Signalement de l'IP du client

Si nécessaire, vous pouvez configurer Okta de manière à appliquer, restreindre ou fournir différents niveaux d'accès en fonction de l'adresse IP, de la zone réseau ou de la géolocalisation des utilisateurs qui accèdent à votre système compatible avec RADIUS.

Après avoir terminé la procédure suivante pour activer la résolution client-ip, vous pouvez définir des zones de réseau en fonction de l'emplacement ou de l'adresse IP. Vous pouvez ensuite les utiliser dans les politiques d'authentification pour fournir un accès, appliquer la MFA ou bloquer l'accès. Pour obtenir plus d'informations, consultez Zones d'IP.

Pour configurer des zones de réseau dans votre locataire Okta :

  1. Pour configurer une zone :

    1. Dans l'Admin Console, accédez à SécuritéRéseaux.

      Choisissez Ajouter une ZoneZone d'IP.
    2. Saisissez un nom.
    3. Dans le champ des adresses IP de passerelle, indiquez la plage d'adresses IP avec laquelle vos utilisateurs s'authentifieront à vos systèmes compatibles avec RADIUS (leurs IP de client).

    4. Dans le champ des adresses IP du proxy, indiquez l'adresse IP publique du serveur de l'agent RADIUS qui transmettra les requêtes RADIUS par proxy.

      Pour utiliser la fonctionnalité de géolocalisation, créez une zone de réseau qui précise uniquement les IP du proxy.

    5. Pour plus de détails concernant la configuration des zones d'IP, consultez Réseau.
  2. Trouvez une application pour laquelle vous souhaitez activer cette fonctionnalité à partir de la page Applications de l'Admin Console. Sélectionnez l'application pour ouvrir sa page de configuration.
  3. Accédez à l'onglet Single-Sign On .
  4. Dans la section des Paramètres RADIUS avancés, cliquez sur Modifier.
  5. Sélectionnez Signaler l'IP du client.
  6. Choisissez l'attribut RADIUS que votre système compatible avec RADIUS utilise pour transmettre l'adresse client-IP.
    • Celles-ci peuvent varier d'un fournisseur à l'autre. Si vous ne savez pas quel attribut choisir, essayez d'identifier ces informations avec les informations techniques fournies par votre fournisseur ou contactez son équipe technique.
    • L'attribut le plus couramment utilisé pour cette information est 31 Calling Station ID. En cas de doute, vous pouvez commencer par cette section.

    • Vous pouvez également utiliser le tableau ci-dessous. Il répertorie les attributs utilisés par certains fournisseurs courants.

      Attributs RADIUS habituels utilisés pour les fournisseurs courants d'IP de client
      CiscoID de la station appelante (attribut 31)
      JuniperID de la station appelante (attribut 31)
      Citrix NetscalerID de la station appelante (attribut 31)
      F5ID de la station appelante (attribut 31)
      Palo Alto Networks26 spécifique au fournisseur : "PAN Vendor ID"
  7. Dans la section Politique d'authentification au bas de la page, cliquez sur Ajouter une règle.
  8. Créez des politiques qui autorisent, bloquent ou exigent la MFA en fonction des zones réseau que vous créez à l'étape 1.