IPゾーン
管理者は、IPゾーンを使用して、一連のIPアドレスの周りにネットワーク境界を定義することができます。ゲートウェイサーバーと信頼できるプロキシサーバーの両方のIPアドレスを含めることができ、個別のIPアドレス、IP範囲、またはクラスレスドメイン間ルーティング(CIDR)表記を使用して追加することができます。
信頼できるプロキシ
信頼できるプロキシはリクエストのクライアントIPアドレスを特定するために使用されます。Okta ThreatInsightによってブロックされることはありません。ユーザーがセッション中にIPアドレスを変更し、変更後のIPアドレスが信頼できるプロキシ内にある場合、システムログにはuser.session.context.changeイベントは記録されません。「Identity Threat Protectionのシステムログイベントを表示する」を参照してください。
信頼できないプロキシをIPゾーンに追加する場合は、ゲートウェイとして追加してください。
IPゾーンの評価
リクエストがIPゾーン内外のどちらから発信されたのかを特定する際には、IPチェーンを確認します。IPチェーンは、発信元のリクエストとOkta間のあらゆるネットワークホップのIPを指します。下の表で、IPチェーン内の1つまたは複数のIPのIPチェーン処理について説明します。
IPチェーンのタイプ | 説明 |
IPを1つ含むIPチェーン |
IPがゾーンの定義済みゲートウェイのいずれかに含まれる場合、リクエストはそのゾーン内と見なされます。 |
IPを複数含むIPチェーン |
チェーンの最後のIP(Oktaに直接接続しているIP)がそのIPゾーンの定義済みゲートウェイまたはプロキシ内にある場合。
|
Oktaがトラフィックを信頼できるゾーンからのものと見なすには、ゲートウェイIPとプロキシIPの両方が同じゾーンにある必要があります。これら2つのIPアドレスが異なるゾーンにある場合、リクエストは信頼されたゾーンからのものとは見なされません。
IPチェーンの処理は次の状態になるまで繰り返されます。
- 一致する1つのゲートウェイIPが見つかる(この場合、リクエストの発信元はネットワークゾーン内)。
- チェーン内で5つのIPを確認する(この場合、リクエストはIPゾーン内から発信されていません)。
IPゾーンの例
IPチェーン | ゲートウェイ | プロキシ | リクエストはゾーン内から発信されたか? |
1.1.1.1 | 1.1.1.1 | 空 | はい |
1.1.1.1 | 1.1.1.1 | 2.2.2.2 | はい |
1.1.1.1 | 空 | 空 | いいえ |
1.1.1.1 | 空 | 1.1.1.1 | いいえ |
1.1.1.1, 2.2.2.2 | 2.2.2.2 | 空 | はい |
1.1.1.1, 2.2.2.2 | 2.2.2.2 | 3.3.3.3 | はい |
1.1.1.1, 2.2.2.2 | 1.1.1.1 | 2.2.2.2 | はい |
1.1.1.1, 2.2.2.2 | 空 | 空 | いいえ |
1.1.1.1, 2.2.2.2 | 空 | 1.1.1.1 | いいえ |
1.1.1.1, 2.2.2.2 | 空 | 2.2.2.2 | いいえ |
1.1.1.1, 2.2.2.2 | 2.2.2.2 | 1.1.1.1 | はい |