Zscaler Internet Access(ZIA)のバイパス設定
こんにちは。ネットワークソリューション特集 編集部です。
今回は、Zscaler Internet Access(ZIA)のバイパス設定についてご紹介します。
バイパスとは
何らかの理由でZIAを経由させたくない、不具合が起きるサイトがある場合はバイパス設定を行います。
PACバイパス
PACファイルでZIAへ転送か、ZCCのアプリプロファイルでバイパスはする場合はPACファイルに下記のようにFQDN(念のためサブドメインも)を指定してZIAをバイパスするようにします。
1.管理 – PACファイルを選択して、カスタムPACファイルを追加できます。
2.PACファイルには下記のような形式でバイパスFQDNを追加します。
if (shExpMatch(host, “example.com”) || shExpMatch(host, “*.example.com”)) return “DIRECT”;認証バイパス
SAMLを利用するときは認証先のFQDNをどちらかの設定でバイパスします。
- 認証除外で設定
1.管理 – 高度な設定を選択
2.除外URLにSAMLのFQDNを追加します。
- PACで除外を設定
PACバイパスの設定箇所からSAML IdPのFQDNを追加します。
※下記はAzureADの場合の例です
if (shExpMatch(host, "login.windows.net") || shExpMatch(host, "login.microsoftonline.com") || shExpMatch(host, "*.windowsazure.com") || shExpMatch(host, "aadcdn.msauth.net") || shExpMatch(host, "aadcdn.msftauth.net"))
return "DIRECT";SSLインスペクションバイパス
ZIAを経由させたいがピン止めアプリケーションやSSLインスペクションをしていると正常動作しないサイトはSSLインスペクションをバイパスします。
1.ポリシー – SSLインスペクションを選択
2.SSLインスペクションポリシーに該当のカテゴリやFQDNを検査しないポリシーを追加します。
Zscaler Client Connector(ZCC)バイパス
1.PACにバイパスを記述して、App Profileに適用します。
Zscaler Client Connector Portal – App Profilesを選択
各プラットフォームのCustom PAC URL(PACファイル設定にあるURL)を指定します。
2.転送プロファイルの下記オプションを設定します。
Z-Tunnel 2.0を利用してる場合は転送プロファイルの下記オプションを設定します。
IPベースのバイパス
- Z-Tunnel 1.0の場合は、App ProfileのPACファイルにIPベースのバイパスを追加できます。
if(isInNet(host, "aaa.bbb.ccc.ddd","255.255.255.255")) return "DIRECT";
- Z-Tunnel 2.0の場合は、App ProfileのPACファイルに追加せずVPN or 宛先の除外として追加します。
Zscaler Client Connector Portal – App Profilesを選択
各プラットフォームのHOSTNAME OR IP ADDRESS BYPASS FOR VPN GATEWAYにIPアドレスを指定します。
他社VPNバイパス
過去記事を参照ください。
まとめ
- バイパスは複数ある
- メインはPACファイル
今回はZscaler Internet Access(ZIA)のバイパス設定についてご紹介しました。
