動的ゾーン
動的ゾーンを使用して、ロケーション、IPアドレスのタイプ、Autonomous system番号(ASN)に基づいてネットワーク境界を定義します。
ロケーション
ロケーションは、国または国と地域です。地域を含めない場合は、その国の全体が対象になります。動的ゾーンでは、1つまたは複数のロケーションを指定することも、ロケーションを指定しないこともできます。
ロケーションが定義されていない場合、すべてのロケーションがその動的ゾーン内に含まれていると見なされます。相互に含まれる2つのロケーション(米国とカリフォルニア州など)を単一の動的ゾーンに含めることはできません。
大陸は地域の定義として使用されません。ヨーロッパ(EU)およびアジア/太平洋(AP)のコードは、特定の国コードを選択していない場合にのみ使用されます。ヨーロッパまたはアジア/太平洋のすべての国を含めるには、個別に国を選択します。ヨーロッパまたはアジア/太平洋を選択し、個別の国を指定しない場合、ジオロケーションプロバイダーによって、指定された国コードがない国からのリクエストのみが一致として返されます。単独で使用される場合、ヨーロッパとアジア/太平洋は、指定されていない地域の汎用的なコードとして処理されます。
ロケーションは、ジオロケーションプロバイダーとしてMaxMindを使用し、リクエストのIPアドレスに基づいて決定されます。位置精度の問題、または国コードと地域コードの使用方法に関する情報については、MaxMindおよびGeoIP Legacy Codesを参照してください。
システムログでは、各ロケーション(国または国と地域)が個別の行に表示されます。次の表は、有効なロケーションの例を示しています。
| ロケーション | システムログの内容 |
| Country(国) |
米国 |
| Country and Region(国と地域) |
米国カリフォルニア州 カナダケベック州 |
中国では、地域コードと国コードのユニバーサルISO標準が変更されました。この更新により、新しいコードと、Oktaで表示されるコードの間に不一致が生じました。問題を回避するために、影響を受けた動的ゾーンを編集してください。
IPアドレスタイプ
IPタイプでは、リクエストがプロキシから発信されているかどうかを判断し、プロキシから発信されている場合はリクエストを発信したプロキシのタイプも判断します。IPタイプはリクエストのIPに基づき判断されます。動的ゾーンに対して1つのIPタイプを定義します。
IPタイプの精度に関する問題については、Oktaの担当者までお問い合わせください。
| IPタイプ | 説明 |
| すべて |
すべてのIPタイプが動的ゾーン内にあると見なされます。 |
| すべてのプロキシ |
Torおよび非Torを含むあらゆる匿名プロキシからのリクエストが動的ゾーン内にあると見なされます。 |
| Torアノニマイザープロキシ |
Tor匿名化プロキシからのリクエストが動的ゾーン内にあると見なされます。 |
| 非Torアノニマイザープロキシ |
非Tor匿名化プロキシからのリクエストが動的ゾーン内にあると見なされます。 |
Autonomous system番号
Autonomous system番号(ASN)は、インターネット上で各ネットワークを一意に識別するために使用します。インターネットサービスプロバイダー(ISP)は1つまたは複数のASNの割り当てをリクエストできます。ISP名は変更できますが、プロバイダーに割り当てられたASNはすでに使用されており、変更できません。1つのネットワークゾーンに対して、1つのASNまたは複数のASNを指定することも、1つも指定しないことも可能です。ASNを指定しない場合は、すべてのASNが動的ゾーン内にあると見なされます。
ASNはIPアドレスのネットワーク全体を表すため、ASNを指定すると、複数のIPアドレスのリストを入力せずにオーバーヘッドを低減できます。オンラインのASN Lookupツールを使用して、特定のIPアドレスのASNを検索できます。ASN Lookupツールの例については、DNSCheckerを参照してください。
動的ゾーンの評価
Oktaは、動的ゾーンの構成がリクエストの発信元となっているIPのロケーション、プロキシタイプ、ASNと一致するかどうかを検証します。
- Oktaは、ロケーションとプロキシタイプの両方をASN条件と比較し、一致するかどうかを判断します。
- リクエストのIPチェーンに1つのIPアドレスが含まれている場合、Oktaはロケーション、プロキシタイプ、またはASNを解決します。Oktaはこれらの値を動的ゾーンの構成と比較し、リクエストが動的ゾーンから発信されたかどうかを判断します。
- リクエストのIPチェーンに複数のIPアドレスが含まれている場合、Oktaはリクエスト元のクライアントIPを特定しようとします。
発信元のクライアントIDを特定する方法
リクエストの発信元となるクライアントIPを特定するために、リクエストのIPチェーンが評価され、そのorgのすべてのIPゾーンで定義されているすべてのプロキシIPと比較されます。
- IPチェーンの右側にあるIPアドレスがプロキシとして定義されていない場合、このアドレスはクライアントIPとしてマークされます。
- IPチェーンの右側にあるIPアドレスがプロキシIPである場合、その左横にあるIPアドレスの評価は、プロキシではないIPが検出されるまで行われます。このIPはクライアントIPとしてマークされます。
- クライアントIPが特定されると、そのIPのジオロケーション、プロキシタイプ、ASNが解決され、そのゾーンに対して構成されたジオロケーション、プロキシタイプ、ASNと比較されます。値が一致すると、そのゾーン内からリクエストが送信されます。
動的ゾーンの評価の例
| IPチェーン | orgに対して定義されたすべてのプロキシ | リクエスト元のクライアントIP |
| 1.1.1.1 | 空 | 1.1.1.1 |
| 1.1.1.1 | 1.1.1.1 | 1.1.1.1 |
| 1.1.1.1 | 2.2.2.2 | 1.1.1.1 |
| 1.1.1.1, 2.2.2.2 | 空 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2 | 2.2.2.2 | 1.1.1.1 |
| 1.1.1.1, 2.2.2.2 | 3.3.3.3 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2 | 1.1.1.1 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 3.3.3.3, 2.2.2.2 | 1.1.1.1 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 3.3.3.3 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 4.4.4.4 | 3.3.3.3 |