À propos de la détection du comportement
La détection du comportement vous permet de paramétrer dans quel(s) cas les utilisateurs doivent se soumettre à une deuxième méthode d'authentification.
Pour utiliser la détection du comportement, vous devez spécifier les informations suivantes :
- Le type de comportement à surveiller ;
- Les détails relatifs à la granularité, à la permission et au nombre d'authentifications précédentes réussies dont il faut tenir compte lors de l'évaluation du comportement de l'utilisateur.
Vous n'avez pas à spécifier les actions à prendre dans le cadre de la définition des conditions du comportement à surveiller. Vous devez les indiquer séparément, au moment où vous ajoutez les conditions de comportement à des politiques d'authentification. Ajoutez des conditions de comportement à une politique d'authentification pour que la détection du comportement prenne effet.
Vous ne pouvez pas refuser un accès aux utilisateurs en fonction de conditions de comportement. Cette limite permet d'empêcher que des utilisateurs légitimes ne se retrouvent avec un compte verrouillé. L'accès ne leur est refusé qu'en cas d'échec de l'authentification multifacteur.
Types de comportement
Vous pouvez configurer la détection du comportement en commençant par sélectionner les types de comportement que vous souhaitez surveiller. Vous pouvez ensuite donner un nom à la condition de comportement et spécifier les détails de la condition à évaluer lorsque les utilisateurs se connectent.
Les types de comportement qu'il est possible de surveiller entrent dans les catégories générales suivantes :
- Emplacement
- Adresse IP
- Appareil
- Vitesse
- ASN
Conditions de comportement
Chaque type de comportement peut posséder plusieurs conditions de comportement. Vous pouvez surveiller l'activité de connexion en fonction des conditions suivantes :
- Connexion depuis un nouveau pays, un nouvel État ou une nouvelle ville
- Connexion depuis un nouvel emplacement situé au-delà d'une distance spécifiée par rapport aux dernières tentatives de connexion réussies
- Connexion depuis un nouvel appareil
- Connexion depuis une nouvelle adresse IP
- Connexion depuis un emplacement considérée comme impossible en raison d'une distance trop importante entre les deux tentatives de connexion consécutives
- Connexion depuis un nouveau réseau
- Connexion depuis un nouveau numéro de système autonome
Pour aller plus loin avec cet exemple comprenant plusieurs conditions de comportement, imaginons que vous ayez deux conditions de comportement liées à l'emplacement :
- La condition liée au pays surveille le pays depuis lequel est issue la tentative de connexion.
- La condition liée à la ville surveille la ville depuis laquelle est issue la tentative de connexion.
Vous pouvez ajouter ces deux comportements à une politique d'authentification pour exiger une authentification multifacteur la première fois qu'un changement de pays est détecté, mais autoriser l'accès sans deuxième facteur d'authentification si un changement de ville est détecté.
Évaluation des conditions de comportement
Le tableau suivant fournit des informations supplémentaires sur les types de détection du comportement que vous pouvez configurer.
|
Type de comportement |
Type de condition |
Description |
Évaluation par défaut et personnalisation |
|---|---|---|---|
|
Emplacement |
Nouvelle ville |
Une ville depuis laquelle source aucune des tentatives de connexion réussies précédentes n'a été enregistrée. |
Comparée aux 20 dernières tentatives de connexion réussies. Vous pouvez modifier le nombre de tentatives de connexion réussies à comparer. |
| Nouvel État | Un État ou une région depuis laquelle source aucune des tentatives de connexion réussies précédentes n'a été enregistrée. | Comparé(e) aux 15 dernières tentatives de connexion réussies. Vous pouvez modifier le nombre de connexions réussies à comparer. | |
| Nouveau pays | Un pays depuis laquelle source aucune des tentatives de connexion réussies précédentes n'a été enregistrée. | Comparé aux 10 dernières tentatives de connexion réussies. Vous pouvez modifier le nombre de connexions réussies à comparer. | |
| Nouvel emplacement | Un emplacement situé en dehors d'un rayon spécifié, depuis laquelle source aucune des tentatives de connexion réussies précédentes n'a été enregistrée. | Comparé aux 20 dernières tentatives de connexion réussies pour les emplacements situés au-delà d'un rayon de 20 kilomètres des emplacements depuis lesquels de précédentes tentatives de connexion réussies ont été enregistrées. Vous pouvez modifier le nombre de tentatives de connexion réussies à comparer, spécifier la distance du rayon, et définir l'emplacement par sa longitude et sa latitude. | |
| Appareil | Nouvel appareil |
Un appareil depuis laquelle source aucune des tentatives de connexion réussies précédentes n'a été enregistrée. Un appareil est basé sur le client. Changer de navigateur est considéré comme utiliser un nouvel appareil. Une fonctionnalité de détection du comportement d'un nouvel appareil améliorée fournit un meilleur procédé pour détecter de nouveaux appareils pour les navigateurs qui stockent les cookies HTTP. La détection du comportement d'un appareil est basée sur des données transmises par un navigateur Web et une application de confiance. Pour en savoir plus sur cette fonctionnalité, consultez Détection du comportement d'un nouvel appareil améliorée. |
Comparé aux 20 dernières tentatives de connexion réussies. Vous pouvez modifier le nombre de connexions réussies à comparer. |
| IP |
Nouvelle adresse IP |
Une adresse IP depuis laquelle source aucune des tentatives de connexion réussies précédentes n'a été enregistrée. |
Comparée aux 50 dernières tentatives de connexion réussies. Vous pouvez modifier le nombre de connexions réussies à comparer. |
|
Vitesse |
Vitesse |
Une mesure de la vitesse utilisée pour identifier les tentatives de connexion suspectes. La vitesse est évaluée en fonction de la distance et du temps écoulé entre deux tentatives de connexion consécutives d'un utilisateur. |
Comparée à la distance géographique et au temps écoulé entre deux tentatives de connexion consécutives. La valeur par défaut est de 805 km/h. |
|
ASN |
Nouvel ASN |
Un ASN depuis lequel aucune tentative de connexion réussie n'a été enregistrée. |
Comparée aux 50 dernières tentatives de connexion réussies. Vous pouvez modifier le nombre de connexions réussies à comparer. |
Les données d'emplacement sont fournies par un service de géolocalisation tiers. Okta met à jour les données de géolocalisation des IP chaque semaine.
Rubriques liées
Configurer la détection du comportement
Configurer une politique d'authentification Okta
Événements du System Log relatifs à la détection du comportement