RADIUSネットワークゾーン

必要な場合、RADIUS対応システムにアクセスするユーザーのIPアドレス、ネットワークゾーン、またはジオロケーションに応じて、異なるレベルのアクセスを適用、制限、または提供するようにOktaを構成できます。

RADIUSで使用するネットワークゾーンを構成するときは、次の点を考慮してください。

  • クライアントIPを報告属性 - 多くの場合、VPN要件です。通常、Calling-Station-Idに設定されます。詳細については、「クライアントIPレポート」を参照してください。
  • ネットワークゾーン - ネットワークゾーンは、アクセスベースのIPアドレス、IPアドレスの範囲、ジオロケーションなどを管理者が制限または限定できるセキュリティ境界を定義します。
    詳細については、「ネットワークゾーン」および「RADIUSサービスアドレスフィルタリング」を参照してください。IPゾーンと動的ゾーンの両方が含まれます。
  • IPゾーン - 通常、クライアントIPを報告属性が構成されている場合に、VPN/WiFiクライアントIPアドレスを正しく処理するために必要です。詳細については、「IPゾーン」および「クライアントIPレポート」を参照してください。
  • ジオロケーションまたは動的ゾーン - 動的ゾーンを使用すると、管理者は場所、IPタイプ、Autonomous system番号(ASN)に基づいてネットワーク境界を定義できるようになります。
    詳細については、「動的ゾーン」を参照してください。
  • ロケーションベースのブロックリスト - ロケーションベースのブロックリストでは、IPゾーンや動的ゾーンなどのネットワークゾーンをブロックすることにより、RADIUSクライアントのアクセスを拒否できます。IPゾーンにはIPアドレスのリストが含まれ、動的ゾーンにはロケーション、ASN、IPタイプのリストが含まれます。多くの場合、ジオロケーションベースのorg全体のブロックリストで使用されます。
    詳細については、「ブロックリストネットワークゾーン」を参照してください。
  • RADIUSエージェントの外部パブリックIPアドレス(Okta側から見た場合)- RADIUSエージェントの外部パブリックIPアドレスは、信頼できるプロキシーとして構成する必要があります。構成しなかった場合、OktaはRADIUSエージェントのIPアドレスをエンドユーザーのIPアドレスとして扱い、予期しない動作を引き起こします。
注

これらの機能が必要であるものの、orgで利用できない場合は、Oktaにお問い合わせください。