Okta IPアドレスへのアクセスを許可する
IP許可リストは、リストに追加されたIPアドレスとURLへのアクセスを許可するようネットワークサーバーに指示します。Oktaが適切に実行するようにするには、IP許可リストに特定のURLを追加する必要があります。
- サーバーポリシーで、任意のIPアドレスやURLを宛先とするすべてのアウトバウンドHTTPおよびHTTPS通信が許可されている場合、何も変更する必要はありません。
- サーバーポリシーで、外部IPアドレスやURLへのアクセスのほとんど、またはすべてが拒否されている場合は、許可リストを構成してください。
ドメイン、ポート、トラブルシューティングの情報については、実装の詳細を参照してください。
OktaのIPアドレス
すべてのOktaエージェントとエンドユーザーがOktaと正常に接続できるように、このAWS管理のリストに基づきOktaシステムのIPアドレスを許可リストに登録します。
このリストには、すべての既存のIPアドレスと、将来の更新用に予約されている新しいIPアドレスが含まれています。
OktaはこれらのIPアドレスを次のセルにグループ化します。
- PAM EMEA:
emea_pam_cell_1 - PAM US:
us_pam_cell_1 - プレビューEMEA:
preview_cell_2 - プレビューPAM:
preview_pam_cell_1 - プレビューUS:
preview_cell_1 - preview_cell_3 - 本番環境オーストラリア:
apac_cell_1 - 本番環境カナダ:
ca_cell_1 - 本番環境ドイツ:
emea_cell_1 - 本番環境HIPAA:
us_cell_5、us_cell_10 - 本番環境インド:
in_cell_1 - 本番環境アイルランド:
emea_cell_2 - 本番環境日本:
apac_cell_2 - 本番環境US:
us_cell_1 - us_cell_7、us_cell_10 - us_cell_12, us_cell_14, us_cell_17
このファイルは、使い慣れたオンラインJSONビューアーで表示してください。IP許可リストを管理する必要のあるスーパー管理者も、OktaのIP範囲許可リストを取得できます。
Oktaが内部ネットワークにあるインストール済みエージェントと正常に通信するには、Oktaの許可リストに含まれたIPアドレスを受信ファイアウォールルールに追加する必要が生じる場合があります。
実装の詳細
orgの許可リストを構成および実装する方法について説明します。
| ポート | Oktaサービスは、すべての通信でOktaを使用します。ポリシーでポート番号が必要な場合、特に記載のない限り、このドキュメントで提供されているIPアドレスに対してポート443を許可リストに含める必要があります。 |
| 必須のOktaドメイン | 許可するドメインのリストに以下のドメインを追加します。
|
| コンテンツ配信ネットワーク(CDN) | Oktaの静的UIアセット(JavaScript、CSS、画像)を国際的なCDNを介してブラウザーに配信することで、米国外の顧客が高速でダウンロードできるようにします。 ほとんどのファイアウォールシステムまたはプロキシシステムで、OktaはOktaサービスのDNSアドレスの許可リストを指定して、アウトバウンド通信が確立されるようにすることを推奨します。以下のドメインをDNSの許可リストに追加してください。
|
| 証明書の取り消しに関するトラブルシューティング | 証明書を取り消そうとすると、さまざまな問題が発生する可能性があります。たとえば、クライアントが取り消しサーバーに到達できない場合は、クライアントのSSL/TLSエンドポイントへの接続が失敗することがあります。証明書の取り消しで問題が発生した場合は、ポート80で以下のドメイン名が許可リストに含まれているか確認してください。
|