以下に、多段プロキシ構成で運用するにあたっての主な注意点を記載いたします。実際に多段プロキシ構成での運用を検討される際は、事前に評価ライセンスを使用して検証いただくことを強く推奨いたします。
1. TMWSの配置場所について
TMWSの配置可否については、以下をご参照ください。
配置の可否であり、サードパーティのプロキシとの連携動作を保証するものではありません。事前に評価ライセンスを使用して検証いただくことを強く推奨いたします。
| TMWSの用途 | TMWSクラウドプロキシ | TMWSオンプレミスゲートウェイ | 備考 |
|---|---|---|---|
| 他のプロキシの後段(上位)プロキシとして使用 | 配置可能 | 配置可能 | 他のプロキシの設定でTMWSのホストとポートを指定します。 TMWSクラウドプロキシのホストとポートを指定する場合は、こちらをご参照ください。 |
| 他のプロキシの前段(下位)プロキシとして使用 | 配置不可 | 配置可能 | オンプレミスゲートウェイ管理画面の[配信ウィザード]の"アップストリームプロキシを有効化"にて、 他のプロキシのホストとポートを指定します。 |
2. TMWSのHTTPSインスペクション機能について
TMWSでは、HTTPS通信を検索するために、HTTPS通信を復号するHTTPSインスペクション機能を提供しております。当該機能をご利用の場合、以下の注意事項があります。
2-1. 他のプロキシの後段(上位)プロキシとしてTMWSを使用するケース
「TMWSの前段(下位)となる他のプロキシはHTTPS通信の復号を行わない」場合、クライアント端末にはTMWSのHTTPSインスペクション用CA証明書のインストールが必要になります。
インストールにつきましては、以下をご参照ください。
HTTPSインスペクション用CA証明書のインストールについて
一方、「TMWSの前段(下位)となる他のプロキシもHTTPS通信の復号を行う」場合、クライアント端末には「他のプロキシのHTTPS復号用のCA証明書」のインストールが必要になります。
詳細は、当該プロキシの仕様をご確認ください。
また、「TMWSの前段(下位)となる他のプロキシはHTTPS通信の復号を行わない」ケース、「TMWSの前段(下位)となる他のプロキシもHTTPS通信の復号を行う」ケースいずれの場合も、他のプロキシがHTTPSサイトの証明書検証を行う際には、当該プロキシにTMWSのHTTPSインスペクション用CA証明書をインストールする必要がある可能性があります。
詳細は、当該プロキシの仕様をご確認ください。
2-2. 他のプロキシの前段(下位)プロキシとしてTMWSを使用するケース
こちらの構成が取れるのは、TMWSオンプレミスゲートウェイの場合のみとなります。
TMWSが最初に通過するプロキシサーバとなるため、クライアント端末にはTMWSのHTTPSインスペクション用CA証明書のインストールが必要になります。インストールにつきましては、以下をご参照ください。
HTTPSインスペクション用CA証明書のインストールについて
一方、TMWSはサーバ証明書検証を行うため、TMWSに「他のプロキシのHTTPS復号用のCA証明書」のインストールまたは許可が必要になります。当該証明書のインストールまたは許可は、TMWS管理画面の[ポリシー] > [HTTPSインスペクション] > [デジタル証明書]から可能です。
詳細はこちらのオンラインヘルプをご参照ください。
3. TMWSのPACファイル、適用エージェントの使用についてのご注意
TMWSでは、TMWSプロキシへ接続するための手段として、TMWS管理画面の[管理] > [サービス配信] > [PACファイル]にてPACファイル、[管理] > [サービス配信] > [適用エージェント]にて適用エージェントを提供しております。TMWSのPACファイルと適用エージェントは、TMWSプロキシに対する使用を前提に適用されております。多段プロキシ構成においてこれらを使用される場合は、以下にご注意ください。
3-1. TMWSのPACファイル
TMWSのPACファイルは、初期設定でTMWSクラウドプロキシへ接続するよう設定されています。接続先プロキシを変更する必要がある場合は、TMWS管理画面の[管理] > [サービス配信] > [PACファイル]にて対象のPACファイルを"詳細モード"で直接編集いただくようお願いします。
多段プロキシ構成において、最初に通過するプロキシがTMWSではなく他のサードパーティのプロキシとなる場合は、当該サードパーティプロキシのPACファイル等を使用いただくことをご検討ください。
3-2. 適用エージェント
適用エージェントの使用可否状況は以下の通りです。多段プロキシ構成において、最初に通過するプロキシがTMWSではなく他のサードパーティのプロキシとなる場合は、当該サードパーティプロキシのPACファイル等を使用いただくことをご検討ください。
〇:使用可能 △:制限付きで使用可能 ×:使用不可
| 適用エージェントの種類 | 最初に通過するプロキシが TMWSクラウドプロキシ | 最初に通過するプロキシが TMWSオンプレミスゲートウェイ |
最初に通過するプロキシが |
|---|---|---|---|
| Windows版適用エージェント | 〇 | △(※1)(※3) | △(※1)(※2)(※3) |
| macOS版適用エージェント | 〇 | △(※1) | △(※1)(※2) |
| iOS/iPadOS版適用エージェント | 〇 | × | × |
| Android版適用エージェント | 〇 | × | × |
(※1)
3-1に記載の通り、対応するPACファイルを直接編集し、接続先プロキシを変更する必要があります。
(※2)
最初に通過するプロキシが提供するPACファイル等を使用いただくこともご検討ください。
(※3)
Windows版適用エージェントでは、後述3-3に記載の制限事項があります。
3-3. Windows版適用エージェントの導入に関する制限事項
「多段プロキシ構成において、TMWSクラウドプロキシが最初に通過するプロキシではない」場合、ブラウザからTMWSのプロキシ認証に成功しても、Windows版適用エージェントにはログイン情報が保存されません。
当該構成を取る場合、3-1に記載の通り、Windows版適用エージェントが使用するPACファイルを編集し、接続先のプロキシを変更することになります。
しかしながら、Windows版適用エージェントの仕様上、ログイン情報を保持するためには「最初に通過するプロキシがTMWSクラウドプロキシである」必要があります。詳細は以下をご参照ください。
特定の環境で、TMWSのログイン情報がWindows版適用エージェントに反映されない事象について
4. TMWSに対するプロキシ認証について
4-1. TMWSが後段(上位)のプロキシに対してプロキシ認証を行うケース
上記に記載の通り、TMWSオンプレミスゲートウェイのみこちらの構成を取ることができます。
しかしながら、オンプレミスゲートウェイでは、後段(上位)のプロキシに対するプロキシ認証機能をご用意しておりません。
後段(上位)のプロキシにて、オンプレミスゲートウェイに対するプロキシ認証を無効化いただくことをご検討ください。
4-2. 前段(下位)のプロキシがTMWSに対してプロキシ認証を行うケース
TMWSでは、以下のプロキシ認証を提供しています。
・キャプティブポータル画面(TMWS専用の認証画面)による認証
・NTLM認証(直接認証方式、エージェント認証方式)
・SAMLベース認証(ADFS認証方式、Azure AD認証方式、Okta認証方式、Google認証方式)
・Kerberos認証(オンプレミスゲートウェイのみ使用可能)
「前段(下位)のプロキシがこれらの認証方式に対応できるか」は、前段(下位)のプロキシの仕様に依存いたします。
TMWSとの認証連携を保証するサードパーティのプロキシはございません。
前段(下位)のプロキシがTMWSに対してプロキシ認証を行うことが困難な場合は、TMWSのプロキシ認証を無効化することをご検討ください。TMWSのプロキシ認証を無効化につきましては、以下をご参照ください。