動的ゾーンについて
動的ゾーンを使用すると、管理者はロケーション、IPアドレスのタイプ、自律システム番号(ASN)に基づいてネットワーク境界を定義できます。
ロケーション
ロケーションは、国または国と地域で定義されます。地域を指定せずに国を含める場合、その国の全体が含まれることになります。動的ゾーンでは、1つまたは複数のロケーションを指定することも、ロケーションを指定しないことも可能です。動的ゾーンにロケーションが定義されていない場合、すべてのロケーションがその動的ゾーン内に含まれていると見なされます。相互に含まれる2つのロケーション(米国と米国カリフォルニア州など)を単一の動的ゾーンに含めることはできません。
大陸は地域の定義として使用することを意図したものではありません。ヨーロッパ(EU)およびアジア/太平洋(AP)のコードは、特定の国コードを選択していない場合にのみ使用されます。ヨーロッパまたはアジア/太平洋のすべての国を含める場合は、それらの国をすべて個別に選択する必要があります。ヨーロッパまたはアジア/太平洋を選択し、個別の国を指定しない場合、指定された国コードがない国からのリクエストのみがジオロケーションプロバイダーによって一致として返されます。単独で使用される場合、ヨーロッパとアジア/太平洋は、含まれている国の包括的なコードではなく、指定されていない地域の汎用的なコードとして使用されます。
ロケーションは、ジオロケーションプロバイダーとしてMaxMindを使用し、リクエストのIPに基づいて決定されます。位置精度の問題、または国コードと地域コードの使用方法に関する情報については、MaxMindおよびGeoIP Legacy Codesを参照してください。場所の有効な例を以下に示します。
ロケーション | エントリー |
国 |
米国 |
国および地域(1行に1つずつ入力すること) |
米国カリフォルニア州 カナダケベック州 |
地域コードおよび国コードのユニバーサルISO規格の更新により、中国の新しいコードとOktaに表示されるコードの間に差異が生じました。そのため、問題を回避するために、影響を受けるすべての動的ゾーンを編集して中国の地域コードを更新することを推奨しています。
IPタイプ
IPタイプでは、リクエストがプロキシーから発信されているかどうかを判断し、プロキシーから発信されている場合はリクエストを発信したプロキシーのタイプも判断します。IPタイプは、Neustarを使用してリクエストのIPに基づき判断されます。IPタイプの精度に関する問題については、Neustarに直接お問い合わせください。Neustarをご覧ください。動的ゾーンに対して1つのIPタイプを定義します。
IPタイプ | 説明 |
すべて |
すべてのIPタイプが動的ゾーン内にあると見なされます。 |
すべてのプロキシー |
Torおよび非Torを含むあらゆる匿名化プロキシーからのリクエストが動的ゾーン内にあると見なされます。 |
Tor匿名プロキシー |
Tor匿名化プロキシーからのリクエストが動的ゾーン内にあると見なされます。 |
非Tor匿名プロキシー |
非Tor匿名化プロキシーからのリクエストが動的ゾーン内にあると見なされます。 |
ASN
ASNは、インターネット上で各ネットワークを一意に識別するために使用します。インターネットサービスプロバイダーは1つまたは複数のASNの割り当てをリクエストできます。ISP名は変更できますが、プロバイダーに割り当てられたASNはすでに使用されていて変更できません。1つのネットワークゾーンに対して、1つのASNまたは複数のASNを指定することも、1つも指定しないことも可能です。ASNを指定しない場合は、すべてのASNが動的ゾーン内にあると見なされます。
ASNはIPアドレスのネットワーク全体を表すため、ASNを指定すると、複数のIPアドレスのリストを入力せずにオーバーヘッドを低減できます。オンラインのASN Lookupツールを使用して、特定のIPアドレスのASNを検索できます。ASN Lookupツールの例については、DNSCheckerを参照してください。
動的ゾーンの評価
動的ゾーンがポリシーに含まれている場合、Oktaでは動的ゾーンの構成(ジオロケーション、IPタイプ、ASN)がリクエストの発信元となっているIPのロケーション、プロキシータイプ、ASNと一致するかどうかを検証します。
リクエストのIPチェーンにIPが1つ含まれる場合には、以下が適用されます。
- OktaがそのIPのロケーション、プロキシータイプ、ASNを解決して、動的ゾーンの構成(ロケーション、プロキシータイプ、ASN)と比較し、リクエストが動的ゾーン内から発信されているかどうかを判断します。
リクエストのIPチェーンにIPが複数含まれる場合には、以下が適用されます。
- 次の「発信元のクライアントIPの特定」で説明するように、Oktaでリクエストが発信されたクライアントIPの特定を試行します。
発信元のクライアントIPの特定
リクエストの発信元となるクライアントIPを特定するために、リクエストのIPチェーンを確認して、そのorgのすべてのIPゾーンで定義されているあらゆるプロキシーIPと比較します。
- IPチェーンの右端にあるIPアドレスがプロキシーとして定義されていない場合、このアドレスはクライアントIPとしてマークされます。
- IPチェーンの右端にあるIPアドレスがプロキシーIPである場合、その左横にあるIPアドレスの評価は、プロキシーではないIPが検出されるまで行われます。このIPはクライアントIPとしてマークされます。
- クライアントIPが特定されると、そのIPのジオロケーション、プロキシータイプ、ASNが解決され、そのゾーンに対して構成されたジオロケーション、プロキシータイプ、ASNと比較して、一致するかどうかを検証します。一致する場合、リクエストはそのゾーン内から発信されたと見なされます。
動的のゾーン評価の例
IPチェーン | orgに対して定義されたすべてのプロキシー | リクエスト元のクライアントIP |
1.1.1.1 | 空 | 1.1.1.1 |
1.1.1.1 | 1.1.1.1 | 1.1.1.1 |
1.1.1.1 | 2.2.2.2 | 1.1.1.1 |
1.1.1.1, 2.2.2.2 | 空 | 2.2.2.2 |
1.1.1.1, 2.2.2.2 | 2.2.2.2 | 1.1.1.1 |
1.1.1.1, 2.2.2.2 | 3.3.3.3 | 2.2.2.2 |
1.1.1.1, 2.2.2.2 | 1.1.1.1 | 2.2.2.2 |
1.1.1.1, 2.2.2.2, 3.3.3.3 | 3.3.3.3, 2.2.2.2 | 1.1.1.1 |
1.1.1.1, 2.2.2.2, 3.3.3.3 | 3.3.3.3 | 2.2.2.2 |
1.1.1.1, 2.2.2.2, 3.3.3.3 | 4.4.4.4 | 3.3.3.3 |