Duo Securityを用いたSingle Sign-On時に送信元IPアドレス制限の設定方法を整理します。
概要
Duo Securityでは送信元のネットワークによって2FAの要否を指定する都合で、下記の3つの設定観点が生まれます。
2FAを要求しない (Without 2FA)ネットワーク
2FAを要求する (Require 2FA)ネットワーク
それ以外のネットワークを拒否
送信元アドレス制限を実現するには、2FAを要求しない or 2FAを要求するネットワークを指定した上で、それ以外のネットワークを拒否する設定を行います。
2FAの要否の違いがあるため、単に送信元アドレス制限における許可対象ネットワークの設定項目があるわけではない点に注意が必要です。
設定方法
Application全体に適用されるGlobal Policyと、制御対象を選択可能なCustom Policyでの適用方法があるため用途に合ったPolicyを選んでください。 一時的なテストの場合は、Custom Policyで試すのが影響範囲が小さいので無難です。
メニュー:
Policies
の画面に移動してGlobal Policy
もしくはCustom Policy
のPolicy設定の編集を行います。Edit Policy
画面の左ペインよりAuthorized networks
セクション内の設定を行います。設定項目 設定値 Allow access without 2FA from these networks 2FAを要求しない (Without 2FA)ネットワーク アドレスを指定します。 Require 2FA for these networks 2FAを要求する (Require 2FA)ネットワーク アドレスを指定します。 Deny access from all other networks. チェックを入れて有効化します。 Deny access from all other networks.
を有効化すると、2FAの要否の違いがあるもののAllow access without 2FA from these networks
とRequire 2FA for these networks
が実質的に許可対象となるネットワーク アドレスの指定として機能します。Global Policyでは
Edit Policy
画面の設定保存タイミングで、全てのApplicationに対して設定が反映されます。Custom Policyの場合は制御対象のApplicationに適用します。
設定が完了したら許可対象と拒否対象のネットワーク アドレスからアクセスを試みて意図した動作になるか確認します。
筆者はDuo Centralに適用して試しましたが、拒否対象からのアクセスの場合は下記のようなメッセージが表示されてブロックされました。Network not allowed Your organization requires you to be on an authorized network to login.
検証時の情報
D264 の環境で検証を行いました。
関連ドキュメント
Duo Administration - Policy & Control | Duo Security
https://duo.com/docs/policy#networks-policy-settings