Okta IPアドレスへのアクセスを許可する

IP許可リスト(以前のホワイトリスト)は、通常であればネットワークサーバーポリシーでブロックされる特定のIPアドレスやプログラムに、アクセス権限を提供するために使用されます。

  • サーバーポリシーで、任意のIPアドレスやウェブサイトを宛先とするすべてのアウトバウンドHTTPおよびHTTPS通信が許可されている場合、何も変更する必要はありません。
  • サーバーポリシーで、外部IPアドレスやウェブサイトへのアクセスのほとんど、またはすべてが拒否されている場合、許可リストを構成して一部の機能を有効にする必要があります。

ドメイン、ポート、トラブルシューティングの情報については、「実装の詳細」をご覧ください。

Okta IPアドレス

すべてのOktaエージェントとエンドユーザーがOktaと正常に接続できるように、このAWS管理のリストに基づきOktaシステムのIPアドレスを許可リストに登録します。

このリストには、すべての既存のIPアドレスと、将来の更新用に予約されている新しいIPアドレスが含まれています。

組織がドメイン名の許可リストを設定する場合は、awsglobalaccelerator.comをそのドメイン名の許可リストに必ず追加してください。このドメイン名は、構成済みの既存のドメイン名に追加されます。

このリストのIPアドレスは、以下でグループ化されます。

  • 本番環境(us_cell_1-us_cell_7us_cell_10-us_cell_12、us_cell 14
  • 本番環境EMEA(emea_cell_1
  • 本番環境EMEA(emea_cell_2
  • 本番環境HIPAA(us_cell_5us_cell_10
  • 本番環境APAC(apac_cell_1apac_cell_2
  • プレビュー(preview_cell_1 - preview_cell_3
  • プレビューEMEA(preview_cell_2

このファイルは、使い慣れたオンラインJSONビューアーで表示することを推奨します。Okta IP範囲許可リストは、IP許可リストを管理する必要のあるスーパー管理者も取得できます。

CDNで許可リストに含めることができるIPアドレス範囲については、「Amazon Web Services」を参照してください。

Oktaが内部ネットワークにあるインストール済みエージェントと正常に通信するには、Oktaの許可リストに含まれたIPアドレスを受信ファイアウォールルールに追加する必要が生じる場合があります。

実装の詳細

このセクションの情報を確認して、orgの許可リストを構成および実装する方法を学習します。

ポート Oktaサービスは、すべての通信でSSL/TLSを使用します。ポリシーでポート番号が必要な場合、特に記載のない限り、このドキュメントで提供されているIPアドレスに対してポート443を許可リストに含める必要があります。
必須のOktaドメイン 会社でドメインを許可リストに含めている場合は、許可するドメインのリストに以下のドメインを追加します。
  • *.okta.com
  • *.mtls.okta.com
  • *.oktapreview.com
  • *.mtls.oktapreview.com
  • *.oktacdn.com
  • *.okta-emea.com
  • *.mtls.okta-emea.com
  • *.kerberos.okta.com
  • *.kerberos.okta-emea.com
  • *.kerberos.oktapreview.com
  • *.okta-gov.com
  • *.mtls.okta-gov.com
  • *.okta.mil

  • *.mtls.okta.mil

コンテンツ配信ネットワーク(CDN) Oktaの静的UIアセット(JavaScript、CSS、画像)を国際的なCDNを介してブラウザーに配信することで、米国外の顧客が高速でアセットをダウンロードできるようにします。

ほとんどのファイアウォールシステムまたはプロキシーシステムで、OktaサービスのDNSアドレスの許可リストを指定して、アウトバウンド通信が確立されるようにすることを推奨します。CDNで許可リストに含めることができるIPアドレス範囲については、「Amazon Web Services」を参照してください。

証明書の取り消しに関するトラブルシューティング 証明書を取り消そうとすると、さまざまな問題が発生する可能性があります。たとえば、クライアントが取り消しサーバーに到達できない場合、クライアントのSSL/TLSエンドポイントへの接続が失敗することがあります。証明書の取り消しに関して問題が発生した場合は、ポート80で次のドメインが許可されていることを確認します。
  • ocsp.digicert.com
  • crl3.digicert.com
  • crl4.digicert.com
サードパーティサービス Okta Mobileでは、このサービスへのアウトバウンド接続のために、以下のサードパーティードメインを許可リストに含める必要が生じる場合があります。
  • *.mapbox.com