はじめに
ごきげんよう、IDチームのわかなです!
今回は「よくあるお問い合わせシリーズ」として、Okta管理コンソールに関するご質問を取り上げます。
お問い合わせ内容
Okta管理コンソールでアクセス自体はできているのに、セッションがすぐ切れたり画面が途中までしかロードされなかったりします。このような場合、どんな原因や対策が考えられるのでしょうか?
IPバインディングとIP除外ゾーンについて
Oktaでは管理者のセッションセキュリティを強化するために「IPバインディング(IP Binding for Admin Console)」と「IP除外ゾーン(IP Exempt Zone)」という2つの機能を提供しています。
IPバインディングとは?
「IP binding for admin console」を有効にすると、管理者のIPアドレスを固定することでセキュリティを強化します。
しかし、セッション中に管理者のIPアドレスが変わると、Oktaは自動的にセッションを切ってサインアウト処理を行います。
これにより、セッションがすぐ切れたり画面が途中までしかロードされなかったりする事例が多くなります。
セッションが切れやすい主なケース
- VPNやCASBの利用でIPアドレスが頻繁に変わる
- モバイル回線やWi-Fiの切り替え
- プロキシやロードバランサ経由でのアクセスでIPが変動
このような状況では、IPアドレスが変わるたびにOktaのセッションが切れてしまうことがあります。
IPバインディングの設定の確認と見直し方法
Okta管理コンソールの「Security」 > 「General」 > 「Organization Security」画面で「IP binding for admin console」の設定状況を確認できます。
キャプチャでは「Not Enabled(有効になっていません)」となっているため、IPバインディングによるセッション切れは発生しません。
もし「Enabled」になっている場合は、上記のようなIP変動時にセッション切れが発生します。
IP除外ゾーン(IP Exempt Zone)の活用について
IP binding for admin consoleをオフにすることはセキュリティ上のデメリットがあるため、代替策として「IP除外ゾーン(DefaultExemptIpZone)」機能を利用する方法があります。
この機能では、特定のゲートウェイIPを除外ゾーンに登録することで、Okta ThreatInsightやIPチェーンのブロックリスト評価をバイパスし、該当IPからのアクセスを常に許可します。
これにより、IP変動によるセッション切れを緩和できる場合があります。
ただし、グローバルセッションポリシーや認証ポリシーは引き続き適用されるため、アクセス制御が完全に解除されるわけではありません。
IP除外ゾーンの設定方法
- Okta管理コンソールの「Security」 > 「Networks」 > 「Add Zone」から、NetskopeなどのIP範囲を含むネットワークゾーンを作成します。
- 作成したネットワークゾーンを、Admin Consoleの認証ポリシーやセッションポリシーの条件に設定し、「特定のIPゾーンからのアクセスはセッションタイムアウトを緩和」などの制御を行います。
IPバインディングとIP除外ゾーンのメリット・デメリット
| IPバインディング (IP Binding for Admin Console) | IP除外ゾーン (IP Exempt Zone) | |
|---|---|---|
| メリット | ・不正なIPからのアクセスを防止し、セキュリティ強化 ・管理者セッションの安全性向上 | ・信頼できる固定IPからのセッション切れを緩和 ・セキュリティ評価の一部を回避し、スムーズなアクセスが可能 ・管理コンソールのシステムログから簡単に設定可能 |
| デメリット | ・IPアドレスが頻繁に変わる環境では正当な管理者のセッションも切断され、業務効率低下のリスク ・VPNやプロキシ、Netskopeなど動的IP環境で運用が難しい | ・登録IPはThreatInsightの評価対象外となるため、悪用された場合の検知が遅れるリスク ・IP評価の一部をスキップするため、一定のセキュリティリスクが残る |
まとめ
それぞれの特徴を理解し、業務要件とセキュリティバランスを考慮して設定を見直しましょう!
