拡張動的ゾーン
拡張動的ゾーンを使用して、ゾーン内でブロックまたは許可されるIPサービスカテゴリ、ロケーション、およびAutonomous System番号(ASN)を定義します。IPサービスカテゴリには、プロキシ、VPN、アノニマイザーが含まれます。
拡張動的ゾーンはブロックリストとして構成できます。ブロックリストでは、ゾーンに追加されたすべてのIPサービスカテゴリタイプ、ロケーション、ASNが認証前にブロックされます。
認証前にトラフィックをブロックすると、ネットワークゾーンで特定されたIPまたはネットワークから攻撃が開始された場合に、攻撃者がOktaのサインインページおよび登録ページにアクセスできなくなります。
拡張動的ゾーンはポリシーで使用できるように構成することもできます。ポリシーでゾーンを使用すると、ユーザーがサインインするときに満たされる必要がある条件がゾーンによって定義されます。
orgには、すべての匿名化プロキシを含むデフォルトの拡張動的ゾーンがあります。このゾーンは削除または名前の変更ができません。また、このゾーンにロケーションやASNを追加することもできません。DefaultEnhancedDynamicZoneは、デフォルトでは非アクティブ状態になっています。すべての匿名化プロキシがブロックするには、このゾーンをアクティブ化します。
拡張動的ゾーンがブロックリストとして使用されている場合、System Logにsecurity.request.blockedイベントが表示されます。
この機能を無効にするときは、最初にポリシールールから拡張動的ゾーンを削除しておくことをお勧めします。
IPサービスカテゴリ
IPサービスカテゴリは、IPの使用方法に基づくIPの分類です。IPサービスカテゴリには、VPN、プロキシ、アノニマイザー、Torなどが含まれます。これらはリクエストの発信元を曖昧にするために使用されます。OktaがサポートするIPサービスカテゴリのリストについては、「サポートされるIPサービスカテゴリ」を参照してください。
ロケーション
ロケーションは、国または国と地域です。地域を含めない場合は、その国の全体が対象になります。拡張動的ゾーンでは、1つまたは複数のロケーションを含めるか、除外することができます。また、ロケーションを含めないこともできます。
ロケーションが定義されていない場合、すべてのロケーションがその動的ゾーン内に含まれていると見なされます。相互に含まれる2つのロケーション(米国とカリフォルニア州など)を単一の拡張動的ゾーンに含めることはできません。
大陸は地域の定義として使用されません。ヨーロッパ(EU)およびアジア/太平洋(AP)のコードは、特定の国コードを選択していない場合にのみ使用されます。ヨーロッパまたはアジア/太平洋のすべての国を含めるには、個別に国を選択します。ヨーロッパまたはアジア/太平洋を選択し、個別の国を指定しない場合、ジオロケーションプロバイダーによって、指定された国コードがない国からのリクエストのみが一致として返されます。単独で使用される場合、ヨーロッパとアジア/太平洋は、指定されていない地域の汎用的なコードとして処理されます。
System Logでは、各ロケーション(国または国と地域)が個別の行に表示されます。次の表は、有効なロケーションの例を示しています。
| ロケーション | System Logの内容 |
| Country(国) | 米国 |
| Country and Region(国と地域) |
米国カリフォルニア州 カナダケベック州 |
インドでは、地域コードと国コードのユニバーサルISO標準が変更されました。この更新により、新しいコードと、Oktaで表示されるコードの間に不一致が生じました。問題を回避するために、影響を受けた拡張動的ゾーンを編集してください。
Autonomous system番号
ASNは、インターネット上で各ネットワークを一意に識別するために使用します。インターネットサービスプロバイダー(ISP)は1つまたは複数のASNの割り当てをリクエストできます。ISP名は変更できますが、プロバイダーに割り当てられたASNはすでに使用されており、変更できません。1つのネットワークゾーンに対して、1つのASNまたは複数のASNを指定することも、1つも指定しないことも可能です。ASNを指定しない場合は、すべてのASNが拡張動的ゾーン内にあると見なされます。
ASNはIPアドレスのネットワーク全体を表すため、ASNを指定すると、複数のIPアドレスのリストを入力せずにオーバーヘッドを低減できます。オンラインのASN Lookupツールを使用して、特定のIPアドレスのASNを検索できます。ASN Lookupツールの例については、DNSCheckerを参照してください。
拡張動的ゾーンの評価
Oktaは、拡張動的ゾーンの構成がリクエストの発信元となっているIPのロケーション、IPサービスカテゴリ、ASNと一致するかどうかを検証します。
リクエストのIPチェーンに複数のIPアドレスが含まれる場合、Oktaはリクエスト元のクライアントIPの特定を試みます。
拡張動的ゾーンの評価例
| IPチェーン | orgに対して定義されたすべてのプロキシー | リクエスト元のクライアントIP |
| 1.1.1.1 | 空 | 1.1.1.1 |
| 1.1.1.1 | 1.1.1.1 | 1.1.1.1 |
| 1.1.1.1 | 2.2.2.2 | 1.1.1.1 |
| 1.1.1.1, 2.2.2.2 | 空 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2 | 2.2.2.2 | 1.1.1.1 |
| 1.1.1.1, 2.2.2.2 | 3.3.3.3 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2 | 1.1.1.1 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 3.3.3.3, 2.2.2.2 | 1.1.1.1 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 3.3.3.3 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3, 4.4.4.4 | 4.4.4.4 | 3.3.3.3 |
発信元クライアントIPの評価
リクエストの発信元となるクライアントIPを特定するために、リクエストのIPチェーンが評価され、そのorgのすべてのIPゾーンで定義されているすべてのプロキシIPと比較されます。
- IPチェーンの右側にあるIPアドレスがプロキシとして定義されていない場合、このアドレスはクライアントIPとしてマークされます。
- IPチェーンの右側にあるIPアドレスがプロキシIPである場合、その左横にあるIPアドレスの評価は、プロキシではないIPが検出されるまで行われます。このIPはクライアントIPとしてマークされます。
- クライアントIPが特定されると、そのIPのジオロケーション、IPサービスカテゴリ、ASNが解決され、そのゾーン向けに構成されたジオロケーション、IPサービスカテゴリ、ASNと比較されます。値が一致すると、そのゾーン内からリクエストが送信されます。