Okta IPアドレスへのアクセスを許可する

IP許可リストは、リストに追加されたIPアドレスとURLへのアクセスを許可するようネットワークサーバーに指示します。Oktaが適切に実行するようにするには、IP許可リストに特定のURLを追加する必要があります。

• サーバーポリシーで、任意のIPアドレスやURLを宛先とするすべてのアウトバウンドHTTPおよびHTTPS通信が許可されている場合、何も変更する必要はありません。
• サーバーポリシーで、外部IPアドレスやURLへのアクセスのほとんど、またはすべてが拒否されている場合は、許可リストを構成してください。

ドメイン、ポート、トラブルシューティングの情報については、「実装の詳細」をご覧ください。

Okta IPアドレス

すべてのOktaエージェントとエンドユーザーがOktaと正常に接続できるように、このAWS管理のリストに基づきOktaシステムのIPアドレスを許可リストに登録します。

• Okta IP範囲許可リスト

このリストには、すべての既存のIPアドレスと、将来の更新用に予約されている新しいIPアドレスが含まれています。

Oktaは、これらのIPアドレスを次のセルにグループ化します。

• PAM US：us_pam_cell_1
• プレビューUS：preview_cell_1 - preview_cell_3
• 本番環境US：us_cell_1 - us_cell_7、us_cell_10 - us_cell_12、us_cell_14, us_cell_17
• 本番環境APAC：apac_cell_1、apac_cell_2
• PAM EMEA：emea_pam_cell_1
• プレビューEMEA：preview_cell_2
• 本番環境EMEA：emea_cell_1、emea_cell_2
• 本番環境HIPAA：us_cell_5、us_cell_10
• プレビューPAM：preview_pam_cell_1

このファイルは、使い慣れたオンラインJSONビューアーで表示してください。IP許可リストを管理する必要のあるスーパー管理者も、Okta IP範囲許可リストを取得できます。

実装の詳細

orgの許可リストを構成および実装する方法について説明します。

ポート	Oktaサービスは、すべての通信でSSL/TLSを使用します。ポリシーでポート番号が必要な場合、特に記載のない限り、このドキュメントで提供されているIPアドレスに対してポート443を許可リストに含める必要があります。
必須のOktaドメイン	許可するドメインのリストに以下のドメインを追加します。 *.okta.com *.mtls.okta.com *.oktapreview.com *.mtls.oktapreview.com *.oktacdn.com *.okta-emea.com *.mtls.okta-emea.com *.kerberos.okta.com *.kerberos.okta-emea.com *.kerberos.oktapreview.com *.okta-gov.com *.mtls.okta-gov.com *.okta.mil *.mtls.okta.mil *.awsglobalaccelerator.com
コンテンツ配信ネットワーク（CDN）	Oktaの静的UIアセット（JavaScript、CSS、画像）を国際的なCDNを介してブラウザーに配信することで、米国外の顧客が高速でアセットをダウンロードできるようにします。 ほとんどのファイアウォールシステムまたはプロキシシステムで、OktaサービスのDNSアドレスの許可リストを指定して、アウトバウンド通信が確立されるようにすることを推奨します。このドメインをDNSの許可リストに追加します。 okta-featureflag-edge.azureedge.net CDNで許可リストに含めることができるIPアドレス範囲については、「Amazon Web Services」を参照してください。
証明書の取り消しに関するトラブルシューティング	証明書を取り消そうとすると、さまざまな問題が発生する可能性があります。たとえば、クライアントが取り消しサーバーに到達できない場合は、クライアントのSSL/TLSエンドポイントへの接続が失敗することがあります。証明書の取り消しで問題が発生した場合は、ポート80で以下のドメイン名が許可リストに含まれているか確認してください。 ocsp.digicert.com crl3.digicert.com crl4.digicert.com