はじめに
ポリシー関連の設定について、以下の全5回で記載していきたいと思います。
- サインインを自社拠点IPからのみに制限する
- サインイン時にMFAを求める
- サインイン時にMFAを求めないパターンを残す
- サインイン時にリスク判定を追加する
- 特定のアプリのみ自社拠点外からのサインインを許可する
今回は、自社拠点のグローバルIPアドレスで接続制限をしたい場合の設定について記載していきます。
実施する内容は以下の通りです。
- Network Zoneを設定する
- Global Session Policyを設定する
- Authentication Policyを設定する
設定の方針
接続制限については、Global Session PolicyではなくAuthentication Policyで制御していきたいと思います。
今後アプリ単位でアクセスを制御することを考慮すると、アプリ単位で設定できる Authentication Policy で設定した方が設定が分かりやすいためです。
Network Zoneを設定する
自社拠点のグローバルIPをOktaに登録します。
Security > Networks > Add Zone から、グローバルIPは Gateway IPs に記載してください。
Save すると Networks の一覧に表示されます。
Global Session Policyを設定する
自社用デフォルトポリシーを作成
OktaのGlobal Session Policyのデフォルトルールは、細かな設定変更ができないため自社用のデフォルトポリシーを作成します。
ポリシーの名前と対象とするグループを指定します。
今回は全ユーザーを対象として Everyone を指定しています。
Create policy and add rule を選択すると、ポリシーのルールを追加する画面に遷移します。
ルールの作成
名前だけ指定してその他は初期値のままにします。
Create Rule を選択すると、既存のポリシーの一番下かつDefault Policyの上に追加されます。
黒塗りは無視してください。
Authentication Policy を設定する
Default と記載のあるAuthentication Policyの設定を変更します。
自社拠点IPを許可するルールを追加
User's IP is で In any of the following zonesを指定し、自社拠点IPを指定したNetwork Zoneを設定します。
今回は簡略化のためパスワード認証のみを想定して、User must authenticaticate with は Password に変更しています。
Save すると Rule に追加されます。
Catch-all Rule の設定変更
Access is を Denied に変更します。
最終的なルールとしてはこんな感じになります。
おわりに
Authentication Policy の デフォルトポリシー は アプリを作成した際にデフォルトで割り当てられるポリシーです。
デフォルトポリシーの設定を自社拠点IPからに制限しておけば、作成されたアプリへのアクセスはすべて自社拠点IPからのみに制限されることになります。
今回はここまで。ありがとうございました。
次回は今回の設定にプラスし、MFAの設定を入れていきたいと思います。