拡張動的ゾーン

拡張動的ゾーンによって、ゾーン内でブロックまたは許可されるIPサービスカテゴリ、ロケーション、およびAutonomous System番号（ASN）が定義されます。IPサービスカテゴリには、プロキシ、VPN、アノニマイザーが含まれます。

拡張動的ゾーンは、次のユースケースに役立ちます。

拡張動的ゾーンをブロックリストとして構成します。ブロックリストでは、すべてのIPサービスカテゴリタイプ、ロケーション、ASNが認証前にブロックされます。認証前にトラフィックをブロックすると、攻撃者がOktaのサインインページおよび登録ページにアクセスできなくなります。
拡張動的ゾーンをポリシーで使用できるように構成します。ポリシーで使用すると、ユーザーがサインインするときに満たされる必要がある条件が拡張動的ゾーンによって定義されます。

Oktaでは、すべての匿名プロキシを含む［DefaultEnhancedDynamicZone］を用意しています。これはデフォルトでは非アクティブであるため、これらのプロキシのブロックを開始するにはアクティブ化する必要があります。ロケーションまたはこのゾーンは削除、名前の変更、追加ができません。

拡張動的ゾーンがブロックリストとして使用されている場合、システムログにsecurity.request.blockedイベントが表示されます。ブロックされるべきではないIPゾーンまたはIPサービスカテゴリーにイベントが表示されている場合には、「システムログの誤検出をブロック解除する」を参照してください。

IPサービスカテゴリ

IPサービスカテゴリは、IPの使用方法に基づく分類です。IPサービスカテゴリはリクエストの発信元を曖昧にし、VPN、プロキシ、アノニマイザー、Torを含めることができます。リスト全体は「サポートされるIPサービスカテゴリ」を参照してください。

ロケーション

ロケーションを使用すると、国（米国など）や国の特定の地域（米国カリフォルニア州など）からのIPアドレスを含める、または除外することができます。System Logでは、各ロケーション（国または国と地域）が個別の行に表示されます。

地域を含めない場合は、国全体が拡張動的ゾーン内にあると見なされます。
相互に含まれる2つのロケーション（米国と米国カリフォルニア州など）を単一の拡張動的ゾーンに含めることはできません。
ロケーションが定義されていない場合、すべてのロケーションが拡張動的ゾーン内にあると見なされます。

ロケーションに関する追加の考慮事項を確認してください。

大陸は地域の定義として使用されません。
ヨーロッパ（EU）またはアジア/太平洋（AP）のすべての国を含めるには、個別に国を選択する必要があります。
EUまたはAPを選択し、個別の国を指定しない場合、地理位置情報プロバイダーによって、指定された国コードがない国からのリクエストのみが一致として返されます。単独で使用される場合、EUとAPは、指定されていない地域の汎用的なコードとして処理されます。
インドでは、地域コードと国コードのユニバーサルISO標準が変更されました。この更新により、新しいコードと、Oktaで表示されるコードの間に不一致が生じました。問題を回避するために、影響を受けた拡張動的ゾーンを編集してください。

ロケーションは、地理位置情報プロバイダーとしてMaxMindを使用し、リクエストのIPアドレスに基づいて決定されます。位置精度の問題、または国コードと地域コードの使用方法に関する情報については、MaxMindおよびGeoIP Legacy Codesを参照してください。

Autonomous System番号

ASNは、インターネット上で各ネットワークを一意に識別するために使用します。インターネットサービスプロバイダー（ISP）は1つまたは複数のASNの割り当てをリクエストできます。ISP名は変更できますが、プロバイダーに割り当てられたASNはすでに使用されており、変更できません。

拡張動的ゾーンには1つ以上のASNを含めることができます。ASNはIPアドレスのネットワーク全体を表すため、ASNを指定すると、複数のIPアドレスのリストを入力しないため効率的です。最低1つでも定義されていない場合、すべてのASNが拡張動的ゾーン内にあると見なされます。

オンラインのASN Lookupツールは、特定のIPアドレスのASNを検索する際に役立ちます（例：DNS Checker）。