Zones dynamiques améliorées

Les zones dynamiques améliorées définissent les catégories de service IP, les emplacements et les numéros de système autonome (NSA) bloqués ou autorisés dans une zone. Les catégories de service IP comprennent les proxys, les VPN et les anonymiseurs.

Des zones dynamiques améliorées peuvent être utiles dans les cas d'utilisation suivants.

• Configuration d'une zone dynamique améliorée en tant que liste de refus, dans laquelle tous ses types de catégorie de service IP, d'emplacements et de NSA sont bloqués avant l'authentification. Bloquer le trafic avant l'authentification empêche les attaques d'accéder à vos pages de connexion et d'inscription Okta.

• Configuration d'une zone dynamique améliorée à utiliser dans une politique. Lorsqu'elle est utilisée dans une politique, la zone dynamique améliorée définit les conditions requises pour que les utilisateurs puissent se connecter.

Okta fournit également une ZoneDynamiqueAmélioréeParDéfaut qui inclut tous les proxy d'anonymisation. Elle est inactive par défaut. Vous devez donc l'activer pour commencer à bloquer ces proxys. Vous ne pouvez pas supprimer, renommer ou ajouter des emplacements ni modifier cette zone.

Catégorie de service IP

Une catégorie de service IP est une classification en fonction de la façon dont l'IP est utilisée. Les catégories de service IP masquent la source d'une requête et peuvent inclure les VPN, les proxys, les anonymiseurs et Tor. Voir Catégories de services IP pris en charge pour obtenir la liste complète.

Emplacement

Les emplacements vous permettent d'inclure ou d'exclure des adresses IP d'un pays (par exemple, les États-Unis) ou d'une région spécifique dans un pays (par exemple, la Californie, les États-Unis). Chaque emplacement (pays ou un pays et une région) apparaît sur une ligne distincte dans le journal système.

• Si vous n'incluez pas de région, l'ensemble du pays est considéré comme appartenant à la zone dynamique améliorée.

• Une zone dynamique améliorée unique ne peut pas inclure deux emplacements dont l'un serait déjà compris dans l'autre (par ex., États-Unis et Californie, États-Unis).

• Si vous ne définissez pas d'emplacement, tous les emplacements sont considérés comme appartenant à la zone dynamique améliorée.

Vérifiez les considérations supplémentaires relatives à l'emplacement :

• Les continents ne sont pas utilisés pour définir des régions.

• Pour inclure tous les pays de la région Europe (UE) ou Asie/Pacifique (AP), vous devez sélectionnez chaque pays de manière individuelle.

• Si vous choisissez l'UE ou l'AP et ne spécifiez pas de pays individuels, le fournisseur de géolocalisation renvoie uniquement les requêtes provenant de pays qui n'ont pas de code de pays désigné. Utilisés seuls, les codes EU et AP sont traités comme des codes génériques pour les régions non spécifiées.

• En Inde, le standard ISO universel pour les codes région et pays a été modifiée. La mise à jour a généré des écarts entre les nouveaux codes et les codes qui sont affichés dans Okta. Pour prévenir tout problème, modifiez les zones dynamiques améliorées concernées.

Numéros de système autonome

Les NSA sont utilisés pour identifier de façon unique chaque réseau sur Internet. Les fournisseurs de services Internet (ISP) peuvent soumettre leur candidature pour qu'un ou plusieurs NSA leur soient affectés. Bien qu'il soit possible de modifier le nom d'un ISP, le NSA qui lui est affecté est réservé et immuable.

Vous pouvez inclure un ou plusieurs NSA dans une zone dynamique améliorée. Étant donné que le NSA représente un réseau entier d'adresses IP, spécifier un NSA constitue une solution efficace à la saisie de toute une liste d'adresses IP. Si vous n'en définissez pas au moins un, tous les NSA sont considérés comme appartenant à la zone dynamique améliorée.

Les outils de recherche de NSA en ligne peuvent vous aider à trouver le NSA pour une adresse IP donnée (par exemple, consultez DNSChecker).

Évaluation de la zone dynamique améliorée

Okta vérifie si la configuration de la zone dynamique améliorée correspond à l'emplacement, aux catégories de service IP et au NSA de l'IP à l'origine de la demande. Si la chaîne d'IP de la requête contient plus d'une adresse IP, Okta compare la chaîne à toutes les IP de proxy définies dans toutes les zones d'IP pour cette org.

• Si l'adresse IP à droite de la chaîne d'IP n'est pas définie comme un proxy, elle est marquée comme étant l'IP du client.
• Si l'adresse IP à droite de la chaîne d'IP est une IP de proxy, l'adresse IP sur sa gauche est examinée. Ce processus se répète jusqu'à ce qu'une adresse IP autre qu'un proxy soit découverte. Cette IP est marquée comme étant l'IP du client.
• Une fois l'IP du client déterminée, la géolocalisation, la catégorie de service IP et le NSA pour cette IP sont résolus. Ils sont ensuite comparés à la géolocalisation, à la catégorie de service IP et au NSA configurés pour cette zone. Si les valeurs correspondent, la requête provient de cette zone.

Chaîne d'IP	Tous les proxys définis pour l'organisation	IP du client à l'origine de la requête
1.1.1.1	Vide	1.1.1.1
1.1.1.1	1.1.1.1	1.1.1.1
1.1.1.1	2.2.2.2	1.1.1.1
1.1.1.1, 2.2.2.2	Vide	2.2.2.2
1.1.1.1, 2.2.2.2	2.2.2.2	1.1.1.1
1.1.1.1, 2.2.2.2	3.3.3.3	2.2.2.2
1.1.1.1, 2.2.2.2	1.1.1.1	2.2.2.2
1.1.1.1, 2.2.2.2, 3.3.3.3	3.3.3.3, 2.2.2.2	1.1.1.1
1.1.1.1, 2.2.2.2, 3.3.3.3	3.3.3.3	2.2.2.2
1.1.1.1, 2.2.2.2, 3.3.3.3, 4.4.4.4	4.4.4.4	3.3.3.3

Rubriques connexes

Créer une zone dynamique améliorée

Zones dynamiques