RADIUSネットワークゾーン
必要な場合、RADIUS対応システムにアクセスするユーザーのIPアドレス、ネットワークゾーン、または地理位置情報に応じて、異なるレベルのアクセスを適用、制限、または提供するようにOktaを構成できます。
RADIUSで使用するネットワークゾーンを構成するときは、次の点を考慮してください。
- クライアントIPを報告属性(Report Client IP attribute):この属性は、多くの場合、VPN要件であり、通常はCalling-Station-Idに設定されます。詳細については、クライアントIPレポートを参照してください。
- ネットワークゾーン:ネットワークゾーンは、管理者がIPアドレス、IPアドレスの範囲、地理位置情報などに基づいてアクセスを制限または限定できるセキュリティ境界を定義します。詳細については、「ネットワークゾーンについて」および「RADIUSサービスアドレスフィルタリング」を参照してください。ネットワークゾーンにはIPゾーンと動的ゾーンの両方が含まれます。
- IPゾーン(IP Zones):通常、クライアントIPを報告(Report Client IP)属性が構成されている場合に、VPN/WiFiクライアントIPアドレスを正しく処理するために必要です。詳細については、「IPゾーンについて」および「クライアントIPレポート」を参照してください。
- 地理位置情報または動的ゾーン(Geolocation or Dynamic Zones):動的ゾーンを使用すると、管理者は場所、IPタイプ、Autonomous system番号(ASN)に基づいてネットワーク境界を定義できるようになります。詳細については、「動的ゾーンについて」を参照してください。
- ロケーションベースのブロックリスト(Location based block listing):ロケーションベースのブロックリストでは、IPゾーンや動的ゾーンなどのネットワークゾーンをブロックすることにより、RADIUSクライアントのアクセスを拒否できます。IPゾーンにはIPアドレスのリストが含まれ、動的ゾーンにはロケーション、ASN、IPタイプのリストが含まれます。多くの場合、どちらも地理位置情報ベースのorg全体のブロックリストで使用されます。詳細については、「ブロックリストネットワークゾーン」を参照してください。
- RADIUSエージェントの外部パブリックIPアドレス(RADIUS Agent external public-IP address)(Okta側から見た場合):RADIUSエージェントの外部パブリックIPアドレスは、信頼できるプロキシとして構成する必要があります。構成しなかった場合、OktaはRADIUSエージェントのIPアドレスをエンドユーザーのIPアドレスとして扱い、予期しない動作を引き起こします。
注:
これらの機能が必要であるものの、orgで利用できない場合は、Oktaにお問い合わせください。