動的ゾーンについて
動的ゾーンを使用すると、管理者はロケーション、IPアドレスのタイプ、自律システム番号(ASN)に基づいてネットワーク境界を定義できます。
ロケーション
場所は、国または国と地域で定義されます。地域を指定せずに国を含める場合、その国の全体が含まれることになります。動的ゾーンに対しては、[1つのロケーション]、[複数のロケーション]、[ロケーションなし]を指定することができます。動的ゾーンに対してロケーションが定義されていない場合、すべてのロケーションがその動的ゾーン内にあると見なされます。相互に含まれる2つのロケーション(米国と米国カリフォルニア州など)を単一の動的ゾーンに含めることはできません。
大陸は地域の定義として使用することを意図したものではないことに注意してください。ヨーロッパおよびアジア/太平洋のコードは、特定の国コードを選択していない場合にのみ使用されます。ヨーロッパまたはアジア/太平洋のすべての国を含める場合は、それらの国をすべて個別に選択する必要があります。[ヨーロッパ]または[アジア/太平洋]を選択し、個々の国を指定しない場合、指定された国コードがない国からのリクエストのみがジオロケーション・プロバイダーによって一致として返されます。単独で使用される場合、ヨーロッパとアジア/太平洋は、含まれている国の包括的なコードではなく、指定されていない地域の汎用的なコードとして使用されます。
ロケーションは、ジオロケーション・プロバイダーとしてMaxMindを使用し、リクエストのIPに基づいて決定されます。
地域コードと国コードのユニバーサルなISO標準が更新されたため、中国の新しいコードとOktaで表示されるコードの間にいくらかの不一致が生じました。そのため、問題を回避するために、影響を受けるすべての動的ゾーンを編集して中国の地域コードを更新することを推奨しています。
場所の精度に関する問題については、直接MaxMindにお問い合わせください。MaxMindを参照してください。場所の有効な例を以下に示します:
ロケーション | エントリー |
国 | 米国 |
国および地域(1行に1つずつ入力すること) | 米国カリフォルニア州 カナダケベック州 |
IPタイプ
IPタイプでは、リクエストがプロキシーから発信されているかどうかを判断し、プロキシーから発信されている場合はリクエストを発信したプロキシーのタイプも判断します。IPタイプは、Neustarを使用してリクエストのIPに基づいて決定されます。IPタイプの精度に関する問題については、Neustarに直接お問い合わせください。Neustarをご覧ください。動的ゾーンに対して1つのIPタイプを定義します。
IPタイプ | 説明 |
すべて | すべてのIPタイプは動的ゾーン内にあると見なされます。 |
すべてのプロキシー | Torおよび非Torを含むあらゆる匿名化プロキシーからのリクエストは、動的ゾーン内にあると見なされます。 |
Torアノニマイザー・プロキシー | Tor匿名化プロキシーからのリクエストは動的ゾーン内にあると見なされます。 |
非Torアノニマイザー・プロキシー | 非Tor匿名化プロキシーからのリクエストは動的ゾーン内にあると見なされます。 |
ASN
ASNは、インターネット上で各ネットワークを一意に識別するために使用します。インターネット・サービス・プロバイダーは、当該のプロバイダーに割り当てられる1つ以上のASNの取得を申請できます。ISP名は変更できますが、プロバイダーに割り当てられたASNはすでに使用されていて変更できません。1つのネットワーク・ゾーンに対して、[1つのASN]、[複数のASN]、[ASNなし]を定義できます。ASNが定義されていない場合、すべてのASNが動的ゾーン内にあると見なされます。
ASNはIPアドレスのネットワーク全体を表すため、ASNを指定すると、複数のIPアドレスのリストを入力せずにオーバーヘッドを低減できます。オンラインのASN Lookupツールを使用して、特定のIPアドレスのASNを検索できます。ASN Lookupツールの例については、DNSCheckerを参照してください。
動的ゾーンの評価
動的ゾーンがポリシーに含まれている場合、Oktaで動的ゾーンの構成(ジオロケーション、IPタイプ、ASN)がリクエストの発信元となっているIPの場所、プロキシー・タイプ、ASNと一致するかどうかを検証します。
リクエストのIPチェーンに1つのIPが含まれる場合、以下が適用されます:
- Oktaで当該のIPの場所、プロキシー・タイプ、ASNを決定し、動的ゾーンの構成(場所、プロキシー・タイプ、ASN)と比較して、リクエストがその動的ゾーン内から発信されたかどうかを判断します。
リクエストのIPチェーンに複数のIPが含まれる場合、以下が適用されます:
- 次に「発信元のクライアントIPの特定」で説明するように、Oktaでリクエストが発信されたクライアントIPの特定を試行します。
発信元のクライアントIPの特定
リクエストの発信元のクライアントIPを特定するために、リクエストのIPチェーンを確認して、その組織のすべてのIPゾーンで定義されているあらゆるプロキシーIPと比較します。
- IPチェーンの右端のIPアドレスがプロキシーとして定義されていない場合、クライアントIPとしてマークされます。
- IPチェーンの右端のIPアドレスがプロキシーIPである場合、その左横にあるIPアドレスの評価は、プロキシーではないIPが検出されるまで行われます。このIPはクライアントIPとしてマークされます。
- クライアントIPが特定されると、当該のIPのジオロケーション、プロキシー・タイプ、ASNが決定され、そのゾーンに対して構成されたジオロケーション、プロキシー・タイプ、ASNと比較して、一致するかどうかを検証します。一致する場合、リクエストはそのゾーン内から発信されたと見なされます。
動的 ゾーン評価の例
IP チェーン | 組織に対して定義されたすべてのプロキシー | リクエスト元のクライアントIP |
1.1.1.1 | 空 | 1.1.1.1 |
1.1.1.1 | 1.1.1.1 | 1.1.1.1 |
1.1.1.1 | 2.2.2.2 | 1.1.1.1 |
1.1.1.1、2.2.2.2 | 空 | 2.2.2.2 |
1.1.1.1、2.2.2.2 | 2.2.2.2 | 1.1.1.1 |
1.1.1.1、2.2.2.2 | 3.3.3.3 | 2.2.2.2 |
1.1.1.1、2.2.2.2 | 1.1.1.1 | 2.2.2.2 |
1.1.1.1、2.2.2.2、3.3.3.3 | 3.3.3.3、2.2.2.2 | 1.1.1.1 |
1.1.1.1、2.2.2.2、3.3.3.3 | 3.3.3.3 | 2.2.2.2 |
1.1.1.1、2.2.2.2、3.3.3.3 | 4.4.4.4 | 3.3.3.3 |
関連項目
動的ゾーンに対してジオロケーションを定義する
動的ゾーンに対してIPタイプを定義する
動的ゾーンに対してASNを定義する