Okta IPアドレスへのアクセスを許可する
IP許可リストは、通常であればネットワークサーバーポリシーでブロックされる特定のIPアドレスやプログラムに、アクセス権限を提供するために使用されます。
- サーバーポリシーで、任意のIPアドレスやウェブサイトを宛先とするすべてのアウトバウンドHTTPおよびHTTPS通信が許可されている場合、何も変更する必要はありません。
- サーバーポリシーで、外部IPアドレスやウェブサイトへのアクセスのほとんど、またはすべてが拒否されている場合、許可リストを構成して一部の機能を有効にする必要があります。
ドメイン、ポート、トラブルシューティングの情報については、「実装の詳細」をご覧ください。
Okta IPアドレス
すべてのOktaエージェントとエンドユーザーがOktaと正常に接続できるように、このAWS管理のリストに基づきOktaシステムのIPアドレスを許可リストに登録します。
このリストには、すべての既存のIPアドレスと、将来の更新用に予約されている新しいIPアドレスが含まれています。
組織でドメイン名の許可リストを設定する場合は、awsglobalaccelerator.comをそのドメイン名の許可リストに必ず追加してください。このドメイン名は、構成済みの既存のドメイン名に追加されます。
Oktaは、これらのIPアドレスを次のセルにグループ化します。
- 本番環境(us_cell_1-us_cell_7、us_cell_10-us_cell_12、us_cell 14)
- 本番環境EMEA(emea_cell_1)
- 本番環境EMEA(emea_cell_2)
- 本番環境HIPAA(us_cell_5、us_cell_10)
- 本番環境APAC(apac_cell_1、apac_cell_2)
- プレビュー(preview_cell_1 - preview_cell_3)
- プレビューEMEA(preview_cell_2)
このファイルは、使い慣れたオンラインJSONビューアーで表示することを推奨します。IP許可リストを管理する必要のあるスーパー管理者も、Okta IP範囲許可リストを取得できます。
コンテンツ配信ネットワーク(CDN)で許可リストに含めることができるIPアドレス範囲については、「Amazon Web Services」を参照してください。
Oktaが内部ネットワークにあるインストール済みエージェントと正常に通信するには、Oktaの許可リストに含まれたIPアドレスを受信ファイアウォールルールに追加する必要が生じる場合があります。
実装の詳細
このセクションの情報を確認して、orgの許可リストを構成および実装する方法を学習します。
| ポート | Oktaサービスは、すべての通信でSSL/TLSを使用します。ポリシーでポート番号が必要な場合、特に記載のない限り、このドキュメントで提供されているIPアドレスに対してポート443を許可リストに含める必要があります。 |
| 必須のOktaドメイン | 会社でドメインを許可リストに含めている場合は、許可するドメインのリストに以下のドメインを追加します。
|
| コンテンツ配信ネットワーク(CDN) | Oktaの静的UIアセット(JavaScript、CSS、画像)を国際的なCDNを介してブラウザーに配信することで、米国外の顧客が高速でアセットをダウンロードできるようにします。 ほとんどのファイアウォールシステムまたはプロキシーシステムで、OktaサービスのDNSアドレスの許可リストを指定して、アウトバウンド通信が確立されるようにすることを推奨します。CDNで許可リストに含めることができるIPアドレス範囲については、「Amazon Web Services」を参照してください。 |
| 証明書の取り消しに関するトラブルシューティング | 証明書を取り消そうとすると、さまざまな問題が発生する可能性があります。たとえば、クライアントが取り消しサーバーに到達できない場合は、クライアントのSSL/TLSエンドポイントへの接続が失敗することがあります。証明書の取り消しに関して問題が発生した場合は、ポート80で次のドメインが許可されていることを確認します。
|
| サードパーティサービス | Okta Mobileでは、このサービスへのアウトバウンド接続のために、以下のサードパーティドメインを許可リストに含める必要が生じる場合があります。
|