はじめに
ごきげんよう、IDチームのわかなです!
今回は「よくあるお問い合わせシリーズ」として、Okta管理コンソールに関するご質問を取り上げます。
お問い合わせ内容
Okta管理コンソールでアクセス自体はできているのに、セッションがすぐ切れたり画面が途中までしかロードされなかったりします。このような場合、どんな原因や対策が考えられるのでしょうか?
IPバインディングとは?
「IP binding for admin console」を有効にすると、管理者がサインインした時点のIPアドレスにセッションが紐づきます。
その後、セッション中に管理者のIPアドレスが変わると、Oktaは自動的にサインアウト処理を行います。
セッションが切れやすい主なケース
- VPN利用でIPアドレスが頻繁に変わる
- モバイル回線やWi-Fiの切り替え
- プロキシやロードバランサ経由でのアクセスでIPが変動
このような状況では、IPアドレスが変わるたびにOktaのセッションが切れてしまうことがあります。
Netskopeなど他製品の例
たとえばNetskopeを利用している場合、IPアドレスが動的に切り替わることがあり、そのたびにOkta側でセッションが無効化されることがあります。
IPアドレスの変動は、セキュリティ上はセッションハイジャックや不正利用の検知にも活用されていますが、運用上は注意が必要です。
Netskopeで「Dedicated Egress IP Address」などの機能を使い、IPを固定化することで、こうした問題を回避することもできます。
設定の確認と見直し方法
Okta管理コンソールの「Security」 > 「General」 > 「Organization Security」画面で「IP binding for admin console」の設定状況を確認できます。
キャプチャでは「Not Enabled(有効になっていません)」となっているため、IPバインディングによるセッション切れは発生しません。
もし「Enabled」になっている場合は、上記のようなIP変動時にセッション切れが発生します。
まとめ
- 「IP binding for admin console」を有効にすると、IPアドレスが変わるたびにセッションが切れる
- VPNやプロキシ、Netskopeなどの利用時は特に注意
業務要件とセキュリティバランスを考えて設定を見直しましょう!
