Backlog RM

US

En tant qu'administrateur de la sécurité, je veux définir les adresses IP autorisées pour la connexion des utilisateurs, afin de sécuriser les accès aux fonctions sensibles de l'application.

Description
L'administrateur doit pouvoir configurer, pour chaque utilisateur, des adresses IP qui seront autorisés.

Dans la gestion de l'utilisateur, ajouter une liste d'IP ou de masques IP autorisés.
A l'accès, l'observateur d'authentification qui reçoit un jeton valide et identifie l'utilisateur doit ensuite contrôler l'IP du client ($_SERVER[REMOTE_ADDR]) et renvoyer une erreur 403 Forbidden en cas d'accès non autorisé.

Attention les proxy peuvent envoyer leur adresse IP dans la variable $_SERVER, et utiliser X_FORWARDED_FOR pour l'IP du client distant.

Conditions d'acceptation

• L'IHM d'administration permet d'ajouter et d'enlever des adresses IP et masques IP V4 et V6
• Si aucune restriction, aucun impact
• Si restriction mais IP autorisée, aucun impact
• Si restriction et IP non autorisée, le système doit renvoyer une erreur 403 "user friendly"
• Si restriction et IP non autorisée, le système doit inscrire un événement de sécurité dans le journal de l'application avec le détail de la tentafive