IP除外ゾーン
この機能を使用すると、Okta ThreatInsightの構成、ブロックされたネットワークゾーン、あるいはIdentity Threat Protection with Okta AI内のIP変更イベントに関わらず、特定のゲートウェイIPからのトラフィックを許可することができます。グローバルセッションポリシーと認証ポリシーは引き続き適用され、アクセスを妨げることがあります。
この機能を有効にすると、DefaultExemptIpZoneと呼ばれるゾーンが作成されます。このゾーンに追加したゲートウェイIPは、常にOktaリソースにアクセスできます。たとえば、一部のIPサービスカテゴリからのトラフィックをブロックするために、拡張された動的ネットワークゾーンをブロックリストとして構成したとします。しかし、ブロックされたIPサービスカテゴリに含まれる特定のIPからのトラフィックは許可する必要があります。この場合、許可したいIPをDefaultExemptIpZoneに追加することで、これらのIPアドレスからのトラフィックを許可できます。
ゲートウェイIPは、System Logイベントから直接、またはゾーンを編集することで、追加できます。信頼されたプロキシIPをこのゾーンへの追加、ゾーンの削除、除外IPゾーンの追加作成はできません。
Oktaがアクセスを許可するためには、IPチェーンでブロックリストにあるIPをすべてこのゾーンに含める必要があります。
IP除外ゾーンの評価
以下の表は、ブロックリスト登録されたIPをOktaがどのように除外リストに照らし合わせて評価し、アクセスを許可または拒否するかの例です。
| IPチェーン | ブロックリスト登録されたIP | DefaultExemptIpZoneのIP | 結果 |
|---|---|---|---|
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 空 | 空 | 許可 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 空 | 1.1.1.1 | 許可 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 1.1.1.1, 2.2.2.2 | 1.1.1.1, 2.2.2.2 | 許可 |
| 1.1.1.0, 1.1.1.1, 2.2.2.2, 3.3.3.3 | 1.1.1.1 | 1.1.1.1 | 許可 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 1.1.1.1 | 空 | ブロック |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 2.2.2.2 | 空 | ブロック |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 1.1.1.1, 2.2.2.2 | 1.1.1.1 | ブロック |