RADIUSネットワークゾーン

必要な場合、RADIUS対応システムにアクセスするユーザーのIPアドレス、ネットワークゾーン、またはジオロケーションに応じて、異なるレベルのアクセスを適用、制限、または提供するようにOktaを構成できます。

RADIUSで使用するネットワークゾーンを構成するときは、次の点を考慮してください。

  • クライアントIPを報告属性 - 多くの場合、VPN要件です。通常、Calling-Station-Idに設定されます。詳細については、「クライアントIPレポート」を参照してください。
  • ネットワークゾーン - ネットワークゾーンは、アクセスベースのIPアドレス、IPアドレスの範囲、ジオロケーションなどを管理者が制限または限定できるセキュリティ境界を定義します。
    詳細については、「ネットワークゾーン」および「RADIUSサービスアドレスフィルタリング」を参照してください。IPゾーンと動的ゾーンの両方が含まれます。
  • IPゾーン - 通常、クライアントIPを報告属性が構成されている場合に、VPN/WiFiクライアントIPアドレスを正しく処理するために必要です。詳細については、「IPゾーンについて」および「クライアントIPレポート」を参照してください。
  • ジオロケーションまたは動的ゾーン - 動的ゾーンを使用すると、管理者は場所、IPタイプ、自律システム番号(ASN)に基づいてネットワーク境界を定義できるようになります。
    詳細については、「動的ゾーンについて」を参照してください。
  • ロケーションベースのブロックリスト - ロケーションベースのブロックリストでは、IPゾーンや動的ゾーンなどのネットワークゾーンをブロックすることにより、RADIUSクライアントのアクセスを拒否できます。IPゾーンにはIPアドレスのリストが含まれ、動的ゾーンにはロケーション、ASN、IPタイプのリストが含まれます。多くの場合、ジオロケーションベースのorg全体のブロックリストで使用されます。
    詳細については、「ネットワークゾーンのブロックリスト」を参照してください。
  • RADIUS Agentの外部パブリックIPアドレス(Okta側から見た場合)- RADIUS Agentの外部パブリックIPアドレスは、信頼できるプロキシーとして構成する必要があります。構成しなかった場合、OktaはRADIUS AgentのIPアドレスをエンドユーザーのIPアドレスとして扱い、予期しない動作を引き起こします。
注

これらの機能が必要であるものの、orgで利用できない場合は、Oktaにお問い合わせください。