Oktaで行うシングルサインオン(SSO)について

Oktaと言えば、世界トップクラスのIDaaSとして有名ですね。日本ではOneLoginの方が有名ですが。

現在、Google Workspace(旧G Suite)のアカウントについては、サテライトオフィスのSSOを利用してます。
サテライトオフィスのSSO環境からOktaに変更しようとしてますが、果たしてOktaでも同様な制御を行えるか試してみました。

現環境

・社内ネットワークからは認証のみで利用可能
・社外からはPCはアクセスを許可せず、モバイル端末(iPhoneやAndroid)は利用可能
 モバイル端末はアクセス申請承認後に利用が可能となる

んで、設定

Oktaを調べていると、サインオン時のアクセスポリシーとアプリ毎のアクセスポリシーがあることが分かった。

Security > Networks
許可するネットワークを追加

Security > Authentication > Sign On
Oktaにサインオン時のポリシーを追加

ここで許可するネットワークからのアクセスはMFAなし、それ以外のネットワークではMAFありとかのポリシーを設定しました

 

Applications > アプリ名(例えばG Suite) > Sign On
ここでデバイス単位の制御ポリシーを行います。
許可ネットワークはSecurity > Networksで指定済みとします。

 

優先度が高い順ですと
1.許可されたネットワークからはどのデバイスでも許可
2.許可されてないネットワークからのモバイル端末(iPhoneやAndroid)からのアクセスはMFAを利用し、許可
  ※MFAはOkta Verifyを利用してます。
3.すべてのアクセスを拒否
4.すべてのアクセスを許可(デフォルト設定が残っている。これは修正も削除もできない)

図で表すとこんな感じです。

 

許可されてないとOktaにサインオンしても、アプリがロックされてます

 

サテライトオフィスのSSO環境から同様のアクセス制御をOktaで実装しようとしましたが、サインオン時にデバイスの制御ができないっぽいので、このような形に落ち着きそうです。

「こういった方法があるよ!」ってことがありましたらお教えください!

 

end

情シス人の技術的な感じOkta, SSO

Posted by 情シスの人