APIレート制限
APIエンドポイントの調整制限は、(本番およびプレビューテナントの)Oktaサービスを、(意図しない、またはサービス拒否攻撃として)送信されたリクエストによるロードスパイクまたはサービスの中断から保護します。この戦略は、顧客に対して一貫したサービスレベルを維持するために、多くのSaaSアプリケーションおよびプラットフォームで業界全体に採用されています。レート制限に達したリクエストは、429 Too Many Requests HTTPステータスコードを返します。
公開アプリケーションは、不正使用を防ぐため積極的にレート制限されており、ユーザーに関するメタデータをリリースする前にプライマリ認証が正常に完了している必要があります。詳細については、「Okta認証API」を参照してください。各APIレスポンスの制限を報告するヘッダーの操作を含む、デフォルトのOkta APIレート制限の詳細については、「レート制限」を参照してください。
エンドポイント別のその他のデフォルトレート制限を次の表に示します。エンドポイントがこのリストにないときは、 Admin Consoleので確認できます。「APIテーブル」を参照してください。Oktaは、サービスを維持するプロセスで予告なく制限を増減する場合があります。
|
レート制限されるURI |
1分あたりのリクエスト数 |
|---|---|
|
/app/{アプリ}/{キー}/sso/saml |
750 |
|
/app/office365/{key}/sso/wsfed/active |
2,000 |
|
/app/office365/{key}/sso/wsfed/passive |
250 |
|
/app/template_saml_2_0/{key}/sso/saml |
2,500 |
|
/login/do-login |
200 |
|
/login/login.htm |
850 |
|
/login/sso_iwa_auth |
500 |
| /login/agentlessDSSO | 1000 |
| /api/plugin/{プロトコルのバージョン}/form-cred/{アプリのユーザーID}/{フォームサイトオプション} | 650 |
| /api/plugin/{プロトコルのバージョン}/sites | 150 |
| /bc/fileStoreRecord | 500 |
| /bc/globalFileStoreRecord | 500 |
同時レート制限
すべての顧客のサービスを保護するために、Oktaでは同時レート制限を適用しています。この制限は、org全体の1分あたりのAPIレート制限とは異なります。
同時レート制限の場合、トラフィックはエージェントトラフィック、Microsoft Office 365トラフィック、APIリクエストを含むその他すべてのトラフィックの3つの異なる領域で測定されます。1つの領域の測定値は、その他2つの領域の測定値には含まれません。
- エージェントのトラフィックについては、Oktaは各orgのトラフィックを測定し、過去4週間で最も高い使用率より高く制限を設定しました。
- Microsoft Office 365トラフィックの場合、orgあたりの同時トランザクション数の制限は75です。
- APIリクエストを含むほかのすべてのトラフィックの場合、orgあたりの同時トランザクション数は75に制限されます。
同時制限を超える最初のリクエストではHTTP 429エラーが返され、60秒ごとの最初のエラーがログに書き込まれます。同時レート制限を1分に1回レポートすることで、ログのボリュームを管理しやすいレベルに抑えることができます。
デフォルトのレート制限
APIエンドポイントの調整制限は、(本番およびプレビューテナントの)Oktaサービスを、意図しない、またはサービス拒否攻撃として送信されたリクエストによる負荷の急増またはサービスの中断から保護するために作成されました。この戦略は、顧客に対して一貫したサービスレベルを維持するために、多くのSaaSアプリケーションおよびプラットフォームで業界全体に採用されています。レート制限に達したリクエストは、429 Too Many Requests HTTPステータスコードを返します。
公開アプリケーションは、不正使用を防ぐため積極的にレート制限されており、ユーザーに関するメタデータをリリースする前にプライマリ認証が正常に完了している必要があります。
エンドユーザーのレート制限
Oktaでは、Oktaユーザーインターフェイスからのリクエスト数を、エンドポイントあたり10秒ごとに1ユーザー40リクエストに制限しています。このレート制限は、ユーザーを相互に保護し、またシステム内のその他のAPIリクエストからユーザーを保護します。
ユーザーがこの制限を超えることができる場合、レート制限が経過するまでロックアウトされ、メッセージがユーザーインターフェイスとSystem Logに書き込まれます。
トークン別のAPIレート制限
Admin Consoleで作成されるOkta APIトークン()は、デフォルトではAPIエンドポイントのレート制限の50パーセントに構成されます。この構成により、複数のAPIトークンが存在するorgで1つのAPIトークンがエンドポイントのレート制限を超過する違反を避けることができます。APIトークンのデフォルトの容量値は、 Admin Consoleで変更できます。「トークンのレート制限を設定する」を参照してください。
各APIのレート制限をAPI全体で下げることで、あるAPIトークンがエンドポイントのレートを消費しつくすことを防止できます。また、レート制限違反の調査に役立ち、将来の違反を防止できます。
バーストレート制限
バーストレート制限は、エンドポイントの制限を上回る追加のリクエストをorgに提供します。このバースト制限は、計画外のトラフィックに基づくエンドユーザーの一時停止を防止します。「バーストレート制限」を参照してください。
例外のリクエスト
エンドポイントの調整はOktaのすべての顧客に対して一律に実施されますが、場合によっては、一時的なレート制限の引き上げを求める顧客のリクエストに対応するというシナリオもあります。一例として、多数のユーザーとグループがOktaにインポートされる初期の展開のシナリオが挙げられます。このようなシナリオでは、顧客は一時的な例外の手配を求めることができます。
リクエストは、引き上げが必要な時間枠の10営業日前に受け取る必要があります。例外をリクエストするには、Oktaサポートでケースを開き、以下の詳細を提供してください。
- org名
- URL全体を指定してください
- 例:https://cloudcompany.okta.com、https://unicorn.oktapreview.com
- エンドポイントとレート
- 制限を引き上げる必要があるURI
- どのくらいの引き上げが必要か?
- 開始日時
- 終了日時
- 業務上の正当な理由
リクエストのきっかけとなった組織の要件の詳細を入力します。
Oktaは、悪用、スパム、サービス拒否攻撃、またはその他のセキュリティ問題を防ぐために、その他の機能をレート制限する権利を留保します。可能な場合、Oktaは説明的なエラーコードを提供します。