Objets de Stratégie de Géo-cinétique

S'applique À : Authentification Multifacteur AuthPoint, AuthPoint Total Identity Security

L'objet de stratégie de géo-cinétique vous permet de créer des objets de stratégie qui comparent l'emplacement actuel de l'utilisateur à l'emplacement de sa dernière authentification valide. AuthPoint refuse automatiquement les authentifications à partir d'un emplacement auquel l'utilisateur n'a pas pu se rendre depuis sa dernière authentification en fonction de la distance et du délai entre les authentifications.

Lorsque vous créez un objet de stratégie de géo-cinétique, vous spécifiez la vitesse de déplacement maximale autorisée.

Cas d'Utilisation

Un attaquant d'un autre pays a obtenu les informations d'identification d'un utilisateur pour se connecter à une ressource protégée par MFA. L'attaquant emploie l'ingénierie sociale ou la technique du push bombing afin que l'utilisateur approuve la notification push. Avec la géo-cinétique, même si l'utilisateur approuve la notification push, AuthPoint refuse l'authentification si l'attaquant se trouve à un emplacement où l'utilisateur n'aurait pas pu se rendre depuis le moment où il s'est authentifié la dernière fois.

Exemple

Vous configurez un objet de stratégie de géo-cinétique qui refuse automatiquement les authentifications si la distance entre deux emplacements d'authentification ne peut pas être parcourue à 600 miles par heure (la vitesse d'un avion).

Un utilisateur s'authentifie et se connecte avec succès à JIRA depuis le siège social de Seattle (États-Unis) à 9h00. Le même utilisateur tente de s'authentifier 30 minutes plus tard depuis Paris (France). AuthPoint refuse automatiquement l'authentification, même si l'utilisateur s'authentifie avec succès avec la MFA, car l'utilisateur ne peut pas voyager de Seattle à Paris en 30 minutes.

Les objets de stratégie de géo-cinétique fonctionnent différemment des autres objets de stratégie car ils s'appliquent une fois l'authentification terminée.

Pour les autres objets de stratégie (limite géographique, planification horaire, emplacements réseau), lorsque vous ajoutez l'objet de stratégie à une stratégie d'authentification, la stratégie s'applique uniquement aux authentifications d'utilisateur correspondant aux conditions de l'authentification et des objets de stratégie. À titre d'exemple, si vous ajoutez un emplacement réseau spécifique à une stratégie, celle-ci ne s'applique qu'aux authentifications des utilisateurs qui en proviennent.

La géo-cinétique n'affecte pas les conditions d'une authentification. Ainsi, lorsque vous ajoutez un objet de stratégie de géo-cinétique à une stratégie d'authentification, vous n'avez pas besoin de créer une seconde stratégie sans l'objet de stratégie de géo-cinétique.

Limitations

Lorsque vous configurez des objets de stratégie de géo-cinétique, prenez en compte ces informations :

  • La géo-cinétique ne s'applique pas à l'authentification RADIUS.
  • Les objets de stratégie de géo-cinétique s'appliquent une fois l'authentification terminée. Si la distance entre l'authentification actuelle et l'authentification valide la plus récente n'a pas pu être parcourue dans le temps écoulé, à la vitesse autorisée, alors l'authentification est refusée même si l'utilisateur a approuvé le push ou a saisi le OTP ou le QR code de vérification correct.
  • La géo-cinétique compare l'emplacement de l'authentification actuelle à l'emplacement de l'authentification réussie la plus récente au cours des dernières 24 heures.
    • Les authentifications précédentes refusées ou non valides ne sont pas prises en compte.
    • S'il n'existe pas d'authentification réussie précédente dans les 24 heures, AuthPoint ignore l'objet de stratégie de géo-cinétique (car 24 heures suffisent pour voyager entre la plupart des emplacements).
  • La géo-cinétique n'est pas appliquée aux ressources de Logon app, RD Web et ADFS si la stratégie d'authentification nécessite uniquement un mot de passe sans MFA). C'est parce qu'AuthPoint valide la géo-cinétique après l'authentification. Dans les scénarios où AuthPoint ne valide pas le mot de passe, aucune demande d'authentification MFA n'est envoyée à AuthPoint.

Pour prendre en charge l'authentification avec l'objet de stratégie de géo-cinétique, vous devez installer les versions suivantes des agents AuthPoint :

  • AuthPoint agent for Windows v2.7.1 ou une version ultérieure
  • AuthPoint agent for RD Web v1.4.2 ou une version ultérieure
  • AuthPoint agent for ADFS v1.2.0 ou une version ultérieure

Pour prendre en charge RD Web, des exigences supplémentaires sont requises pour prendre en charge les authentifications avec des données de localisation. Pour plus d'informations, consultez la section Géo-Cinétique pour RD Web .

Les ressources suivantes ne prennent pas en charge la géo-cinétique :

  • AuthPoint agent for macOS
  • RADIUS

Pour l'authentification RADIUS, les stratégies qui incluent un objet de stratégie de géo-cinétique ne s'appliquent pas car AuthPoint ne peut pas déterminer l'adresse IP de l'utilisateur final ou l'adresse IP d'origine.

Données de Localisation des Objets de Stratégie de Géo-cinétique

Lorsqu'un utilisateur s'authentifie, les données de localisation identifient l'endroit depuis lequel il s'authentifie. Lorsque vous configurez un objet de stratégie de géo-cinétique, vous pouvez opter pour autoriser les données de localisation à faible précision. Les localisations d'utilisateur identifiées avec une faible précision présentent un rayon plus grand. Par exemple, une localisation à haute précision peut être obtenue à 10 mètres maximum de la localisation réelle de l'utilisateur, tandis que les données de localisation à faible précision peuvent porter cette valeur à 1 kilomètre.

Pour une authentification par navigateur Web, lorsque l'utilisateur s'authentifie, le navigateur Web l'invite à partager sa localisation. Si l'utilisateur accepte, le navigateur envoie ses coordonnées géographiques à AuthPoint. AuthPoint utilise ces informations pour valider la géo-cinétique. Il s'agit des données de localisation à haute précision.

Si l'utilisateur n'accepte pas l'invite de partage de sa localisation, celle-ci est basée sur son adresse IP. AuthPoint considère les données de localisation basées sur une adresse IP comme présentant une faible précision.

Les ressources suivantes utilisent les données de localisation du navigateur :

  • Portail IdP
  • SAML
  • RD Web
  • ADFS

AuthPoint prend en charge les données de localisation basées sur l'adresse IP uniquement pour les types d'authentification suivants :

  • Connexions RDP
  • Ressources Firebox
  • Machines virtuelles (MV) Windows

AuthPoint agent for Windows utilise l'API de Windows pour obtenir la localisation de l'utilisateur. Si l'agent est installé sur une MV Windows, les données de localisation sont toujours basées sur l'adresse IP (faible précision).

Configurer un Objet de Stratégie de Géo-cinétique

Pour configurer un objet de stratégie de géo-cinétique, dans l'AuthPoint management UI :

  1. Dans le menu de navigation AuthPoint, sélectionnez Objets de Stratégie.

Screen shot that shows the Policy Objects page.

  1. Cliquez sur Ajouter un Objet de Stratégie.
    La page Ajouter un Objet de Stratégie s'affiche.

Screen shot of the Type drop-down list on the Add Policy Object page.

  1. Dans la liste déroulante Type, sélectionnez Géo-cinétique.
    Des champs supplémentaires s'affichent.
  2. Dans la zone de texte Nom, saisissez un nom afin d'identifier cet objet de stratégie de géo-cinétique. Cela vous aide à identifier la géo-cinétique lorsque vous l'ajoutez aux stratégies d'authentification.

Screen shot of the geokinetics fields on the Add Policy Object page.

  1. Dans la zone de texte Vitesse et la liste déroulante adjacente, spécifiez un nombre et une unité à utiliser par AuthPoint pour cet objet de stratégie de géo-cinétique. AuthPoint refuse les authentifications si la distance entre l'authentification actuelle et l'authentification précédente ne peut pas être parcourue à cette vitesse.

    La vitesse par défaut est de 600 miles par heure (la vitesse moyenne d'un avion de ligne).

Screen shot of the geokinetics fields on the Add Policy Object page.

  1. (Facultatif) Dans la zone de texte Exceptions, saisissez une adresse IP publique ou un masque réseau qui définit une plage d'adresses IP publiques qu'AuthPoint doit ignorer pour cet objet de stratégie de géo-cinétique, puis appuyez sur Entrée ou Retour. Vous pouvez spécifier plusieurs exceptions. Vous pouvez procéder ainsi afin que l'objet de stratégie de géo-cinétique ne refuse pas les authentifications lorsque les utilisateurs se connectent à un VPN.

Screen shot of the geokinetics fields on the Add Policy Object page.

  1. Si vous souhaitez qu'AuthPoint prenne en compte les authentifications comportant des données de localisation de faible précision lorsque cet objet de stratégie de géo-cinétique est pris en compte, cochez la case Prendre en compte les authentifications comportant des données de localisation de faible précision.

    Si vous ne cochez pas cette case, les authentifications qui ont des données de localisation avec une faible précision ne sont pas évaluées par rapport à l'objet de stratégie de géo-cinétique.

  2. Cliquez sur Enregistrer.
  3. Ajoutez cet objet de stratégie de géo-cinétique aux stratégies d'authentification auxquelles vous souhaitez qu'il s'applique. Pour plus d'informations, consultez À Propos des Stratégies d'Authentification AuthPoint.

    Contrairement à d'autres objets de stratégie (limite géographique, planification horaire, emplacements réseau), lorsque vous ajoutez un objet de stratégie de géo-cinétique à une stratégie d'authentification, vous n'avez pas besoin de créer une deuxième stratégie sans l'objet de stratégie de géo-cinétique.

Géo-Cinétique pour RD Web

Pour prendre en charge un objet de stratégie de géo-cinétique de pour RD Web, vous devez modifier le fichier webscripts-domain.js sur le serveur RD Web Access puis configurer le client pour enregistrer l'emplacement du client en tant que cookie sur le serveur RD Web. Cela permet à RD Web d'envoyer les coordonnées de l'utilisateur à AuthPoint lorsque celui-ci s'authentifie.

Ceci est également nécessaire pour prendre en charge la limite géographique pour RD Web. Si vous avez déjà effectué ces étapes pour prendre en charge l'objet de stratégie de limite géographique, vous n'avez pas besoin de les refaire pour la géo-cinétique.

  1. Connectez-vous à votre serveur RD Web Access.
  2. Ouvrez l'Explorateur de Fichiers Windows et accédez à C:\Windows\Web\RDWeb\Pages.
  3. Ouvrez le fichier webscripts-domain.js dans un éditeur de texte.
  4. À la fin de la fonction onLoginPageLoad, ajoutez ce script pour obtenir les coordonnées du navigateur et les enregistrer dans les cookies :

    document.cookie = 'WatchGuardGeolocation=;max-age=0';

    if (navigator.geolocation) {

    var options = { enableHighAccuracy : true };

    navigator.geolocation.watchPosition(function(position) {

    var geolocation = { latitude: position.coords.latitude, longitude: position.coords.longitude, accuracy: position.coords.accuracy };

    var geolocationJson = JSON.stringify(geolocation);

    var geolocationEncoded = encodeURIComponent(geolocationJson);

    document.cookie = 'WatchGuardGeolocation=' + geolocationEncoded + ';secure;samesite=none;path=/';

    }, function(error) { }, options);

    }

Rubriques Connexes

À Propos des Stratégies d'Authentification AuthPoint

À Propos des Objets de Stratégie

Objets de Stratégie de Limite Géographique

Objets de Stratégie d'Emplacement Réseau

Objets de Stratégie de Planification Horaire