Okta IPアドレス許可リスト

Note

Oktaは、包括的な言語とコミュニケーションの採用に重点を置いています。このイニシアチブの一環として、長年使用されてきた業界用語および表現がいくつか変更されました。


IP許可リスト(以前はホワイトリスト)は、通常であればネットワークサーバーポリシーでブロックされる特定のIPアドレスやプログラムに、アクセス権限を提供するために使用されます。

  • サーバーポリシーで、任意のIPアドレス、ウェブサイトを宛先とするすべての外向きhttp/https通信が許可されている場合、何も変更を行う必要はありません。
  • サーバーポリシーで、外部IPアドレス、ウェブサイトへのアクセスのほとんど、またはすべてが拒否されている場合、許可リストを構成して一部の機能を有効にする必要があります。

ドメイン、ポート、トラブルシューティングの情報については、実装の詳細をご覧ください。

Okta IPアドレス

すべてのOktaエージェントとエンドユーザーがOktaと正常に接続できるように、このAWS管理のリストに基づきOktaシステムのIPアドレスを許可リストに登録します:

Okta IP 範囲許可リスト

このリストのIP アドレスは、以下でグループ化されます:

  • Production (us_cell_1 - us_cell_7, us_cell_10 - us_cell_12, us_cell 14)
  • Production EMEA (emea_cell_1)
  • Production EMEA (emea_cell_2)
  • Production HIPAA (us_cell_5)
  • Production APAC (apac_cell_1)
  • Preview (preview_cell_1 - preview_cell_3)
  • Preview EMEA (preview_cell_2)

このファイルは、使い慣れたオンラインJSON ビューアーで表示することを推奨します。Okta IP 範囲許可リストは、IP 許可リストを管理する必要のあるスーパー管理者も取得できます。

CDNで許可リストに登録できるIP アドレス範囲については、Amazon Web Servicesをご覧ください。

注

Oktaが内部ネットワーク上にあるインストール済みエージェントと正常に通信できるようにするために、Oktaの許可リストにあるIP アドレスをインバウンドファイアウォールルールに追加する必要がある場合があります。


導入

組織で許可リストを構成、導入する際、以下の情報が役に立ちます。

ポート

Oktaサービスは、すべての通信でSSL/TLSを使用します。ポリシーでポート番号が必須な場合は、特に明記されている場合を除き、このドキュメントで提供されるIPアドレスでポート443を許可リストに登録する必要があります。

必須のOktaドメイン

許可リストにドメインを登録する場合は、以下のドメインを登録します:

*.okta.com
*.mtls.okta.com
*.oktapreview.com
*.mtls.oktapreview.com
*.oktacdn.com
*.okta-emea.com
*.mtls.okta-emea.com
*.kerberos.okta.com
*.kerberos.okta-emea.com
*.kerberos.oktapreview.com

コンテンツデリバリーネットワーク(CDN)

Oktaの静的UIアセット(JavaScript、CSS、画像)を国際的なCDNを介してブラウザに配信することで、米国外の顧客が高速でアセットをダウンロードできるようにできます。

ほとんどのファイアウォールシステム、プロキシシステムで、OktaサービスのDNSアドレスの許可リストを指定して、アウトバウンド通信が確立されるようにすることを推奨します。コンテンツデリバリーネットワーク(CDN)の現在のIP範囲の一覧については、Amazon Web Servicesをご覧ください。

証明書の取り消しに関するトラブルシューティング

証明書を取り消そうとする際、さまざまな問題が発生する可能性があります。たとえば、クライアントが取り消しサーバーに到達できない場合、クライアントのSSL/TLSエンドポイントへの接続が失敗することがあります。 証明書の取り消しに関して問題が発生した場合は、ポート80で次のドメインが許可されていることを確認します:

ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com

サードパーティのサービス

Okta Mobileの場合、これらのサービスへのアウトバウンド接続のために、次のサードパーティドメインを許可リストに登録する必要がある場合があります:

*.mapbox.com