クライアントIPレポート

必要な場合、RADIUS対応システムにアクセスするユーザーのIPアドレス、ネットワークゾーン、またはジオロケーションに応じて、異なるレベルのアクセスを適用、制限、または提供するようにOktaを構成できます。

次の手順を完了してクライアントIPの解決を有効にすると、場所またはIPアドレスによってネットワークゾーンを定義し、サインオンポリシーでそれらを使用してアクセスの提供、MFAの強制、またはアクセスのブロックを行うことができます。詳細については、「IPゾーン」を参照してください。

Oktaテナントでネットワークゾーンを構成するには:

  1. ゾーンを設定するには:
    1. 管理コンソールで、[Security(セキュリティ)][Networks(ネットワーク)]に移動します。[Add Zone(ゾーンを追加)]>[IP Zone(IPゾーン)]を選択します。
    2. 名前を指定します。
    3. [Gateway IPs(ゲートウェイIP)]フィールドで、ユーザーがRADIUS対応システム(クライアントIP)で認証するIP範囲を指定します。

    4. [Proxy IPs(プロキシーIP)]フィールドで、各RADIUSリクエストをプロキシするRADIUS AgentサーバーのIPアドレスを指定します。

      注:ジオロケーション機能を使用するには、プロキシーIPのみを指定するネットワークゾーンを作成します。

    5. IPゾーンの設定の詳細については、「ネットワーク」を参照してください。
  2. Okta Dashboardの[Applications(アプリケーション)]ページから、この機能を有効にしたいアプリケーションを見つけます。アプリを選択してアプリの構成ページを開きます。
  3. [Single-Sign On(シングルサインオン)]ページに進み、ページ下方の[Advanced RADIUS Settings(高度なRADIUS設定)]セクションを見つけます。[Edit(編集)]をクリックします。
  4. [Report Client IP(クライアントIPをレポート)]を選択します。
  5. RADIUS対応システムがクライアントIPアドレスを渡すために使用するRADIUS属性を選択します。
    • これはベンダーによって異なる可能性があるため、どの属性を選択すればよいかわからない場合は、ベンダーの技術的な説明からこの情報を特定するか、技術チームにお問い合わせください。
    • この情報に使用される最も一般的な属性は31 Calling Station IDであるため、確信がない場合は最初にこの属性を選択することをおすすめします。

    • また、以下の表で、主要ベンダーで使用される属性を参照することもできます。

      クライアントIPの主要ベンダーで使用される一般的なRADIUS属性
      Cisco31 Calling Station ID
      Juniper31 Calling Station ID
      Citrix Netscaler31 Calling Station ID
      F531 Calling Station ID
      Palo Alto Networks26 Vendor Specific:「PAN Vendor ID」
  6. ページ下部の[Sign On Policy(サインオンポリシー)]セクションで[Add Rule(ルールの追加)]をクリックし、手順1で作成したネットワークゾーンに基づいてMFAを許容、ブロック、または要求するポリシーを作成します。