DocsDigest
Back to listLanguage: JA
OpenAICloudflareMar 4, 2026, 6:00 AM

Moving from license plates to badges: the Gateway Authorization Proxy

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

openaienmodel: gpt-5-mini-2025-08-07

Moving from license plates to badges: the Gateway Authorization Proxy

cloudflare-gatewayauthorization-proxypac-hostingzero-trustjwtidp

Key Points

  • Per-domain JWT identity cookies
  • Hosted PAC files with templates
  • Open beta for clientless authorization

Summary

Cloudflare's Gateway Authorization Proxy adds per-user identity to proxy endpoints so unmanaged devices can be authorized and filtered without installing a client. It pairs per-domain signed JWT cookies and Cloudflare Access authentication with hosted PAC file support to give engineers per-user logging, policy control, and simple deployment for virtual desktops, M&A scenarios, and compliance-constrained endpoints.

Key Points

  • What it is: an authorization layer in front of Gateway proxy endpoints that verifies users via Cloudflare Access before applying Gateway filtering.
  • Identity tracking: issues per-domain signed JWT cookies after an initial redirect to Cloudflare Access; subsequent requests are authorized instantly and logged per user.
  • Multi-IdP support: present one or multiple identity providers (e.g., Okta, Azure AD) to end users during login.
  • PAC File Hosting: host PAC files on Cloudflare with starter templates and an AI assistant (Cloudy) to summarize PAC behavior; removes the need to self-host PAC files.
  • Billing: seat-based billing model (same as Cloudflare One Client) — no new complex metrics.
  • Recommended use cases: VDI environments, mergers & acquisitions, and regulated environments where installing a client is not possible.
  • Where to get started: available in open beta; configure in the Dashboard under "Resolvers and Proxies."
  • Roadmap: planned support for Kerberos, mTLS, and username/password authentication methods.

Implementation notes for engineers

  • Initial visit to a domain triggers a redirect to Cloudflare Access to mint a domain-specific JWT cookie; ensure your IdP flows and session lifetimes are configured appropriately.
  • Once the cookie is present, requests to the domain and its subdomains are authorized without further redirects.
  • Use hosted PAC templates to quickly point browsers to the proxy; review generated PAC logic and integrate into enterprise browser/config management or DHCP/Group Policy as needed.
  • For full control and best UX, continue to prefer the Cloudflare One Client where installable; use Authorization Proxy when clientless access is required.

Full Translation

Translations

A translation section that keeps the flow of the original article.

openaijamodel: gpt-5-mini-2025-08-07

ナンバープレートからバッジへ:Gateway Authorization Proxyへの移行

2026-03-04 — 著者: Ankur Aggarwal、Alex Holland

この数分で読めます(約4分)

概要

理想的には、すべてのデバイスにCloudflare One Clientのような管理クライアントがインストールされ、深い可視性とシームレスな保護を提供します。しかし現実には、買収した企業の端末、仮想デスクトップ、またはエンドポイントにソフトウェアをインストールできない規制上の制約など、クライアントを配置できない状況がしばしば発生します。そうした管理できないデバイスからのトラフィックも保護するには、認証の課題をデバイスからネットワーク側へ移す必要があります。

ブラウザのネイティブなプロキシ機能と当社のグローバルネットワークを組み合わせることで、インターネットに接続できる任意のデバイス上でユーザを検証し、細かいポリシーを適用できます。これを実現するために、Gateway Authorization ProxyとProxy Auto-Configuration (PAC) File Hostingを構築し、未管理デバイスのCloudflare接続を自動化・簡素化しました。

問題点:IPアドレス(ナンバープレート)だけでは不十分なことがある

2022年にリリースしたプロキシエンドポイントは、トラフィックをCloudflare経由にルーティングしてフィルタリングを適用できるようにしましたが、「アイデンティティの危機」を抱えていました。あの仕組みは静的なIPアドレスでユーザを識別していたため、車(IPアドレス)しか見ない警備員のようなものでした。車が来れば入れるが、運転手が車を変えたり別の場所から働いたりすると判別できない――という問題です。

主な問題点:

  • 匿名ログ: IPアドレスはわかるが、誰がアクセスしているかはわからない。
  • 脆弱なポリシー: ユーザが引っ越したりオフィスを変えたりすると、エンドポイントが壊れたり更新が必要になったりする。
  • 手作業のメンテナンス: プロキシを指示するPACファイル(ブラウザにプロキシを教える"GPS")を自身でホストする必要があり、運用負担が増える。

解決策:Authorization Proxy(認証付きプロキシ)

Gateway Authorization Proxyは入口に“バッジリーダー”を追加します。トラフィックの発生元だけを見るのではなく、Cloudflare Accessスタイルのログインでユーザを確認してからGatewayフィルタリングを適用します。これはナンバープレートベースの来客名簿から、個々人がバッジを持つ仕組みへ移行するようなものです。

主な利点:

  • 真のアイデンティティ統合: プロキシエンドポイントに関するログが、どのユーザがどのサイトにアクセスしたかを正確に示します。Cloudflare One Clientを端末に入れていなくても、例えば「Financeチームだけがこの会計ツールにアクセスできる」といった具体的なルールを作成できます。
  • 複数のIDプロバイダ対応: 大企業やM&Aのシナリオで強力です。どのIDプロバイダをユーザに提示するか選べ、OktaやAzure ADなど複数のログイン方法を同時に表示できます。競合他社が提供していない柔軟性です。
  • 簡素化された課金: 各ユーザはCloudflare One Clientと同様に「シート」を消費します。追跡すべき複雑な新しい指標はありません。

これを実現するために、デバイスクライアントなしで各リクエストにユーザのアイデンティティを紐付けるという技術的な壁を克服しました。以下で仕組みを説明します。

Authorization Proxyがアイデンティティを追跡する仕組み

Authorization Proxyは署名付きのJWTクッキーを用いてアイデンティティを維持します。ただし注意点があります: プロキシ経由で新しいドメインに初めてアクセスした時点では、まだそのドメイン用のクッキーが存在しません。これは、建物ごとにバッジを見せるようなものです。

フローの要点:

  1. 初回アクセス(新しいドメイン):
    • Gateway Authorization Proxyはドメイン固有のアイデンティティクッキーがあるか確認します。なければCloudflare Accessへリダイレクトします。
    • Cloudflare Accessは既存のCloudflare Access用アイデンティティクッキーを確認します。既に認証済みであれば、そのドメイン専用の安全なトークン(JWTクッキー)を生成します。認証されていなければ、IDプロバイダ(OktaやAzure ADなど)でのログインへリダイレクトします。
  2. ユーザからはほとんど見えない:
    • この処理はCloudflareのグローバルエッジネットワーク上でミリ秒単位で行われるため、リダイレクトは極めて高速で、ユーザはページが通常通り表示されると感じます。
  3. 再訪問は即時:
    • クッキーが設定されると、そのドメイン(およびサブドメイン)への以降のリクエストは即時に認可されます。以後リダイレクトは不要です。

この方式により、ソフトウェアを端末にインストールすることなく、ユーザ単位でトラフィックのログ取得・フィルタリングが可能になり、必要に応じて即座にアクセスを取り消せます。

自前でPACファイルをホストする必要はなくなる

セットアップの"宿題"も減らしました。PACファイルはCloudflare上で直接ホストできるようになり、Proxy Auto-Configuration (PAC) File Hostingを提供します。スターターテンプレートを用意しているため、数分で導入を始められます。さらに、AIアシスタントのCloudyを統合し、コードを読み切らなくてもPACファイルが何をしているかを要約してくれます。

どんなチームに向いているか

Cloudflare One Clientを導入することでより高い制御と最良のユーザ体験が得られることは推奨しますが、Authorization Proxyは以下のような特定のシナリオに最適です:

  • Virtual desktops (VDI): ユーザが仮想マシンにログインし、ブラウザからインターネットにアクセスする環境。
  • Mergers and acquisitions: 異なる2社を迅速に一つのセキュリティドメインに統合する必要がある場合。
  • Compliance constraints: 法的・技術的にエンドポイントへソフトウェアをインストールできない場合。

今後の展望

これはCloudflare Oneへのクライアントレスなセキュリティオプションを拡張するもので、Authorization Endpointsに関連するサポートする認証方式の拡張に取り組んでいます。Kerberos、mTLS、従来のusername/password認証などを順次追加し、認証方法の柔軟性を高める予定です。

Gateway Authorization ProxyとPAC File Hostingは、すべてのアカウントタイプでオープンベータとして本日利用可能です。Cloudflareダッシュボードの「Resolvers and Proxies」セクションから開始できます。

Cloudflareのconnectivity cloudは企業ネットワーク全体を保護し、インターネット規模のアプリケーション構築を効率化し、Webサイトやインターネットアプリケーションを加速し、DDoS攻撃を防ぎ、ハッカーを排除し、Zero Trustへの道を支援します。任意のデバイスから1.1.1.1にアクセスして、インターネットをより速く安全にする無料アプリを始めてください。

当社のミッションや採用情報に関心がある場合は、それぞれのページをご覧ください。