IPゾーン
IPゾーンによって、一連のIPアドレスの周りにネットワーク境界が定義されます。IPゾーンにはゲートウェイと信頼できるプロキシが含まれます。
-
ゲートウェイは、アクセスするためにリクエストが通過する必要があるIPアドレスです。ゲートウェイをIPゾーンに追加した場合、ゾーン内と見なされるにはリクエストのIPアドレスがゲートウェイと一致する必要があります。ゾーンと完全に一致するIPアドレスを必須にする場合は、ゲートウェイを使用します。
-
信頼できるプロキシは、要求側クライアントのIPアドレスに関する情報を提供する中間サーバーです。Okta ThreatInsightによって、信頼できるプロキシがブロックされることはありません。信頼できるプロキシのIPアドレスにユーザーが移動しても、System Logにはuser.session.context.changeイベントは記録されません。信頼するプロキシを指定するのはユーザーの責任であることにご注意ください。プロキシを信頼しない場合は、プロキシをゲートウェイとしてゾーンに追加します。
デフォルトIPゾーン
個別のIPアドレス、IP範囲、またはクラスレスインタードメインルーティング(CIDR)表記を使用して、独自のIPゾーンを作成することができます。Oktaでは、特定のユースケースをサポートするために3つのデフォルトIPゾーンも提供しています。
-
[BlockedIpZone]は、指定するIPアドレスまたはIPアドレス範囲からのすべてのトラフィックをブロックします。
-
[LegacyIpZone]は、主に統合Windows認証(IWA)エージェントを使用する認証用に予約されています。このゾーンは、IdPルーティングルールにも使用できます。「IWAのネットワークゾーンを作成する」および「ルーティングルールでゾーンを使用する」を参照してください。
-
Okta ThreatInsight構成、ブロックされるネットワークゾーン、またはIdentity Threat Protection with Okta AI内のIP変更イベントに関係なく、[DefaultExemptIpZone]は特定のゲートウェイIPからのトラフィックを許可します。「IP除外ゾーン」を参照してください。
IPゾーンの評価
リクエストがIPゾーン内外のどちらから発信されたのかを特定するために、OktaではIPチェーンを使用します。IPチェーンには、発信元のリクエストとOkta間のあらゆるネットワークホップのIPアドレスが含まれます。
-
IPチェーンに定義済みのゲートウェイに一致する単一のIPが含まれる場合、リクエストはゾーン内にあります。
-
IPチェーンに複数のIPがあるが、Oktaより前の最後のIPが定義済みのゲートウェイと一致する場合、リクエストはゾーン内にあります。
-
IPチェーンに複数のIPがあり、最後の1つが定義済みのプロキシの場合、システムは一致するゲートウェイIPが見つかるまでチェーンを逆順に確認します。その後、リクエストはゾーン内にあると見なされます。5つのIPを確認し、一致するゲートウェイが見つからない場合、リクエストはゾーン外と見なされます。
次の表は、IPチェーンの評価を示しています。
| IPチェーン | Gateway(ゲートウェイ) | プロキシ | リクエストの評価 |
| 1.1.1.1 | 1.1.1.1 | 空 | ゾーン内 |
| 1.1.1.1 | 1.1.1.1 | 2.2.2.2 | ゾーン内 |
| 1.1.1.1 | 空 | 空 | ゾーン外 |
| 1.1.1.1 | 空 | 1.1.1.1 | ゾーン外 |
| 1.1.1.1, 2.2.2.2 | 2.2.2.2 | 空 | ゾーン内 |
| 1.1.1.1, 2.2.2.2 | 2.2.2.2 | 3.3.3.3 | ゾーン内 |
| 1.1.1.1, 2.2.2.2 | 1.1.1.1 | 2.2.2.2 | ゾーン内 |
| 1.1.1.1, 2.2.2.2 | 空 | 空 | ゾーン外 |
| 1.1.1.1, 2.2.2.2 | 空 | 1.1.1.1 | ゾーン外 |
| 1.1.1.1, 2.2.2.2 | 空 | 2.2.2.2 | ゾーン外 |
| 1.1.1.1, 2.2.2.2 | 2.2.2.2 | 1.1.1.1 | ゾーン内 |
ゲートウェイIPとプロキシIPが同じゾーンにある場合のみ、トラフィックは信頼できるゾーンからのものと見なされます。