クライアントIPレポート

必要な場合、RADIUS対応システムにアクセスするユーザーのIPアドレス、ネットワーク・ゾーン、またはジオロケーションに応じて、異なるレベルのアクセスを適用、制限、または提供するようにOktaを構成できます。

次の手順を完了してクライアントIPの解決を有効にすると、場所またはIPアドレスによってネットワーク・ゾーンを定義し、サインオン・ポリシーでそれらを使用してアクセスの提供、MFAの強制、またはアクセスのブロックを行うことができます。詳細については、「IPゾーン」を参照してください。

Oktaテナントでネットワーク・ゾーンを構成するには:

  1. ゾーンを設定するには:
    1. [セキュリティー] > [ネットワーク]に移動し、[ゾーンを追加] > [IPゾーン]を選択します。
    2. 名前を指定します。
    3. [ゲートウェイIP]フィールドで、ユーザーがRADIUS対応システムに対して認証する際のIP(クライアントIP)の範囲を指定します。
    4. [プロキシーIP]フィールドで、各RADIUS要求をプロキシーするRADIUSエージェント・サーバーの公開IPアドレスを指定します。

      注:ジオロケーション機能を使用するには、プロキシーIPのみを指定するネットワーク・ゾーンを作成します。

    5. IPゾーンの設定の詳細については、「ネットワーク」を参照してください。
  2. Oktaダッシュボードの[アプリケーション]ページから、この機能を有効にしたいアプリケーションを見つけます。アプリを選択してアプリの構成ページを開きます。
  3. 移動し、[シングル・サインオン]ページに移動し、ページの下の方にある[高度なRADIUSの設定]セクションを見つけます。[編集]をクリックします。
  4. [クライアントIPを報告]を確認します。
  5. RADIUS対応システムがクライアントIPアドレスを渡すために使用するRADIUS属性を選択します。
    • これはベンダーによって異なる可能性があるため、どの属性を選択すればよいかわからない場合は、ベンダーの技術的な説明からこの情報を特定するか、技術チームにお問い合わせください。
    • この情報に使用される最も一般的な属性は31 Calling Station IDであるため、確信がない場合は最初にこの属性を選択することをおすすめします。
    • また、以下の表で、主要ベンダーで使用される属性を参照することもできます。

      クライアントIPの主要ベンダーで使用される一般的なRADIUS属性
      Cisco31 Calling Station ID
      Juniper31 Calling Station ID
      Citrix Netscaler31 Calling Station ID
      F531 Calling Station ID
      Palo Alto Networks26 Vendor Specific:「PAN Vendor ID」
  6. 最後に、ページ下部の[サインオン・ポリシー]セクションで [ルールを追加]を選択し、手順1で作成したネットワーク・ゾーンに基づいてMFAを許可、ブロック、または要求するポリシーを作成します。