APIレート制限
APIエンドポイントの調整制限は、(本番およびプレビューテナントの)Oktaサービスを、(意図しない、またはサービス拒否攻撃として)送信されたリクエストによるロードスパイクまたはサービスの中断から保護します。この戦略は、顧客に対して一貫したサービスレベルを維持するために、多くのSaaSアプリケーションおよびプラットフォームで業界全体に採用されています。レート制限に達したリクエストは、429 Too Many Requests HTTPステータスコードを返します。
公開アプリケーションは、不正使用を防ぐため積極的にレート制限されており、ユーザーに関するメタデータをリリースする前にプライマリ認証が正常に完了している必要があります。詳細については、「Okta認証API」を参照してください。各APIレスポンスの制限を報告するヘッダーの操作を含む、デフォルトのOkta APIレート制限の詳細については、「レート制限」を参照してください。
その他のデフォルトのレート制限をエンドポイント別に次の表に示します。Oktaは、サービスを維持するプロセスにおいて、予告なしに制限を増減する場合があります。
|
レート制限されるURI |
1分あたりのリクエスト数 |
|---|---|
|
/app/{アプリ}/{キー}/sso/saml |
750 |
|
/app/office365/{key}/sso/wsfed/active |
2,000 |
|
/app/office365/{key}/sso/wsfed/passive |
250 |
|
/app/template_saml_2_0/{key}/sso/saml |
2,500 |
|
/login/do-login |
200 |
|
/login/login.htm |
850 |
|
/login/sso_iwa_auth |
500 |
| /login/agentlessDSSO | 1000 |
| /api/plugin/{プロトコルのバージョン}/form-cred/{アプリのユーザーID}/{フォームサイトオプション} | 650 |
| /api/plugin/{プロトコルのバージョン}/sites | 150 |
| /bc/fileStoreRecord | 500 |
| /bc/globalFileStoreRecord | 500 |
同時レート制限
すべての顧客のサービスを保護するために、Oktaでは同時レート制限を適用しています。この制限は、org全体の1分あたりのAPIレート制限とは異なります。
同時レート制限の場合、トラフィックは3つの異なる領域で測定されます。すなわち、エージェントトラフィック、Microsoft Office 365トラフィック、APIリクエストを含むほかのすべてのトラフィックの3つの領域です。1つの領域の測定値は、ほかの2つの領域の測定値には含まれません。
- エージェントのトラフィックについては、Oktaは各orgのトラフィックを測定し、過去4週間で最も高い使用率より高く制限を設定しました。
- Microsoft Office 365トラフィックの場合、orgあたりの同時トランザクション数の制限は75です。
- APIリクエストを含むほかのすべてのトラフィックの場合、orgあたりの同時トランザクション数は75に制限されます。
同時制限を超える最初のリクエストではHTTP 429エラーが返され、60秒ごとの最初のエラーがログに書き込まれます。同時レート制限を1分に1回レポートすることで、ログのボリュームを管理しやすいレベルに抑えることができます。
デフォルトのレート制限
APIエンドポイントの調整制限は、(本番およびプレビューテナントの)Oktaサービスを、意図しない、またはサービス拒否攻撃として送信されたリクエストによる負荷の急増またはサービスの中断から保護するために作成されました。この戦略は、顧客に対して一貫したサービスレベルを維持するために、多くのSaaSアプリケーションおよびプラットフォームで業界全体に採用されています。レート制限に達したリクエストは、429 Too Many Requests HTTPステータスコードを返します。
公開アプリケーションは、不正使用を防ぐため積極的にレート制限されており、ユーザーに関するメタデータをリリースする前にプライマリ認証が正常に完了している必要があります。
エンドユーザーのレート制限
Oktaでは、Oktaユーザーインターフェイスからのリクエスト数を、エンドポイントあたり10秒ごとに1ユーザー40リクエストに制限しています。このレート制限は、ユーザーを相互に保護し、またシステム内のほかのAPIリクエストからユーザーを保護します。
ユーザーがこの制限を超えることができる場合、レート制限が経過するまでロックアウトされ、メッセージがユーザーインターフェイスとSystem Logに書き込まれます。
例外のリクエスト
エンドポイントの調整はOktaのすべての顧客に対して一律に実施されますが、場合によっては、一時的なレート制限の引き上げを求める顧客のリクエストに対応するというシナリオもあります。一例として、非常に多くのユーザーとグループがOktaにインポートされる初期の展開のシナリオが挙げられます。このようなシナリオでは、顧客は一時的な例外の手配を求めることができます。
リクエストは、引き上げが必要な時間枠の10営業日前に受け取る必要があります。例外をリクエストするには、Oktaサポートでケースを開き、以下の詳細を提供してください。
- org名
- URL全体を指定してください
- 例:https://cloudcompany.okta.com、https://unicorn.oktapreview.com
- エンドポイントとレート
- 制限を引き上げる必要があるURI
- どのくらいの引き上げが必要か?
- 開始日時
- 終了日時
- 業務上の正当な理由
リクエストを推進する組織の要件の詳細を入力してください。
Oktaは、悪用、スパム、サービス拒否攻撃、またはその他のセキュリティ問題を防ぐために、ほかの機能をレート制限する権利を留保します。可能な場合、Oktaは説明的なエラーコードを提供します。