Gestion des périmètres réseau
Les périmètres réseau d'un domaine d'identité dans IAM limitent les adresses IP que les utilisateurs peuvent utiliser pour se connecter.
Cette section comprend les rubriques suivantes :
- Introduction
- Création d'un périmètre réseau
- Obtention des détails d'un périmètre réseau
- Mise à jour d'un périmètre réseau
- Suppression d'un périmètre réseau
Introduction
Après avoir créé un périmètre réseau, vous pouvez empêcher les utilisateurs de se connecter à IAM s'ils emploient l'une des adresses IP du périmètre réseau. Ce processus est appelé blocage. La liste de blocage contient les adresses IP ou domaines suspects. Par exemple, un utilisateur peut tenter de se connecter à IAM avec une adresse IP provenant d'un pays où le piratage est monnaie nationale.
Une adresse IP est une chaîne de nombres qui identifie le réseau d'un appareil connecté à Internet. Elle s'apparente à une adresse de retour sur une enveloppe, et est associée à un domaine lisible à l'oeil. Parce que l'adresse IP indique aux autres appareils d'où proviennent les données, elle peut être un bon moyen de suivre les mauvais contenus.
Les listes de blocage peuvent contenir une seule adresse IP ou une plage (définie) d'adresses IP. IAM peut s'appuyer sur ces informations pour bloquer les utilisateurs qui tentent de se connecter à partir d'adresses IP suspectes.
Vous pouvez également configurer IAM de sorte que les utilisateurs puissent se connecter uniquement à l'aide des adresses IP contenues dans le périmètre réseau. On parle alors de liste d'autorisation : les utilisateurs qui tentent de se connecter à IAM avec ces adresses IP sont acceptés. La liste d'autorisation est l'inverse de la liste de blocage, pratique consistant à identifier les adresses IP suspectes dont l'accès à IAM est, de ce fait, refusé.
Vous pouvez configurer IAM de sorte que seuls les utilisateurs qui passent par une adresse IP donnée ou une adresse IP dans une plage spécifique soient autorisés à se connecter à IAM. Vous pouvez également configurer IAM pour surveiller les adresses IP ou les plages d'adresses IP suspectes, et empêcher les utilisateurs qui passent par ces adresses IP de se connecter à IAM.
Avec un périmètre réseau, vous pouvez définir, dans un format standard, une adresse IP exacte, une plage d'adresses IP ou un ensemble d'adresses IP masquées. Les protocoles Internet Protocol version 4 (IPv4) et Internet Protocol version 6 (IPv6) sont pris en charge.
-
Adresse IP exacte : vous pouvez entrer une seule ou plusieurs adresses IP. Si vous saisissez plusieurs adresses IP exactes, séparez-les par une virgule.
-
Deux adresses IP, séparées par un tiret, qui représentent une plage d'adresses IP : par exemple, si vous indiquez la plage d'adresses IP
10.10.10.1-10.10.10.10, tout utilisateur qui tente de se connecter à IAM avec une adresse IP comprise entre10.10.10.1et10.10.10.10passe par une adresse IP comprise dans la plage. -
Plage d'adresses IP masquées : chaque nombre d'une adresse IP correspond à 8 bits. Par exemple, avec la plage masquée
10.11.12.18/24, les trois premiers nombres (24 bits) composent le masque à appliquer pour déterminer si une adresse IP appartient à cette plage. Dans cet exemple, les adresses IP valides sont celles qui commencent par10.11.12.
Les exemples ci-dessus utilisent des adresses IP avec le protocole IPv4. Toutefois, vous pouvez appliquer les mêmes formats aux adresses IP qui utilisent le protocole IPv6 (par exemple,
B138:C14:52:8000:0:0:4D8).Après avoir défini des périmètres réseau, vous pouvez les affecter à une stratégie de connexion, et configurer la stratégie de sorte que si vous tentez de vous connecter à IAM à l'aide d'une adresse IP définie dans le périmètre réseau, vous pouvez vous connecter à IAM, sinon, vous ne pouvez pas accéder à IAM.
Pour plus d'informations sur l'affectation de périmètres réseau à une stratégie de connexion, reportez-vous à Ajout d'une stratégie de connexion.