Duo Securityを用いたSingle Sign-On時に送信元IPアドレス制限の設定方法を整理します。

• 概要
• 設定方法
• 検証時の情報
• 関連ドキュメント

概要

Duo Securityでは送信元のネットワークによって2FAの要否を指定する都合で、下記の3つの設定観点が生まれます。

• 2FAを要求しない (Without 2FA)ネットワーク

• 2FAを要求する (Require 2FA)ネットワーク

• それ以外のネットワークを拒否

送信元アドレス制限を実現するには、2FAを要求しない or 2FAを要求するネットワークを指定した上で、それ以外のネットワークを拒否する設定を行います。

2FAの要否の違いがあるため、単に送信元アドレス制限における許可対象ネットワークの設定項目があるわけではない点に注意が必要です。

設定方法

Application全体に適用されるGlobal Policyと、制御対象を選択可能なCustom Policyでの適用方法があるため用途に合ったPolicyを選んでください。 一時的なテストの場合は、Custom Policyで試すのが影響範囲が小さいので無難です。

• メニュー: Policies の画面に移動して Global Policy もしくは Custom Policy のPolicy設定の編集を行います。

  

• Edit Policy 画面の左ペインより Authorized networks セクション内の設定を行います。

  設定項目	設定値
  Allow access without 2FA from these networks	2FAを要求しない (Without 2FA)ネットワーク アドレスを指定します。
  Require 2FA for these networks	2FAを要求する (Require 2FA)ネットワーク アドレスを指定します。
  Deny access from all other networks.	チェックを入れて有効化します。

  Deny access from all other networks. を有効化すると、2FAの要否の違いがあるものの Allow access without 2FA from these networks と Require 2FA for these networks が実質的に許可対象となるネットワーク アドレスの指定として機能します。

  

  Global Policyでは Edit Policy 画面の設定保存タイミングで、全てのApplicationに対して設定が反映されます。

• Custom Policyの場合は制御対象のApplicationに適用します。

  

• 設定が完了したら許可対象と拒否対象のネットワーク アドレスからアクセスを試みて意図した動作になるか確認します。
  筆者はDuo Centralに適用して試しましたが、拒否対象からのアクセスの場合は下記のようなメッセージが表示されてブロックされました。

  Network not allowed
  Your organization requires you to be on an authorized network to login.
  

  

検証時の情報

D264 の環境で検証を行いました。

関連ドキュメント

Duo Administration - Policy & Control | Duo Security
https://duo.com/docs/policy#networks-policy-settings