S'applique À : Authentification Multifacteur AuthPoint, AuthPoint Total Identity Security
L'objet de stratégie de limite géographique vous permet de spécifier une liste de pays puis de configurer les stratégies d'authentification qui s'appliquent uniquement lorsque des utilisateurs de ces pays s'authentifient. Cette méthode peut être utile si vous souhaitez appliquer différentes exigences de MFA à différents sites ou bloquer l'authentification pour certains pays.
Lorsque vous ajoutez une limite géographique à une stratégie d'authentification, celle-ci s'applique uniquement aux authentifications des utilisateurs qui proviennent du pays spécifié dans l'objet de stratégie de limite géographique. Les utilisateurs disposant uniquement d'une stratégie autorisant l'accès incluant une limite géographique ne peuvent pas accéder à la ressource lorsqu'ils s'authentifient hors des pays spécifiés (car ils ne disposent d'aucune stratégie applicable et non car leur authentification est refusée).
Pour prendre en charge l'authentification avec l'objet de stratégie de limite géographique, vous devez installer les versions suivantes des agents AuthPoint :
- AuthPoint agent for Windows v2.7.1 ou une version ultérieure
- AuthPoint agent for RD Web v1.4.2 ou une version ultérieure
- AuthPoint agent for ADFS v1.2.0 ou une version ultérieure
RD Web et ADFS possèdent des exigences supplémentaires pour prendre en charge les authentifications avec des données de localisation. Pour plus d'informations, consultez la section Limite Géographique pour RD Web et Limite Géographique pour ADFS .
Trois ressources ne prennent pas en charge la limite géographique :
- AuthPoint agent for macOS
- RADIUS
Pour l'authentification RADIUS, les stratégies qui incluent un objet de stratégie de limite géographique ne s'appliquent pas car AuthPoint ne peut pas déterminer l'adresse IP de l'utilisateur final ou l'adresse IP d'origine.
Données de Localisation des Objets de Stratégie de Limite Géographique
Lorsqu'un utilisateur s'authentifie, les données de localisation identifient l'endroit depuis lequel il s'authentifie. Lorsque vous configurez un objet de stratégie de limite géographique, vous pouvez opter pour autoriser les données de localisation à faible précision. Les localisations d'utilisateur identifiées avec une faible précision présentent un rayon plus grand. Par exemple, une localisation à haute précision peut être obtenue à 10 mètres maximum de la localisation réelle de l'utilisateur, tandis que les données de localisation à faible précision peuvent porter cette valeur à 1 kilomètre.
Pour une authentification par navigateur Web, lorsque l'utilisateur s'authentifie, le navigateur Web l'invite à partager sa localisation. Si l'utilisateur accepte, le navigateur envoie ses coordonnées géographiques à AuthPoint. AuthPoint associe les coordonnées à un pays et utilise cette information pour déterminer les stratégies s'appliquant à l'authentification. Il s'agit des données de localisation à haute précision.
Si l'utilisateur n'accepte pas l'invite de partage de sa localisation, celle-ci sera basée sur son adresse IP. AuthPoint considère les données de localisation basées sur une adresse IP comme présentant une faible précision.
Les ressources suivantes utilisent les données de localisation du navigateur :
- Portail IdP
- SAML
- RD Web
- ADFS
AuthPoint prend en charge les données de localisation basées sur l'adresse IP uniquement pour les types d'authentification suivants :
- Connexions RDP
- Ressources Firebox
- Machines virtuelles (MV) Windows
AuthPoint agent for Windows utilise l'API de Windows pour obtenir la localisation de l'utilisateur. Si l'agent est installé sur une MV Windows, les données de localisation sont toujours basées sur l'adresse IP (faible précision).
Dans certains cas, les objets de stratégie de géolocalisation peuvent affecter les authentifications à partir de plages d'adresses IP privées. En effet, la géolocalisation basée sur les IP ne fonctionne que pour les adresses IP publiques. Par exemple, si vous configurez une stratégie qui autorise uniquement les authentifications à partir de pays dans votre objet de stratégie de géolocalisation et qu'un utilisateur s'authentifie à partir d'une adresse IP privée, l'utilisateur ne peut pas s'authentifier s'il n'existe aucune autre stratégie qui s'applique à l'authentification.
Configurer un Objet de Stratégie de Limite Géographique
Pour configurer un objet de stratégie de limite géographique, dans l'AuthPoint management UI :
- Dans le menu de navigation AuthPoint, sélectionnez Objets de Stratégie.
- Cliquez sur Ajouter un Objet de Stratégie.
La page Ajouter un Objet de Stratégie s'affiche.
- Dans la liste déroulante Type, sélectionnez Limite Géographique.
Des champs supplémentaires s'affichent. - Dans la zone de texte Nom, saisissez un nom afin d'identifier cet objet de stratégie de limite géographique. Cela vous aide à identifier la limite géographique lorsque vous l'ajoutez aux stratégies d'authentification.
- Dans la liste Pays, sélectionnez un ou plusieurs pays à ajouter à cette limite géographique. Vous pouvez saisir du texte pour affiner les options disponibles.
- Si vous souhaitez que cette limite géographique s'applique aux authentifications d'utilisateur avec des données de localisation de faible précision, cochez la case Autoriser les données de localisation de faible précision. Cette option augmente la marge d'erreur qu'AuthPoint utilise pour valider les données de localisation. Par exemple, si vous configurez une limite géographique qui s'applique uniquement aux authentifications d'utilisateurs du Canada, mais que vous autorisez les données de localisation avec une faible précision, AuthPoint peut accepter une authentification d'un utilisateur juste au-delà de la frontière aux États-Unis.
Des données de localisation de faible précision sont requises pour les connexions RDP, les ressources Firebox, les machines virtuelles Windows (VM) et les authentifications avec des données de localisation basées sur l'adresse IP.
Des données de localisation de faible précision sont requises pour FireCloud. Si vous configurez AuthPoint en tant que fournisseur d'identité pour FireCloud, vous devez sélectionner cette option.
- Cliquez sur Enregistrer.
- Ajoutez cette limite géographique aux stratégies d'authentification auxquelles vous souhaitez qu'elle s'applique. Pour plus d'informations, consultez Ajouter des Stratégies d'Authentification
Nous vous recommandons de créer une deuxième stratégie pour les mêmes groupes et ressources sans la limite géographique à appliquer aux utilisateurs lorsqu'ils ne se trouvent pas dans la limite géographique. Confirmez que la stratégie comprenant la limite géographique présente une priorité plus élevée que celle de la stratégie sans la limite géographique. Pour plus d'informations, consultez À Propos de l'Ordre de Priorité des Stratégies.
Limite Géographique pour ADFS
L'AuthPoint agent for ADFS prend en charge les objets de stratégie de limite géographique uniquement si vous utilisez le thème personnalisé ADFS WG. Vous ne pouvez pas utiliser le thème ADFS par défaut.
$('document').ready(function () {
document.cookie = 'WatchGuardGeolocation=;Max-Age=0';
if (navigator.geolocation) {
var options = { enableHighAccuracy : true };
navigator.geolocation.watchPosition(function(position) {
var geolocation = { latitude: position.coords.latitude, longitude: position.coords.longitude, accuracy: position.coords.accuracy };
var geolocationJson = JSON.stringify(geolocation);
var geolocationEncoded = encodeURIComponent(geolocationJson);
document.cookie = 'WatchGuardGeolocation=' + geolocationEncoded + ';secure;';
}, function(error) { }, options);
}
}
Limite Géographique pour RD Web
Pour prendre en charge un objet de stratégie de limite géographique pour RD Web, vous devez modifier le fichier webscripts-domain.js sur le serveur RD Web Access puis configurer le client pour enregistrer l'emplacement du client en tant que cookie sur le serveur RD Web. RD Web peut ainsi envoyer les coordonnées de l'utilisateur à AuthPoint lors de son authentification.
Ceci est également nécessaire pour prendre en charge la géo-cinétique pour RD Web. Si vous avez déjà effectué ces étapes pour prendre en charge l'objet de stratégie de géo-cinétique, vous n'avez pas besoin de les refaire pour la limite géographique.
- Connectez-vous à votre serveur RD Web Access.
- Ouvrez l'Explorateur de Fichiers Windows et accédez à C:\Windows\Web\RDWeb\Pages.
- Ouvrez le fichier webscripts-domain.js dans un éditeur de texte.
- À la fin de la fonction onLoginPageLoad, ajoutez ce script pour obtenir les coordonnées du navigateur et les enregistrer dans les cookies :
document.cookie = 'WatchGuardGeolocation=;max-age=0';
if (navigator.geolocation) {
var options = { enableHighAccuracy : true };
navigator.geolocation.watchPosition(function(position) {
var geolocation = { latitude: position.coords.latitude, longitude: position.coords.longitude, accuracy: position.coords.accuracy };
var geolocationJson = JSON.stringify(geolocation);
var geolocationEncoded = encodeURIComponent(geolocationJson);
document.cookie = 'WatchGuardGeolocation=' + geolocationEncoded + ';secure;samesite=none;path=/';
}, function(error) { }, options);
}
À Propos des Stratégies d'Authentification AuthPoint