RADIUSネットワークゾーン
必要な場合、RADIUS対応システムにアクセスするユーザーのIPアドレス、ネットワークゾーン、またはジオロケーションに応じて、異なるレベルのアクセスを適用、制限、または提供するようにOktaを構成できます。
RADIUSで使用するネットワークゾーンを構成するときは、次の点を考慮してください。
- Report Client IP attribute(クライアントIPを報告属性):この属性は、多くの場合、VPN要件であり、通常はCalling-Station-Idに設定されます。詳細については、「クライアントIPレポート」を参照してください。
- Network Zone(ネットワークゾーン):ネットワークゾーンは、管理者がIPアドレス、IPアドレスの範囲、ジオロケーションなどに基づいてアクセスを制限または限定できるセキュリティ境界を定義します。詳細については、「ネットワークゾーン」および「RADIUSサービスアドレスフィルタリング」を参照してください。ネットワークゾーンにはIPゾーンと動的ゾーンの両方が含まれます。
- IP Zones(IPゾーン):通常、Report Client IP(クライアントIPを報告)属性が構成されている場合に、VPN/WiFiクライアントIPアドレスを正しく処理するために必要です。詳細については、「IPゾーン」および「クライアントIPレポート」を参照してください。
- Geolocation or Dynamic Zones(ジオロケーションまたは動的ゾーン):動的ゾーンを使用すると、管理者は場所、IPタイプ、Autonomous system番号(ASN)に基づいてネットワーク境界を定義できるようになります。詳細については、「動的ゾーン」を参照してください。
- Location based block listing(ロケーションベースのブロックリスト):ロケーションベースのブロックリストでは、IPゾーンや動的ゾーンなどのネットワークゾーンをブロックすることにより、RADIUSクライアントのアクセスを拒否できます。IPゾーンにはIPアドレスのリストが含まれ、動的ゾーンにはロケーション、ASN、IPタイプのリストが含まれます。多くの場合、どちらもジオロケーションベースのorg全体のブロックリストで使用されます。詳細については、「ブロックリストネットワークゾーン」を参照してください。
- RADIUS Agent external public-IP address(RADIUSエージェントの外部パブリックIPアドレス)(Okta側から見た場合):RADIUSエージェントの外部パブリックIPアドレスは、信頼できるプロキシーとして構成する必要があります。構成しなかった場合、OktaはRADIUSエージェントのIPアドレスをエンドユーザーのIPアドレスとして扱い、予期しない動作を引き起こします。
これらの機能が必要であるものの、orgで利用できない場合は、Oktaにお問い合わせください。