拡張動的ゾーン

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

拡張動的ゾーンを使用して、ゾーン内でブロックまたは許可されるIPサービスカテゴリ、ロケーション、およびAutonomous System番号(ASN)を定義します。IPサービスカテゴリには、プロキシ、VPN、アノニマイザーが含まれます。

拡張動的ゾーンはブロックリストとして構成できます。ブロックリストでは、ゾーンに追加されたすべてのIPサービスカテゴリタイプ、ロケーション、ASNが認証前にブロックされます。

認証前にトラフィックをブロックすると、ネットワークゾーンで特定されたIPまたはネットワークから攻撃が開始された場合に、攻撃者がOktaのサインインページおよび登録ページにアクセスできなくなります。

拡張動的ゾーンはポリシーで使用できるように構成することもできます。ポリシーでゾーンを使用すると、ユーザーがサインインするときに満たされる必要がある条件がゾーンによって定義されます。

[Block all requests from anonymizers(アノニマイザーからのリクエストをすべてブロック)]セルフサービス機能を有効にした場合、orgにはすべてのアノニマイザープロキシを含むデフォルトの拡張動的ゾーンがあります。このゾーンは削除または名前の変更ができません。また、このゾーンにロケーションやASNを追加することもできません。

拡張動的ゾーンがブロックリストとして使用されている場合、System Logにsecurity.request.blockedイベントが表示されます。

この機能を無効にするときは、最初にポリシールールから拡張動的ゾーンを削除しておくことをお勧めします。

IPサービスカテゴリ

IPサービスカテゴリは、IPの使用方法に基づくIPの分類です。IPサービスカテゴリには、VPN、プロキシ、アノニマイザー、Torなどが含まれます。これらはリクエストの発信元を曖昧にするために使用されます。OktaがサポートするIPサービスカテゴリのリストについては、「サポートされるIPサービスカテゴリ」を参照してください。

ロケーション

ロケーションは、国または国と地域です。地域を含めない場合は、その国の全体が対象になります。拡張動的ゾーンでは、1つまたは複数のロケーションを含めるか、除外することができます。また、ロケーションを含めないこともできます。

ロケーションが定義されていない場合、すべてのロケーションがその動的ゾーン内に含まれていると見なされます。相互に含まれる2つのロケーション(米国とカリフォルニア州など)を単一の拡張動的ゾーンに含めることはできません。

大陸は地域の定義として使用されません。ヨーロッパ(EU)およびアジア/太平洋(AP)のコードは、特定の国コードを選択していない場合にのみ使用されます。ヨーロッパまたはアジア/太平洋のすべての国を含めるには、個別に国を選択します。ヨーロッパまたはアジア/太平洋を選択し、個別の国を指定しない場合、ジオロケーションプロバイダーによって、指定された国コードがない国からのリクエストのみが一致として返されます。単独で使用される場合、ヨーロッパとアジア/太平洋は、指定されていない地域の汎用的なコードとして処理されます。

有効なロケーションの例

ロケーション エントリー
米国
国および地域(1行に1つずつ入力すること)

米国カリフォルニア州

カナダケベック州

インドでは、地域コードと国コードのユニバーサルISO標準が変更されました。この更新により、新しいコードと、Oktaで表示されるコードの間に不一致が生じました。問題を回避するために、影響を受けた拡張動的ゾーンを編集してください。

Autonomous system番号

ASNは、インターネット上で各ネットワークを一意に識別するために使用します。インターネットサービスプロバイダー(ISP)は1つまたは複数のASNの割り当てをリクエストできます。ISP名は変更できますが、プロバイダーに割り当てられたASNはすでに使用されており、変更できません。1つのネットワークゾーンに対して、1つのASNまたは複数のASNを指定することも、1つも指定しないことも可能です。ASNを指定しない場合は、すべてのASNが拡張動的ゾーン内にあると見なされます。

ASNはIPアドレスのネットワーク全体を表すため、ASNを指定すると、複数のIPアドレスのリストを入力せずにオーバーヘッドを低減できます。オンラインのASN Lookupツールを使用して、特定のIPアドレスのASNを検索できます。ASN Lookupツールの例については、DNSCheckerを参照してください。

拡張動的ゾーンの評価

Oktaは、拡張動的ゾーンの構成がリクエストの発信元となっているIPのロケーション、IPサービスカテゴリ、ASNと一致するかどうかを検証します。

リクエストのIPチェーンに複数のIPアドレスが含まれる場合、Oktaはリクエスト元のクライアントIPの特定を試みます。

拡張動的ゾーンの評価例

IPチェーン orgに対して定義されたすべてのプロキシー リクエスト元のクライアントIP
1.1.1.1 1.1.1.1
1.1.1.1 1.1.1.1 1.1.1.1
1.1.1.1 2.2.2.2 1.1.1.1
1.1.1.1, 2.2.2.2 2.2.2.2
1.1.1.1, 2.2.2.2 2.2.2.2 1.1.1.1
1.1.1.1, 2.2.2.2 3.3.3.3 2.2.2.2
1.1.1.1, 2.2.2.2 1.1.1.1 2.2.2.2
1.1.1.1, 2.2.2.2, 3.3.3.3 3.3.3.3, 2.2.2.2 1.1.1.1
1.1.1.1, 2.2.2.2, 3.3.3.3 3.3.3.3 2.2.2.2
1.1.1.1, 2.2.2.2, 3.3.3.3 4.4.4.4 3.3.3.3

発信元クライアントIPの評価

リクエストの発信元となるクライアントIPを特定するために、リクエストのIPチェーンが評価され、そのorgのすべてのIPゾーンで定義されているすべてのプロキシIPと比較されます。

  • IPチェーンの右側にあるIPアドレスがプロキシとして定義されていない場合、このアドレスはクライアントIPとしてマークされます。
  • IPチェーンの右側にあるIPアドレスがプロキシIPである場合、その左横にあるIPアドレスの評価は、プロキシではないIPが検出されるまで行われます。このIPはクライアントIPとしてマークされます。
  • クライアントIPが特定されると、そのIPのジオロケーション、IPサービスカテゴリ、ASNが解決され、そのゾーン向けに構成されたジオロケーション、IPサービスカテゴリ、ASNと比較されます。値が一致すると、そのゾーン内からリクエストが送信されます。

関連項目

ネットワークゾーン

拡張動的ゾーンを作成する