RADIUSネットワーク・ゾーン

必要な場合、RADIUS対応システムにアクセスするユーザーのIPアドレス、ネットワーク・ゾーン、またはジオロケーションに応じて、異なるレベルのアクセスを適用、制限、または提供するようにOktaを構成できます。

RADIUSで使用するネットワーク・ゾーンを構成するときは、次の点を考慮してください。

  • クライアントIPを報告属性 - 多くの場合、VPN要件です。通常、Calling-Station-Idに設定されます。詳細については、「クライアントIPレポート」を参照してください。
  • ネットワーク・ゾーン - ネットワーク・ゾーンは、アクセス・ベースのIPアドレス、IPアドレスの範囲、ジオロケーションなどを管理者が制限または限定できるセキュリティー境界を定義します。
    詳細については、ネットワーク・ゾーンについておよびRADIUSサービス・アドレス・フィルタリング を参照してください。 IPゾーンと動的ゾーンの両方が含まれます。
  • IPゾーン - 通常、クライアントIPを報告属性が構成されている場合に、VPN/WiFiクライアントIPアドレスを正しく処理するために必要です。詳細については、IPゾーンについておよびクライアントIPレポートを参照してください。
  • ジオロケーションまたは動的ゾーン - 動的ゾーンを使用すると、管理者は場所、IPタイプ、自律システム番号(ASN)に基づいてネットワーク境界を定義できるようになります。
    詳細については、動的ゾーンについてを参照してください。
  • ロケーション・ベースのブロック・リスト - ロケーション・ベースのブロック・リストでは、IPゾーンや動的ゾーンなどのネットワーク・ゾーンをブロックすることにより、RADIUSクライアントのアクセスを拒否できます。IPゾーンにはIPアドレスのリストが含まれ、動的ゾーンにはロケーション、ASN、IPタイプのリストが含まれます。多くの場合、ジオロケーション・ベースの組織全体のブロック・リストで使用されます。
    詳細については、ネットワーク・ゾーンのブロックリスト を参照してください。
  • RADIUSエージェントの外部パブリックIPアドレス(Okta側から見た場合)- RADIUSエージェントの外部パブリックIPアドレスは、信頼できるプロキシーとして構成する必要があります。 構成しなかった場合、OktaはRADIUSエージェントのIPアドレスをエンド・ユーザーのIPアドレスとして扱い、予期しない動作を引き起こします。
注

これらの機能が必要であるものの、組織で利用できない場合は、Oktaにお問い合わせください。