クライアントIPレポート

必要な場合、RADIUS対応システムにアクセスするユーザーのIPアドレス、ネットワークゾーン、またはジオロケーションに応じて、異なるレベルのアクセスを適用、制限、または提供するようにOktaを構成できます。

次の手順を完了してクライアントIPの解決を有効にすると、場所またはIPアドレスによってネットワークゾーンを定義できます。その後、サインオンポリシーでそれらのネットワークゾーンを使用してアクセスを提供したり、MFAを強制したり、アクセスをブロックしたりできます。詳細については、「IPゾーン」を参照してください。

Oktaテナントでネットワークゾーンを構成するには:

  1. ゾーンを設定するには:
    1. Admin Console[Security(セキュリティ)][Networks(ネットワーク)]に移動します。[Add Zone(ゾーンを追加)][IP Zone(IPゾーン)]を選択します。
    2. 名前を指定します。
    3. [Gateway IP(ゲートウェイIP)]フィールドで、ユーザーがRADIUS対応システム(クライアントIP)で認証するIP範囲を指定します。

    4. [Proxy IP(プロキシーIP)]フィールドで、各RADIUSリクエストをプロキシするRADIUSエージェントサーバーのIPアドレスを指定します。

      ジオロケーション機能を使用するには、プロキシーIPのみを指定するネットワークゾーンを作成します。

    5. IPゾーンの設定の詳細については、「ネットワーク」を参照してください。
  2. Admin Console[Applications(アプリケーション)]ページで、この機能を有効にしたいアプリケーションを見つけます。アプリを選択してアプリの構成ページを開きます。
  3. [Single-Sign On(シングルサインオン)]タブに移動します。
  4. [Advanced RADIUS(高度なRADIUS)]セクションで[Edit(編集)]をクリックします。
  5. [Report Client IP(クライアントIPをレポート)]を選択します。
  6. RADIUS対応システムがクライアントIPアドレスを渡すために使用するRADIUS属性を選択します。
    • これはベンダーによって異なる可能性があります。どの属性を選択すればよいかわからない場合は、ベンダーの技術的な説明からこの情報を特定するか、技術チームにお問い合わせください。
    • この情報に使用される最も一般的な属性は31 Calling Station IDです。確信がない場合は最初にこの属性を選択することをおすすめします。

    • また、以下の表で、主要ベンダーで使用される属性を参照することもできます。

      クライアントIPの主要ベンダーで使用される一般的なRADIUS属性
      Cisco31 Calling Station ID
      Juniper31 Calling Station ID
      Citrix Netscaler31 Calling Station ID
      F531 Calling Station ID
      Palo Alto Networks26 Vendor Specific:「PAN Vendor ID」
  7. ページ下部の[サインオンポリシー]セクションの[Add Rule(ルールを追加)]をクリックします。
  8. 手順1で作成したネットワークゾーンに基づいてMFAを許可、ブロック、または必須にするポリシーを作成します。