OktaのアプリケーションでIP制限してみた
OktaにはAWSなど様々なアプリケーションを登録できますが、社内NWから接続したときのみアプリケーションを利用できるようにしたいケースもあるかと思います。今回は先日ご紹介したAWS SSOアプリにSign On Policyを適用しIP制限を行ってみました。
グループの作成
今回は特定のグループにIP制限をかけることにします。全ユーザーにIP制限をかけることもできます。 Oktaにグループを作成します。Directory>Groups>Add Groupを選択します。
グループにメンバーを割り当てます。
IPゾーンの作成
アプリを利用できるIPアドレスの範囲を決めます。Security>Networks>Add Zone>IP Zoneを選びます。今回はHomeというゾーンを作成し、自宅のIPアドレスを指定しました。
アプリのSign On Policyを設定
アプリごとにSign On Policyを設定できます。AWS Single Sign-onアプリの場合、Sign Onを開きます。
下部にSign On Policyがあります。ルールを追加しない場合はキャッチオールポリシーが適用され、パスワード認証が成功していればアプリを利用できます。
ポリシー条件は細かく指定ができるのですが、「Group:IP-Restriction」と「Zone: Not in zone: Home」を指定しました。この条件はANDで解釈されますので、IP-Restrictionグループが自宅以外からのIPから接続したときにDenyされる動きになります。
!
ユーザー視点での利用方法
自宅以外からのIPから接続すると、アプリに鍵マークが表示され選択してもアプリを利用できないかたちになります。
許可された自宅のIPから接続すると、アプリを利用できます。アプリを開いたあとで許可されていないIPからの接続に切り替えた場合は、そのままアプリを利用できました。IP制限が行われるのはサインオンのときのみのようです。
おわりに
OktaのAWS SSOアプリでIP制限をしてみました。他のアプリでもIP制限をしたいケースはあるかと思いますが、同様にできるかと思います。
![[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-19e77b9a51519e08b94d0f688c125729/4f439c75e1ee56c70e315fa46fa45f81/amazon-quicksight)
![[アップデート] Amazon CloudWatch がオブザーバビリティソリューションを提供開始しました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-d6a3bc85cad6419960fbda152152cd8c/ba5841cea06b96f4933878762028b090/amazon-cloudwatch)
![[アップデート] Application Load Balancer コンソールから CloudFront + WAF を統合出来るようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f650a3011b384cc3781610c17755bc71/c37c67c9bc40b72e6dce1a49f4153283/elastic-load-balancing)
