Zones d'IP
Les zones d'IP définissent des périmètres réseau autour d'un ensemble d'adresses IP. Les zones d'IP contiennent des passerelles et des proxys de confiance.
-
Une passerelle est une adresse IP par laquelle une requête doit passer pour obtenir un accès. Lorsque vous ajoutez une passerelle à votre zone d'IP, l'adresse IP d'une requête doit correspondre à la passerelle pour être prise en compte dans la zone. Utilisez les passerelles si vous souhaitez exiger des adresses IP correspondant exactement à une zone.
-
Un proxy de confiance est un serveur intermédiaire qui fournit des informations sur l'adresse IP d'un client à l'origine de la requête. Okta ThreatInsight ne bloque pas ce type de proxy. Le journal système n'enregistre pas d'événement user.session.context.change si un utilisateur se déplace vers une adresse IP dans un proxy de confiance. Gardez à l'esprit qu'il vous incombe de désigner des proxys de confiance. Si vous ne faites pas confiance à un proxy, ajoutez-le à votre zone en tant que passerelle.
Zones IP par défaut
Vous pouvez créer vos propres zones d'IP en utilisant des adresses IP individuelles, des plages d'IP ou la notation du routage inter-domaines sans classe (CIDR). Okta fournit également trois zones d'IP par défaut pour gérer des cas d'utilisation spécifiques.
-
La BlockedIpZone bloque tout le trafic provenant des adresses IP ou plages d'adresses IP que vous spécifiez.
-
La LegacyIpZone est principalement réservée à l'authentification à l'aide des agents IWA (Integrated Windows Authentication). Vous pouvez également utiliser cette zone pour les règles de routage d'IdP. Voir Créer une zone du réseau pour IWA et Utiliser des zones dans les règles de routage.
-
La valeur DefaultExemptIpZone pour autoriser le trafic provenant d'IP de passerelle spécifiques, quels que soient les configurations Okta ThreatInsight, les zones du réseau bloquées ou les événements de modification d'IP au sein de Identity Threat Protection with Okta AI. Voir Zone d'exemption IP.
Évaluation de la zone d'IP
Okta utilise la chaîne d'IP pour déterminer si une requête provient de l'intérieur ou de l'extérieur d'une zone d'IP. La chaîne d'IP contient les adresses IP de tous les tronçons réseau entre le point d'émission de la requête et Okta.
-
Si la chaîne d'IP contient une IP unique qui correspond à une passerelle définie, la requête est considérée comme étant à l'intérieur de la zone.
-
Si la chaîne d'IP comporte plusieurs IP, mais que la dernière IP avant Okta correspond à une passerelle définie, la requête est considérée comme étant à l'intérieur de la zone.
-
Si la chaîne d'IP comporte plusieurs IP et que la dernière est un proxy défini, le système vérifie la chaîne en arrière jusqu'à ce qu'il trouve une IP de passerelle correspondante. La requête est alors considérée comme étant à l'intérieur de la zone. Si cinq IP sont vérifiées et qu'aucune passerelle correspondante n'est trouvée, la requête est considérée comme étant à l'extérieur de la zone.
Ce tableau illustre l'évaluation de la chaîne d'IP.
| Chaîne d'IP | Passerelle | Proxy | Évaluation de la requête |
| 1.1.1.1 | 1.1.1.1 | Vide | Dans la zone |
| 1.1.1.1 | 1.1.1.1 | 2.2.2.2 | Dans la zone |
| 1.1.1.1 | Vide | Vide | Hors zone |
| 1.1.1.1 | Vide | 1.1.1.1 | Hors zone |
| 1.1.1.1, 2.2.2.2 | 2.2.2.2 | Vide | Dans la zone |
| 1.1.1.1, 2.2.2.2 | 2.2.2.2 | 3.3.3.3 | Dans la zone |
| 1.1.1.1, 2.2.2.2 | 1.1.1.1 | 2.2.2.2 | Dans la zone |
| 1.1.1.1, 2.2.2.2 | Vide | Vide | Hors zone |
| 1.1.1.1, 2.2.2.2 | Vide | 1.1.1.1 | Hors zone |
| 1.1.1.1, 2.2.2.2 | Vide | 2.2.2.2 | Hors zone |
| 1.1.1.1, 2.2.2.2 | 2.2.2.2 | 1.1.1.1 | Dans la zone |
Le trafic est considéré comme provenant d'une zone de confiance uniquement lorsque l'IP de passerelle et l'IP de proxy proviennent de la même zone.