IPゾーン

管理者は、IPゾーンを使用して、一連のIPアドレスの周りにネットワーク境界を定義することができます。ゲートウェイサーバーと信頼できるプロキシサーバーの両方のIPアドレスを含めることができ、個別のIPアドレス、IP範囲、またはクラスレスドメイン間ルーティング(CIDR)表記を使用して追加することができます。

信頼できるプロキシ

信頼できるプロキシはリクエストのクライアントIPアドレスを特定するために使用されます。Okta ThreatInsightによってブロックされることはありません。ユーザーがセッション中にIPアドレスを変更し、変更後のIPアドレスが信頼できるプロキシ内にある場合、システムログにはuser.session.context.changeイベントは記録されません。「Identity Threat Protectionのシステムログイベントを表示する」を参照してください。

信頼できないプロキシをIPゾーンに追加する場合は、ゲートウェイとして追加してください。

IPゾーンの評価

リクエストがIPゾーン内外のどちらから発信されたのかを特定する際には、IPチェーンを確認します。IPチェーンは、発信元のリクエストとOkta間のあらゆるネットワークホップのIPを指します。下の表で、IPチェーン内の1つまたは複数のIPのIPチェーン処理について説明します。

IPチェーンのタイプ 説明
IPを1つ含むIPチェーン

IPがゾーンの定義済みゲートウェイのいずれかに含まれる場合、リクエストはそのゾーン内と見なされます。

IPを複数含むIPチェーン

チェーンの最後のIP(Oktaに直接接続しているIP)がそのIPゾーンの定義済みゲートウェイまたはプロキシ内にある場合。

  • 定義済みのゲートウェイの場合、リクエストはそのゾーン内から発信されています。
  • IPが定義済みのプロキシの場合、チェーン内の以前のIP(そのプロキシに直接接続されているIP)に対して処理が繰り返されます。

Oktaがトラフィックを信頼できるゾーンからのものと見なすには、ゲートウェイIPとプロキシIPの両方が同じゾーンにある必要があります。これら2つのIPアドレスが異なるゾーンにある場合、リクエストは信頼されたゾーンからのものとは見なされません。

IPチェーンの処理は次の状態になるまで繰り返されます。

  • 一致する1つのゲートウェイIPが見つかる(この場合、リクエストの発信元はネットワークゾーン内)。
  • チェーン内で5つのIPを確認する(この場合、リクエストはIPゾーン内から発信されていません)。

IPゾーンの例

IPチェーン ゲートウェイ プロキシ リクエストはゾーン内から発信されたか?
1.1.1.1 1.1.1.1 はい
1.1.1.1 1.1.1.1 2.2.2.2 はい
1.1.1.1 いいえ
1.1.1.1 1.1.1.1 いいえ
1.1.1.1, 2.2.2.2 2.2.2.2 はい
1.1.1.1, 2.2.2.2 2.2.2.2 3.3.3.3 はい
1.1.1.1, 2.2.2.2 1.1.1.1 2.2.2.2 はい
1.1.1.1, 2.2.2.2 いいえ
1.1.1.1, 2.2.2.2 1.1.1.1 いいえ
1.1.1.1, 2.2.2.2 2.2.2.2 いいえ
1.1.1.1, 2.2.2.2 2.2.2.2 1.1.1.1 はい

関連項目

IPアドレスのゾーンを作成する

動的ゾーン

システムログの誤検出をブロック解除する