス範囲を参照している場合でも、これらのエントリは技術的にはパブリック IP アドレスではありません。Edge ルーターまたはファイアウォールの出力方向 NAT アドレスです。
  3. 出力方向 NAT アドレス範囲をリストに追加するには、[追加] をクリックします。範囲を CIDR 形式で入力します。/1 から /32 までの範囲が使用可能です。次に、[保存] をクリックします。
  4. 内部ネットワーク トラフィックの全範囲を定義するまで、出力方向 NAT アドレス範囲をリストに追加し続けます。

次のタスク

[ネットワーク範囲] タブのコントロールを使用して、リスト内の範囲を [編集] または [削除] することができます。

注: リストから範囲を削除する前に、次の点を考慮してください。
  • 出力方向 NAT アドレス範囲を削除すると、Universal Broker は、その範囲が外部ネットワークの一部であると見なします。
  • リストからすべての範囲を削除すると、Universal Broker はすべてのユーザーを外部ユーザーとして扱います。ポッドの内部 Unified Access Gateway インスタンスが構成済みであっても、内部ユーザーに対してポリシーを適用すること(2 要素認証をバイパスするなど)はできなくなります。