動的ゾーン
動的ゾーンを使用して、ロケーション、IPアドレスのタイプ、Autonomous system番号(ASN)に基づいてネットワーク境界を定義します。
ロケーション
ロケーションは、国または国と地域です。地域を含めない場合は、その国の全体が対象になります。動的ゾーンでは、1つまたは複数のロケーションを指定することも、ロケーションを指定しないこともできます。
ロケーションが定義されていない場合、すべてのロケーションがその動的ゾーン内に含まれていると見なされます。相互に含まれる2つのロケーション(米国とカリフォルニア州など)を単一の動的ゾーンに含めることはできません。
大陸は地域の定義として使用されません。ヨーロッパ(EU)およびアジア/太平洋(AP)のコードは、特定の国コードを選択していない場合にのみ使用されます。ヨーロッパまたはアジア/太平洋のすべての国を含めるには、個別に国を選択します。ヨーロッパまたはアジア/太平洋を選択し、個別の国を指定しない場合、ジオロケーションプロバイダーによって、指定された国コードがない国からのリクエストのみが一致として返されます。単独で使用される場合、ヨーロッパとアジア/太平洋は、指定されていない地域の汎用的なコードとして処理されます。
ロケーションは、ジオロケーションプロバイダーとしてMaxMindを使用し、リクエストのIPアドレスに基づいて決定されます。位置精度の問題、または国コードと地域コードの使用方法に関する情報については、MaxMindおよびGeoIP Legacy Codesを参照してください。
System Logでは、各ロケーション(国または国と地域)が個別の行に表示されます。次の表は、有効なロケーションの例を示しています。
| ロケーション | System Logの内容 |
| Country(国) |
米国 |
| Country and Region(国と地域) |
米国カリフォルニア州 カナダケベック州 |
中国では、地域コードと国コードのユニバーサルISO標準が変更されました。この更新により、新しいコードと、Oktaで表示されるコードの間に不一致が生じました。問題を回避するために、影響を受けた動的ゾーンを編集してください。
IPアドレスタイプ
IPタイプでは、リクエストがプロキシーから発信されているかどうかを判断し、プロキシーから発信されている場合はリクエストを発信したプロキシーのタイプも判断します。IPタイプは、Neustarを使用してリクエストのIPに基づき判断されます。動的ゾーンに対して1つのIPタイプを定義します。
IPタイプの精度に関する問題については、Oktaの担当者までお問い合わせください。
| IPタイプ | 説明 |
| すべて |
すべてのIPタイプが動的ゾーン内にあると見なされます。 |
| すべてのプロキシ |
Torおよび非Torを含むあらゆる匿名プロキシからのリクエストが動的ゾーン内にあると見なされます。 |
| Torアノニマイザープロキシ |
Tor匿名化プロキシからのリクエストが動的ゾーン内にあると見なされます。 |
| 非Torアノニマイザープロキシ |
非Tor匿名化プロキシからのリクエストが動的ゾーン内にあると見なされます。 |
Autonomous system番号
Autonomous system番号(ASN)は、インターネット上で各ネットワークを一意に識別するために使用します。インターネットサービスプロバイダー(ISP)は1つまたは複数のASNの割り当てをリクエストできます。ISP名は変更できますが、プロバイダーに割り当てられたASNはすでに使用されており、変更できません。1つのネットワークゾーンに対して、1つのASNまたは複数のASNを指定することも、1つも指定しないことも可能です。ASNを指定しない場合は、すべてのASNが動的ゾーン内にあると見なされます。
ASNはIPアドレスのネットワーク全体を表すため、ASNを指定すると、複数のIPアドレスのリストを入力せずにオーバーヘッドを低減できます。オンラインのASN Lookupツールを使用して、特定のIPアドレスのASNを検索できます。ASN Lookupツールの例については、DNSCheckerを参照してください。
動的ゾーンの評価
Oktaは、動的ゾーンの構成がリクエストの発信元となっているIPのロケーション、プロキシタイプ、ASNと一致するかどうかを検証します。
- Oktaは、ロケーションとプロキシタイプの両方をASN条件と比較し、一致するかどうかを判断します。
- リクエストのIPチェーンに1つのIPアドレスが含まれている場合、Oktaはロケーション、プロキシタイプ、またはASNを解決します。Oktaはこれらの値を動的ゾーンの構成と比較し、リクエストが動的ゾーンから発信されたかどうかを判断します。
- リクエストのIPチェーンに複数のIPアドレスが含まれている場合、Oktaはリクエスト元のクライアントIPを特定しようとします。
発信元のクライアントIDを特定する方法
リクエストの発信元となるクライアントIPを特定するために、リクエストのIPチェーンが評価され、そのorgのすべてのIPゾーンで定義されているすべてのプロキシIPと比較されます。
- IPチェーンの右側にあるIPアドレスがプロキシとして定義されていない場合、このアドレスはクライアントIPとしてマークされます。
- IPチェーンの右側にあるIPアドレスがプロキシIPである場合、その左横にあるIPアドレスの評価は、プロキシではないIPが検出されるまで行われます。このIPはクライアントIPとしてマークされます。
- クライアントIPが特定されると、そのIPのジオロケーション、プロキシタイプ、ASNが解決され、そのゾーンに対して構成されたジオロケーション、プロキシタイプ、ASNと比較されます。値が一致すると、そのゾーン内からリクエストが送信されます。
動的ゾーンの評価の例
| IPチェーン | orgに対して定義されたすべてのプロキシー | リクエスト元のクライアントIP |
| 1.1.1.1 | 空 | 1.1.1.1 |
| 1.1.1.1 | 1.1.1.1 | 1.1.1.1 |
| 1.1.1.1 | 2.2.2.2 | 1.1.1.1 |
| 1.1.1.1, 2.2.2.2 | 空 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2 | 2.2.2.2 | 1.1.1.1 |
| 1.1.1.1, 2.2.2.2 | 3.3.3.3 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2 | 1.1.1.1 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 3.3.3.3, 2.2.2.2 | 1.1.1.1 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 3.3.3.3 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 4.4.4.4 | 3.3.3.3 |