Zones dynamiques
Utilisez les zones dynamiques pour définir les périmètres réseau en fonction de l'emplacement, du type d'adresse IP et du numéro de système autonome (NSA).
Emplacement
Les emplacements vous permettent d'inclure ou d'exclure des adresses IP d'un pays (par exemple, les États-Unis) ou d'une région spécifique dans un pays (par exemple, la Californie, les États-Unis). Chaque emplacement (pays ou un pays et une région) apparaît sur une ligne distincte dans le journal système.
-
Si vous n'incluez pas de région, l'ensemble du pays est considéré comme appartenant à la zone dynamique améliorée.
-
Une zone dynamique améliorée unique ne peut pas inclure deux emplacements dont l'un serait déjà compris dans l'autre (par ex., États-Unis et Californie, États-Unis).
-
Si vous ne définissez pas d'emplacement, tous les emplacements sont considérés comme appartenant à la zone dynamique améliorée.
Vérifiez les considérations supplémentaires relatives à l'emplacement :
-
Les continents ne sont pas utilisés pour définir des régions.
-
Pour inclure tous les pays de la région Europe (UE) ou Asie/Pacifique (AP), vous devez sélectionnez chaque pays de manière individuelle.
-
Si vous choisissez l'UE ou l'AP et ne spécifiez pas de pays individuels, le fournisseur de géolocalisation renvoie uniquement les requêtes provenant de pays qui n'ont pas de code de pays désigné. Utilisés seuls, les codes EU et AP sont traités comme des codes génériques pour les régions non spécifiées.
-
En Inde, le standard ISO universel pour les codes région et pays a été modifiée. La mise à jour a généré des écarts entre les nouveaux codes et les codes qui sont affichés dans Okta. Pour prévenir tout problème, modifiez les zones dynamiques concernées.
Les emplacements sont déterminés en fonction de l'adresse IP de la requête, à l'aide du fournisseur de géolocalisation MaxMind. Pour vous renseigner à propos de problèmes relatifs à la précision des emplacements ou de plus amples informations sur la façon dont les codes pays et région sont utilisés, consultez MaxMind et Codes hérités pour la géolocalisation des IP.
Type d'adresse IP
Le type d'adresse IP est basé sur l'IP de la requête. Il détermine si la requête provient d'un proxy. Définissez un type d'IP pour une zone dynamique.
-
Tous : tous les types d'IP sont considérés comme étant à l'intérieur de la zone dynamique.
-
N'importe quel proxy : les requêtes issues d'un proxy anonymiseur, quel qu'il soit, y compris Tor et non Tor, sont considérées comme provenant de la zone dynamique.
-
Proxy de navigation anonyme Tor : les requêtes issues d'un proxy anonymiseur Tor sont considérées comme provenant de la zone dynamique.
-
Autre proxy de navigation anonyme : les requêtes issues d'un proxy anonymiseur non Tor sont considérées comme provenant de la zone dynamique.
Pour tout problème lié à la précision du type d'IP, contactez votre représentant Okta.
Numéro de système autonome
Les NSA sont utilisés pour identifier de façon unique chaque réseau sur Internet. Les fournisseurs de services Internet (ISP) peuvent soumettre leur candidature pour qu'un ou plusieurs NSA leur soient affectés. Bien qu'il soit possible de modifier le nom d'un ISP, le NSA qui lui est affecté est réservé et immuable.
Vous pouvez inclure un ou plusieurs NSA dans une zone dynamique améliorée. Étant donné que le NSA représente un réseau entier d'adresses IP, spécifier un NSA constitue une solution efficace à la saisie de toute une liste d'adresses IP. Si vous n'en définissez pas au moins un, tous les NSA sont considérés comme appartenant à la zone dynamique améliorée.
Les outils de recherche de NSA en ligne peuvent vous aider à trouver le NSA pour une adresse IP donnée (par exemple, consultez DNSChecker).
Évaluation de la zone dynamique
Okta vérifie si la configuration de la zone dynamique correspond à l'emplacement, au type de proxy et au NSA de l'IP à l'origine de la requête.
- Okta compare l'emplacement et le type de proxy avec les conditions ASN afin de déterminer s'il existe une correspondance.
- Si la chaîne d'IP de la requête contient une adresse IP, Okta résout l'emplacement, le type de proxy ou le NSA. Okta compare ces valeurs à la configuration de la zone dynamique pour déterminer si la requête provient de cette zone dynamique.
- Si la chaîne d'IP de la requête contient plus d'une adresse IP, Okta tente d'identifier l'IP du client à l'origine de la requête.
Les conditions d'une zone dynamique sont combinées à l'aide de la logique ET. Par exemple, considérons une zone d'IP avec ces conditions :
- Type d'IP : n'importe quelle zone
- Emplacement : Nouvelle-Zélande
- NSA du FAI : 15169
Cette zone bloque uniquement les requêtes qui combinent un proxy de Nouvelle-Zélande et le NSA de FAI 15169. Pour bloquer les requêtes provenant d'un proxy ou de Nouvelle-Zélande, vous devez créer deux zones distinctes (une pour chaque condition).
Évaluation de la zone dynamique
La chaîne d'IP de la requête est évaluée et comparée à toutes les IP de proxy définies dans toutes les zones d'IP pour cette org.
- Si l'adresse IP à droite de la chaîne d'IP n'est pas définie comme un proxy, elle est marquée comme étant l'IP du client.
- Si l'adresse IP à droite de la chaîne d'IP est une IP de proxy, l'adresse IP sur sa gauche est examinée. Ce processus se répète jusqu'à ce qu'une adresse IP autre qu'un proxy soit découverte. Cette IP est marquée comme étant l'IP du client.
- Une fois l'IP du client déterminée, la géolocalisation, le type de proxy et le NSA correspondants sont résolus. Ils sont ensuite comparés à la géolocalisation, au type de proxy et au NSA configurés pour cette zone. Si les valeurs correspondent, la requête provient de cette zone.
| Chaîne d'IP | Tous les proxys définis pour l'organisation | IP du client à l'origine de la requête |
| 1.1.1.1 | Vide | 1.1.1.1 |
| 1.1.1.1 | 1.1.1.1 | 1.1.1.1 |
| 1.1.1.1 | 2.2.2.2 | 1.1.1.1 |
| 1.1.1.1, 2.2.2.2 | Vide | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2 | 2.2.2.2 | 1.1.1.1 |
| 1.1.1.1, 2.2.2.2 | 3.3.3.3 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2 | 1.1.1.1 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 3.3.3.3, 2.2.2.2 | 1.1.1.1 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 3.3.3.3 | 2.2.2.2 |
| 1.1.1.1, 2.2.2.2, 3.3.3.3 | 4.4.4.4 | 3.3.3.3 |