この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
OktaにはAWSなど様々なアプリケーションを登録できますが、社内NWから接続したときのみアプリケーションを利用できるようにしたいケースもあるかと思います。今回は先日ご紹介したAWS SSOアプリにSign On Policyを適用しIP制限を行ってみました。
グループの作成
今回は特定のグループにIP制限をかけることにします。全ユーザーにIP制限をかけることもできます。 Oktaにグループを作成します。Directory>Groups>Add Groupを選択します。
グループにメンバーを割り当てます。
IPゾーンの作成
アプリを利用できるIPアドレスの範囲を決めます。Security>Networks>Add Zone>IP Zoneを選びます。今回はHomeというゾーンを作成し、自宅のIPアドレスを指定しました。
アプリのSign On Policyを設定
アプリごとにSign On Policyを設定できます。AWS Single Sign-onアプリの場合、Sign Onを開きます。
下部にSign On Policyがあります。ルールを追加しない場合はキャッチオールポリシーが適用され、パスワード認証が成功していればアプリを利用できます。
ポリシー条件は細かく指定ができるのですが、「Group:IP-Restriction」と「Zone: Not in zone: Home」を指定しました。この条件はANDで解釈されますので、IP-Restrictionグループが自宅以外からのIPから接続したときにDenyされる動きになります。
!
ユーザー視点での利用方法
自宅以外からのIPから接続すると、アプリに鍵マークが表示され選択してもアプリを利用できないかたちになります。
許可された自宅のIPから接続すると、アプリを利用できます。アプリを開いたあとで許可されていないIPからの接続に切り替えた場合は、そのままアプリを利用できました。IP制限が行われるのはサインオンのときのみのようです。
おわりに
OktaのAWS SSOアプリでIP制限をしてみました。他のアプリでもIP制限をしたいケースはあるかと思いますが、同様にできるかと思います。
2
