Accorder l'accès aux adresses IP Okta

Une liste d'autorisation IP indique aux serveurs réseau d'autoriser l'accès aux adresses IP et URL que vous ajoutez à cette liste. Pour garantir le bon fonctionnement d'Okta, vous devez ajouter certaines URL à votre liste d'autorisation IP.

  • Si votre politique de serveur autorise toutes les communications HTTP et HTTPS sortantes, peu importe l'adresse IP ou le site Web, vous n'avez pas besoin d'apporter de modifications.
  • Si votre politique de serveur refuse l'accès à la plupart ou à l'intégralité des adresses IP et URL, configurez une liste d'autorisation.

Pour en savoir plus sur le domaine, le port et le dépannage, consultez Détails sur l'implémentation.

Adresses IP Okta

Afin d'assurer une bonne connectivité à Okta pour tous les agents et utilisateurs finaux Okta, ajoutez les adresses IP du système Okta à votre liste d'autorisation suivant cette liste gérée par AWS :

  • Liste d'autorisation de la plage d'adresses IP Okta

Cette liste inclut toutes les adresses IP existantes et toutes nouvelles adresses IP réservées pour de futures mises à jour.

Okta regroupe ces adresses IP dans les cellules suivantes :

  • PAM US : us_pam_cell_1
  • Preview US : preview_cell_1 - preview_cell_3
  • Production US : us_cell_1 - us_cell_7, us_cell_10 - us_cell_12, us_cell_14, us_cell_17
  • Production APAC : apac_cell_1, apac_cell_2
  • PAM EMEA: emea_pam_cell_1
  • Prévisualiser EMEA: preview_cell_2
  • Production EMEA: emea_cell_1, emea_cell_2
  • Production HIPAA: us_cell_5,us_cell_10
  • Prévisualiser PAM: preview_pam_cell_1

Consultez ce fichier avec une visionneuse JSON en ligne de votre choix. Les super administrateurs qui gèrent la liste d'autorisation IP peuvent également obtenir la liste d'autorisation de la plage d'adresses IP Okta.

Vous aurez peut-être besoin d'ajouter les adresses IP Okta incluses dans la liste d'autorisation à vos règles de pare-feu entrant afin qu'Okta puisse communiquer avec les agents installés sur votre réseau interne.

Détails sur l'implémentation

Découvrez comment configurer et implémenter une liste d'autorisation pour votre org.

Ports Le service Okta utilise un port SSL/TLS pour toutes ses communications. Si votre politique requiert un numéro de port, le port 443 doit être inclus à la liste d'autorisation pour les adresses IP indiquées dans ce document, sauf indication contraire.
Domaines Okta obligatoires Ajoutez les domaines suivants à votre liste de domaines autorisés :
  • *.okta.com
  • *.mtls.okta.com
  • *.oktapreview.com
  • *.mtls.oktapreview.com
  • *.oktacdn.com (Autoriser IPv4. Autoriser IPv6 si le réseau dispose de clients IPv6.)
  • *.okta-emea.com
  • *.mtls.okta-emea.com
  • *.kerberos.okta.com
  • *.kerberos.okta-emea.com
  • *.kerberos.oktapreview.com
  • *.okta-gov.com
  • *.mtls.okta-gov.com

  • *.okta.mil

  • *.mtls.okta.mil

  • *.awsglobalaccelerator.com
Réseau de distribution de contenu (CDN) Les ressources d'interface utilisateur (IU) statiques d'Okta (JavaScript, CSS, et images) peuvent être communiquées aux navigateurs par le biais d'un CDN international afin de permettre un téléchargement plus rapide par les clients basés en dehors des États-Unis.

Pour la plupart des systèmes pare-feu ou proxy, Okta recommande d'indiquer une liste d'autorisation des adresses DNS pour les services d'Okta afin de pouvoir établir les connexions sortantes. Ajoutez ces domaines à votre liste d'autorisation DNS :

  • *.oktacdn.com
  • okta-featureflag-edge.azureedge.net
Dépannage de la révocation des certificats Divers problèmes peuvent survenir au moment d'essayer de révoquer un certificat. Par exemple, certains clients ne parviennent pas à se connecter aux points de terminaison SSL/TLS lorsqu'ils ne peuvent pas accéder à un serveur de révocation. En cas de problème lors de la révocation des certificats, assurez-vous que les noms de domaine suivants sont inclus dans la liste d'autorisationpour le port 80 :
  • ocsp.digicert.com
  • crl3.digicert.com
  • crl4.digicert.com