HOME  /ZeroTrust
 /Cloudflare ZeroTrustのGoogle認証の全体像を理解する
2024年08月27日

Cloudflare ZeroTrustのGoogle認証の全体像を理解する


ここではGoogle認証のまつわる挙動で知っておいて欲しい事を解説します。

Google認証が利用されるケースには下記があります。

①WARP接続 : WARPが[セキュリティ空間]に接続する時の認証

②Accessの[Private network]接続 : WARPからローカルネットワークにアクセスする時の認証

③Accessの[Self-hosted]接続 : ブラウザから[公開DNSサーバ]に登録したアプリにアクセスする時の認証

④Accessの[SaaS]接続:ブラウザから外部のSaaSアプリケーションにアクセスする時の認証

⑤アプリランチャ接続:ブラウザからアプリランチャにアクセスする時の認証

 

ここでは上記に利用されるGoogle認証の特性を解説します。

1.認証に利用するGmailアドレスの場所

2.Google認証の挙動

3.Zero Trust側で管理される情報

4.WARPのセッションIDを変更する方法

1.認証に利用するGmailアドレスの場所

Google認証はGmailアドレスを利用する認証システムです。

認証時に何処に設定されているGmailアドレスを利用するか、また認証されたGmailアドレスは何処に保存されるかは下表を参照して下さい。

Windows Android iOS
①WARP接続 デフォルトブラウザ Chomeアプリ Safariアプリ
②[private network]接続 WARPに記録されているGmailアドレス(セッションID)で認証されます。
③[Self-hosted]接続 アクセスするブラウザ アクセスするブラウザ アクセスするブラウザ
④[SaaS]接続 アクセスするブラウザ アクセスするブラウザ アクセスするブラウザ
⑤アプリランチャ接続 アクセスするブラウザ アクセスするブラウザ アクセスするブラウザ

■Windowsのデフォルトブラウザを調べる方法は下記になります。

・[スタート]ボタンを右クリックして[設定]を実行します。

・表示された機能一覧から[アプリ]を起動します。

・左ペインのメニュから[既定のアプリ]を表示します。

・表示された画面の中の[Webブラウザ欄]がデフォルトブラウザのアプリです。

■Gmailアドレスはブラウザから[https://myaccount.google.com]をアクセスする事により登録/追加/削除が行えます。

 

2.Google認証の挙動

Google認証はGmailアドレスの設定状況により挙動が異なります。

所定ブラウザにGmailアドレスが1つだけ設定されている場合

Googleのログイン画面は表示されずに、このアドレスが利用できるか否かで評価されます。

 

②所定ブラウザにGmailアドレスが設定されてない場合

下図のGoogleのログイン画面が表示されます。

上記で設定したGmailアドレスでアプリケーションが利用できるか否かの評価が行われます。

 

③所定ブラウザにGmailアドレスが複数設定されている場合

どれを使って認証すればよいかが判らない場合は、Gmailアドレスの一覧を表示して、どれを利用するのか?の選択をユーザに求めます。

選択したGmailアドレスでアプリケーションが利用できるか否かの評価が行われます。

 

3.Zero Trust側で管理される情報

ここではZero trust側で認証された情報が何処に保存されるのかを解説します。

管理される項目 解説
Devices WARP接続された[デバイス名]と[Gmailアドレス]が管理されます。

1つのGmailアドレスで利用するデバイス数に制限はありません。

Users Zero trustを利用しているユーザが管理されます。

ユーザにはWARP接続ユーザ以外にブラウザ接続ユーザがあります。

無料版だとこのユーザ数が50名までに制限されています。

下記にその詳細を解説します。

1.Devices(デバイス)

[My Team → Devices]では[デバイス名]と[Gmailアドレス]が管理されます。

下図は私のWindows10でWARP接続した時のサンプルです。

上記のデバイス名を変更したい場合は下記で変更します。

①[スタート]ボタンを右クリックの[設定]を実行します。

②表示されたメニュから[システム]を起動します。

③左ペインにある[詳細情報] を開きます。

デバイス情報欄に現在のデバイス名が表示されています。

④変更する場合は[このPCの名前を変更]ボタンから変更します。

⑤変更後、再起動でデバイスの名前が更新されます。

 

①設定を起動します。

②[端末情報]をクリックします。

デバイス名に現在のデバイス名が表示されます。

③変更する場合は、上記をクリックし変更します。

④変更後、再起動でデバイスの名前が変更されます。

 

①設定を起動します。

②[一般]をクリックします。

③[情報]をクリックします。

名前欄に現在のデバイス名が表示されます。

④変更する場合は、上記をクリックし変更します。

⑤変更後、再起動でデバイスの名前が変更される筈ですが現在、下記の問題点があります。

­ ­現バージョンの問題点

iPADのWARPバージョン6.81では、名前欄ではなく機種名を取得している様なので変更できません。

バグと思われますので今後のバージョンUPに期待します。

 

­ ­注意

接続されているWARPユーザは、絶対削除しないで下さい。

削除するとWARPと[セキュリティ空間]の接続は解除され、再接続も出来なくなります。

もし誤って削除した場合は、下記で復旧して下さい。

①WARPクライアントを削除する。

②WARPクライアントを再インストールし、新たなユーザとして接続します。

 

2.Users(ユーザ)

[My Team → Users]では[ユーザ]が管理されます。

ユーザにはWARPユーザ以外に[Self-hosted]接続ユーザがいます。

User Name:Gmailの姓名情報が表示されます。

Email:Emailアドレスが表示されます。

Seat Usage:[Active]、[Inactive]のステータスが表示されます。

 

上図の姓名③の様に✓しActionメニュからユーザを削除する事もできます。

無料版では50名の制限があります。

よって不要になったユーザを削除しないと50の制限を超え、有料版と見なされて課金される可能性があるので注意する必要があります。

 

4.WARPのセッションIDを変更する方法

WARPの中に記録されたGmailアドレスをセッションIDと呼びます。

このセッションIDを変更する為にはZero Trustで管理している情報も含めて変更する必要があります。

 

WARP接続されたクライアントは、Zero Trustの[My TeamDevice]の中で管理されます。

Windowsの場合のセッションIDを変更する手順は下記になります。

①デフォルトブラウザで[https://myaccount.google.com/]を実行します。

②Zero Trustで管理しているID以外のGmailアドレスに変更します。

③WARP画面の歯車の[環境設定→アカウント]から[セッションの再認証]を実行します。

デフォルトブラウザとZero trustが管理しているGmailアドレスが異なるのでエラーがでます。

これでZero Trust側に異常が通知されます。

④[セッションの再認証]と同じ画面にある[ログアウト]を実行します。

これでZero Trustの[My Team → Device]の中からこのデバイスが削除されます。

⑤新たにWARPでログイン操作を行います。

デフォルトブラウザに設定されている新しいGmailアドレスで新しいレコードが作成されます。

 

 

以上でGoogle認証の挙動を理解した上でWARPのダウンロードとインストールを行っていきます。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。