IPゾーンについて

管理者は、IPゾーンを使用して、一連のIPの周りにネットワーク境界を定義できます。ゲートウェイサーバーと信頼できるプロキシーサーバーの両方のIPアドレスをIPゾーンに追加できます。

以下を使用して、IPアドレスをIPゾーンに追加できます。

  • 個々のIPアドレス
  • IP範囲
  • クラスレスインタードメインルーティング(CIDR)表記

信頼できるプロキシーはリクエストのクライアントIPアドレスを特定するために使用され、Okta ThreatInsightによってブロックされることはありません。信頼できないプロキシーをIPゾーンに追加する場合は、ゲートウェイとして追加してください。

IPゾーンの評価

リクエストがIPゾーン内外のどちらから発信されたのかを特定する際には、IPチェーンを確認します。IPチェーンは、発信元のリクエストとOkta間のあらゆるネットワークホップのIPを指します。下の表で、IPチェーン内の1つまたは複数のIPのIPチェーン処理について説明します。

IPチェーンのタイプ 説明
IPを1つ含むIPチェーン

IPがゾーンの定義済みゲートウェイのいずれかに含まれる場合、リクエストはそのゾーン内と見なされます。

IPを複数含むIPチェーン

チェーンの最後のIP(Oktaに直接接続しているIP)がそのIPゾーンの定義済みゲートウェイまたはプロキシー内にある場合。

  • 定義済みのゲートウェイの場合、リクエストはそのゾーン内から発信されています。
  • IPが定義済みのプロキシーの場合、チェーン内の以前のIP(そのプロキシーに直接接続されているIP)に対して処理が繰り返されます。

Oktaがトラフィックを信頼できるゾーンからのものと見なすには、ゲートウェイIPとプロキシIPの両方が同じゾーンにある必要があります。これら2つのIPアドレスが異なるゾーンにある場合、要求は信頼されたゾーンからのものとは見なされません。

IPチェーンの処理は次の状態になるまで繰り返されます。

  • 一致する1つのゲートウェイIPが見つかる(この場合、リクエストの発信元はネットワークゾーン内)。
  • チェーン内で5つのIPを確認する(この場合、リクエストはIPゾーン内から発信されていません)。

IPゾーンの例

IPチェーン ゲートウェイ プロキシ リクエストはゾーン内から発信されたか?
1.1.1.1 1.1.1.1 はい
1.1.1.1 1.1.1.1 2.2.2.2 はい
1.1.1.1 いいえ
1.1.1.1 1.1.1.1 いいえ
1.1.1.1, 2.2.2.2 2.2.2.2 はい
1.1.1.1, 2.2.2.2 2.2.2.2 3.3.3.3 はい
1.1.1.1, 2.2.2.2 1.1.1.1 2.2.2.2 はい
1.1.1.1, 2.2.2.2 いいえ
1.1.1.1, 2.2.2.2 1.1.1.1 いいえ
1.1.1.1, 2.2.2.2 2.2.2.2 いいえ
1.1.1.1, 2.2.2.2 2.2.2.2 1.1.1.1 はい

関連項目

IPアドレスゾーンの作成

動的ゾーンについて