Okta IPアドレス許可リスト

Note

Oktaは、包括的な言語とコミュニケーションの採用に重点を置いています。このイニシアチブの一環として、長年使用されてきた業界用語および表現がいくつか変更されました。


IP許可リスト(以前のホワイトリスト)は、ネットワーク・サーバーのポリシーが通常ブロックする可能性のある、選択されたIPアドレスおよびプログラムへのアクセスを提供するために使用されます。

  • サーバー・ポリシーで任意のIPアドレスまたはWebサイトへのすべてのアウトバウンドhttp / https通信が許可されている場合、変更を行う必要はありません。
  • サーバー・ポリシーがほとんどまたはすべての外部IPアドレスおよびWebサイトへのアクセスを拒否する場合、一部の機能が動作するように許可リストを構成する必要があります。

ドメイン、ポート、トラブルシューティング情報については、「実装の詳細」を参照してください。

Okta IPアドレス

すべてのOktaエージェントとエンド・ユーザーがOktaに適切に接続できるようにするには、このAWS管理リストに基づいてOktaシステムのIPアドレスを許可リストに追加します。

Okta IP範囲許可リスト

このリストのIPアドレスは、以下によってグループ化されます。

  • 本番環境(us_cell_1-us_cell_7us_cell_10-us_cell_12、us_cell 14
  • 本番環境EMEA(emea_cell_1
  • 本番環境EMEA(emea_cell_2
  • 本番環境HIPAA(us_cell_5
  • 本番環境APAC(apac_cell_1
  • プレビュー(preview_cell_1-preview_cell_3
  • プレビューEMEA(preview_cell_2

このファイルは、お好みのオンラインJSONビューアーで表示することをお勧めします。 Okta IP範囲許可リストは、IP許可リストを維持する必要があるスーパー管理者も取得できます。

CDNで許可リストに含めることができるIPアドレス範囲については、「Amazon Web Services」を参照してください。

注

内部ネットワークにあるインストール済みエージェントと正常に通信するには、Oktaの許可リストに含まれたIPアドレスをOktaの受信ファイアウォール・ルールに追加する必要がある場合があります。


実装

以下の情報は、組織の許可リストを構成および実装するのに役立ちます。

ポート

Oktaサービスは、すべての通信にSSL/TLSを使用します。ポリシーでポート番号が必要な場合、特に記載のない限り、このドキュメントで提供されているIPアドレスに対してポート443を許可リストに含める必要があります。

必須Oktaドメイン

会社でドメインを許可リストに含めている場合は、許可するドメインのリストに以下のドメインを追加します。

*.okta.com
*.mtls.okta.com
*.oktapreview.com
*.mtls.oktapreview.com
*.oktacdn.com
*.okta-emea.com
*.mtls.okta-emea.com
*.kerberos.okta.com
*.kerberos.okta-emea.com
*.kerberos.oktapreview.com

コンテンツ配信ネットワーク(CDN)

Oktaの静的UI資産(JavaScript、CSS、画像)は、国際CDNを通じてブラウザーに配信され、米国外の顧客に対して資産を迅速にダウンロードできます。

ほとんどのファイアウォールまたはプロキシ・システムにおいては、アウトバウンド接続を確立できるように、OktaサービスのDNSアドレスの許可リストを指定することをお勧めします。コンテンツ配信ネットワーク(CDN)の現在のIP範囲のリストについては、「Amazon Web Services」を参照してください。

証明書失効のトラブルシューティング

証明書を取り消そうとすると、さまざまな問題が発生する可能性があります。たとえば、一部のクライアントは失効サーバーに到達できない場合、SSL/TLSエンドポイントへの接続に失敗します。証明書の取り消しで問題が発生した場合は、ポート80で以下のドメイン名が許可リストに含まれているか確認してください。

ocsp.digicert.com
crl3.digicert.com
crl4.digicert.com

サードパーティー・サービス

Okta Mobileでは、このサービスへのアウトバウンド接続のために、以下のサードパーティー・ドメインを許可リストに含める必要がある場合があります。

*.mapbox.com