OktaのアプリケーションでIP制限してみた

社内NWから接続したときのみOktaのアプリケーションを利用できるようにしたいケースもあるかと思います。今回は先日ご紹介したAWS SSOアプリにSign On Policyを適用しIP制限を行ってみました。
2022.01.26

OktaにはAWSなど様々なアプリケーションを登録できますが、社内NWから接続したときのみアプリケーションを利用できるようにしたいケースもあるかと思います。今回は先日ご紹介したAWS SSOアプリにSign On Policyを適用しIP制限を行ってみました。

OktaとAWS Single Sign-Onを連携してみた

グループの作成

今回は特定のグループにIP制限をかけることにします。全ユーザーにIP制限をかけることもできます。 Oktaにグループを作成します。Directory>Groups>Add Groupを選択します。

グループにメンバーを割り当てます。

IPゾーンの作成

アプリを利用できるIPアドレスの範囲を決めます。Security>Networks>Add Zone>IP Zoneを選びます。今回はHomeというゾーンを作成し、自宅のIPアドレスを指定しました。

アプリのSign On Policyを設定

アプリごとにSign On Policyを設定できます。AWS Single Sign-onアプリの場合、Sign Onを開きます。

下部にSign On Policyがあります。ルールを追加しない場合はキャッチオールポリシーが適用され、パスワード認証が成功していればアプリを利用できます。

ポリシー条件は細かく指定ができるのですが、「Group:IP-Restriction」と「Zone: Not in zone: Home」を指定しました。この条件はANDで解釈されますので、IP-Restrictionグループが自宅以外からのIPから接続したときにDenyされる動きになります。

!

ユーザー視点での利用方法

自宅以外からのIPから接続すると、アプリに鍵マークが表示され選択してもアプリを利用できないかたちになります。

許可された自宅のIPから接続すると、アプリを利用できます。アプリを開いたあとで許可されていないIPからの接続に切り替えた場合は、そのままアプリを利用できました。IP制限が行われるのはサインオンのときのみのようです。

おわりに

OktaのAWS SSOアプリでIP制限をしてみました。他のアプリでもIP制限をしたいケースはあるかと思いますが、同様にできるかと思います。

参考