Configurer la protection de session

Configurez la protection de session pour définir quels changements de contexte entraînent une réévaluation de vos politiques de connexion à l'app et à la session globale.

Pensez aux actions de routine que vos utilisateurs effectuent après leur authentification : changer de VPN, tester avec différents appareils ou changer de réseau Wi-Fi lorsqu'ils se déplacent. Dans quels contextes sont-ils considérés comme présentant un risque ? S'ils enfreignent vos politiques, quel niveau de remédiation est le plus efficace ? La protection de session fait partie intégrante de l'ITP, car elle contrôle le nombre de violations que vous constatez et le niveau de friction de connexion rencontré par vos utilisateurs.

Avant de commencer

• Vous devez faire partie des super administrateurs ou des administrateurs de l'org pour configurer cette fonctionnalité. Voir Rôles d'administrateur pour l'ITP.

• Créez les zones du réseau que vous souhaitez inclure dans la politique. Consultez Gérer les zones du réseau.

• Créez des Workflows pour ITP si vous souhaitez entreprendre une action de remédiation personnalisée. Seuls les workflow délégués sont pris en charge. Voir Créer des flux délégués pour les actions de politique.

Définir l'état

1. Dans l'Admin Console, accédez à SécuritéProtection contre les menaces d'identité (ITP).

2. Cliquez sur l'onglet Détection et réponse.

3. Accédez à Protection de session.

4. Dans la section État, sélectionnez l'une des options suivantes :

   • Surveillance : les politiques sont réévaluées et les violations de session sont enregistrées dans le System Log. Aucune action de remédiation n'est appliquée.

   • Appliqué : les politiques sont réévaluées, les violations de session sont enregistrées dans le System Log et les actions de remédiation sont appliquées.

Configurer la détection de violation de session

Ces paramètres déterminent le moment où les réévaluations seront déclenchées.

1. Dans la section Détection de violation de session, cliquez sur Modifier.

2. Choisissez votre Niveau de risque.

   • Élevé : seules les sessions à risque élevé déclenchent une réévaluation de la politique. Cette méthode crée le moins de friction pour les utilisateurs, mais offre moins de sécurité. Si vous n'avez pas besoin de réévaluer vos politiques à chaque changement d'adresse IP ou d'appareil, ce niveau peut vous aider à les filtrer.

   • Moyenne et supérieure : les sessions déterminées comme présentant un risque moyen ou plus élevé déclenchent une réévaluation de la politique. Ce niveau offre le meilleur équilibre entre la sécurité et la friction des utilisateurs.

   • Faible et supérieure : par défaut. Toutes les sessions déclenchent une réévaluation de la politique. Il s'agit du niveau de risque le plus sécurisé, car aucune modification n'est filtrée, mais il augmente l'intervention de l'administrateur et les frictions pour les utilisateurs.

3. Dans le menu La nouvelle adresse IP de l'utilisateur est, choisissez les zones réseau qui initient les évaluations de politiques.

   • N'importe quelle adresse IP : réévaluer les politiques pour toutes les adresses IP. Il s'agit du paramètre le plus sécurisé.

   • Dans n'importe laquelle des zones suivantes : réévaluer les politiques uniquement si la nouvelle adresse IP se trouve dans des zones choisies par l'administrateur (par exemple, EDZ/anonymiseurs/zones à risque). Ce paramètre est utile pour les orgs qui peuvent identifier en toute confiance toutes les zones à risque.

   • PAS dans l'une des zones suivantes : réévaluer les politiques pour chaque IP, sauf pour celles des zones choisies par administrateur(par exemple, pour exclure les H/VPN exemptés). DefaultExemptIPZone et les proxys de confiance configurés sont inclus ici par défaut.

Configurer les paramètres d'application

Ces paramètres contrôlent ce qui se produit lorsqu'une violation de session est enregistrée.

1. Dans la section Paramètres d'application, vérifiez les Actions héritées de vos politiques de connexion à l'app et de session globale. Ces actions sont appliquées chaque fois que la politique est définie sur Appliquéet sont appliquées aux utilisateurs que vous avez spécifiés dans ces politiques.

   • MFA si possible : L'utilisateur qui se trouve sur les pages Okta est invité à se réauthentifier si les politiques de session globale ou la politique de connexion de l'application à laquelle il essaie d'accéder exige une MFA. S'ils fournissent la MFA appropriée, aucune violation de session n'est enregistrée.

   • Déconnexion d'Okta : les utilisateurs sont déconnectés de leur session Okta si votre politique de session globale entraîne une action DENY, ou s'ils ne fournissent pas la MFA appropriée. Les sessions de l'application peuvent ne pas être affectées.

2. Pour ajouter une autre étape de remédiation, sélectionnez Exécuter une action supplémentaire, puis choisissez l'une des options suivantes.

   • Déconnexion des apps : Si la détection enfreint une politique de connexion de l'application et que l'application prend en charge Universal Logout, les utilisateurs sont déconnectés de l'application. Les utilisateurs peuvent être déconnectés des applications associées en même temps s'il y a une violation simultanée des politiques de session globale.

   • Exécuter un workflow : Okta effectue une remédiation personnalisée en fonction de votre workflow délégué.

3. Dans la section Groupes affectés, sélectionnez les groupes auxquels votre action supplémentaire (Déconnexion des apps ou Exécuter un workflow) s'applique. Souvenez-vous que les utilisateurs qui ne font pas partie de ces groupes peuvent toujours être affectés par les actions MFA si possible et déconnexion d'Okta dans vos politiques de session globale et de connexion aux applications.

4. Cliquez sur Enregistrer.

Rubriques connexes

Protection de session

Rapport de protection de session