クライアントIPレポート

必要な場合、RADIUS対応システムにアクセスするユーザーのIPアドレス、ネットワークゾーン、または地理位置情報に応じて、異なるレベルのアクセスを適用、制限、または提供するようにOktaを構成できます。

次の手順を完了してクライアントIPの解決を有効にすると、場所またはIPアドレスによってネットワークゾーンを定義できます。その後、サインオンポリシーでそれらのネットワークゾーンを使用してアクセスを提供したり、MFAを強制したり、アクセスをブロックしたりできます。詳細については、IPゾーン(IP Zones)を参照してください。

Oktaテナントでネットワークゾーンを構成するには:

  1. ゾーンを設定するには:

    1. Admin Consoleセキュリティ(Security) > ネットワーク(Networks)に移動します。

      ゾーンを追加(Add Zone) > IPゾーン を選択します。
    2. 名前を指定します。
    3. ゲートウェイIP(Gateway IP)(Gateway IPs)フィールドで、ユーザーがRADIUS対応システム(クライアントIP)で認証するIP範囲を指定します。

    4. プロキシIP(Proxy IP)(Proxy IPs)フィールドで、各RADIUSリクエストをプロキシするRADIUSエージェントサーバーのIPアドレスを指定します。

      地理位置情報機能を使用するには、プロキシIPのみを指定するネットワークゾーンを作成します。

    5. IPゾーンの設定の詳細については、ネットワーク(Network)を参照してください。
  2. Admin Consoleアプリケーション(Applications)ページで、この機能を有効にしたいアプリケーションを見つけます。アプリを選択してアプリの構成ページを開きます。
  3. シングルサインオン(Single-Sign On)タブに移動します。
  4. 高度なRADIUS(Advanced RADIUS)(Advanced RADIUS Settings)セクションで編集(Edit)をクリックします。
  5. クライアントIPをレポート(Report Client IP)を選択します。
  6. RADIUS対応システムがクライアントIPアドレスを渡すために使用するRADIUS属性を選択します。
    • これはベンダーによって異なる可能性があります。どの属性を選択すればよいかわからない場合は、ベンダーの技術的な説明からこの情報を特定するか、技術チームにお問い合わせください。
    • この情報に使用される最も一般的な属性は31 Calling Station IDです。確信がない場合は最初にこの属性を選択することをおすすめします。

    • また、以下の表で、主要ベンダーで使用される属性を参照することもできます。

      クライアントIPの主要ベンダーで使用される一般的なRADIUS属性
      Cisco 31 Calling Station ID
      Juniper 31 Calling Station ID
      Citrix Netscaler 31 Calling Station ID
      F5 31 Calling Station ID
      Palo Alto Networks 26 Vendor Specific:「PAN Vendor ID」
  7. ページ下部のサインオンポリシー(Sign On Policy)セクションのルールを追加(Add Rule)をクリックします。
  8. 手順1で作成したネットワークゾーンに基づいてMFAを許可、ブロック、または必須にするポリシーを作成します。

次の手順

任意のOktaグループメンバーシップ情報を認可に構成する

任意のRADIUSサービスのアドレスフィルタリングを構成する