Contexte de validation de session
Utilisez le contexte de validation de session comme couche de protection supplémentaire contre le détournement de session ou de cookie.
Vous pouvez utiliser le contexte de validation de session avec le cadre de travail de Authentification adaptative stratégie. Le cadre de travail utilise des politiques d’authentification pour évaluer les demandes d’authentification, puis refuse ou autorise l’accès en fonction des entrées et des conditions de la politique.
La stratégie de contexte de validation de session peut être utilisée conjointement avec la stratégie de post-authentification, où un administrateur peut appliquer des restrictions IP à certains ou à tous les utilisateurs pendant la session connectée.
La fonctionnalité Contexte de validation de session évalue les adresses IP en fonction des conditions que vous définissez et autorise l’accès à l’instance au sein d’une session. Le résultat du contexte de validation de session est défini en fonction de la sélection de la politique d’autorisation , car cette politique met fin immédiatement à la session utilisateur, sauf si l’une des conditions de politique définies dans la politique d’accès est évaluée comme vraie.
Le contexte de validation de session fonctionne sur la base du mécanisme suivant :
- Capture l’adresse IP de l’utilisateur lors de la création de la session à partir de la demande utilisateur et la stocke dans la session et la base de données.
- Rejette une demande lorsque son adresse IP diffère de celle de la session ou en dehors des plages IP valides définies par le client que vous avez définies.
- Disponible uniquement pour les utilisateurs authentifiés.
- Ne s’applique pas aux sessions d’utilisateurs invités ni aux applications mobiles natives.
- Facultative et basée sur les exigences de configuration.
- Exécuté uniquement pour les demandes post-connexion.
Avantages de la validation de session
Le contexte de validation de session présente les avantages suivants :
- Restreint l’accès lorsque ServiceNow® les pirates de l’air copient les cookies de session d’un utilisateur d’un appareil à un autre pour emprunter l’identité de la session.
- Restreint l’accès à la session de l’utilisateur s’il utilise un réseau non sécurisé.
- Configure les différentes règles et plages IP par utilisateur, groupe ou rôle pour les connexions de l’utilisateur.
Enregistrement du contexte de validation de session
Les politiques dans le contexte de validation de session exécutent des demandes post-connexion.
Utilisez les champs de l’enregistrement du contexte de la politique de validation de session pour définir la façon dont votre instance l’utilise.
| Champ | Description |
|---|---|
| Nom | Nom du contexte de politique. Ce champ est statique et ne peut pas être modifié. |
| Description | Description du contexte. |
| Politique par défaut | Définit le comportement par défaut de ce contexte lors de l’évaluation de la politique. Sélectionnez l’une des options suivantes.
|
| Autoriser la politique | La politique utilisée dans ce contexte. Ce champ s’affiche uniquement lorsque le champ Politique par défaut est défini sur Autoriser la politique. |
| Refuser la politique | La politique utilisée dans ce contexte. Ce champ s’affiche uniquement lorsque le champ Politique par défaut est défini sur Refuser la politique. |
Vous pouvez choisir la politique de validation de session en tant que politique d’autorisation ou de refus en fonction de l’entrée et des conditions de la politique.
Entrées et conditions de la politique
Les onglets Entrée de politique et Conditions de politique affichent les entrées et les conditions de la politique sélectionnée dans le champ Autoriser la politique ou Refuser la politique. Ces onglets servent de référence ; mais ils ne peuvent pas être utilisés pour modifier les entrées ou les conditions d’une politique. Pour modifier votre politique, accédez à celle-ci à l’aide de l’icône de référence située en regard du champ Autoriser la politique ou Refuser la politique .