AuthPoint Bereitstellungsanleitung

Dieses Hilfethema zeigt Ihnen, wie Sie AuthPoint, die Lösung von WatchGuard für Multi-Faktor-Authentifizierung, einrichten und vollständig bereitstellen. Eine kürzere Übersicht über Erste Schritte und das Testen von AuthPoint finden Sie unter Schnellstart — AuthPoint einrichten.

Sie verwalten AuthPoint von WatchGuard Cloud aus. Weitere Informationen über WatchGuard Cloud finden Sie unter Über WatchGuard Cloud.

Wenn Sie AuthPoint einrichten, empfehlen wir, dass Sie AuthPoint zunächst mit Ihrer Firewall und LDAP-Datenbank verbinden. Dazu müssen Sie das AuthPoint Gateway herunterladen und installieren, das sie mit AuthPoint verbindet, und dann einen RADIUS-Client oder eine Firebox-ressource für Ihre Firewall und eine externe Identität für Ihre LDAP-Datenbank hinzufügen.

Als nächstes können Sie SAML-Ressourcen für die Anwendungen hinzufügen, mit denen sich Ihre Benutzer verbinden, und Authentifizierungsregeln für diese Ressourcen erstellen.

Wenn alles eingerichtet und einsatzbereit ist, synchronisieren Sie die Benutzer aus Ihrer LDAP-Datenbank mit AuthPoint.

Sie verwalten AuthPoint von WatchGuard Cloud aus. Es gibt zwei Typen von WatchGuard Cloud-Konten — Service-Provider und Subscriber — die jeweils eine andere Sicht auf WatchGuard Cloud bieten.

Anhand des Erscheinungsbilds der WatchGuard Cloud-Benutzeroberfläche und des Navigationsmenüs können Sie feststellen, ob Sie ein Service-Provider-Konto oder ein Subscriber-Konto haben.

Wenn Sie ein Kontomanager-Menü sehen und das Navigationsmenü den Menüpunkt Inventar enthält, dann haben Sie ein Service-Provider-Konto.

Wenn Sie ein ähnliches Dashboard wie dieses sehen und kein Kontomanager-Menü, dann haben Sie ein Subscriber-Konto.

Wenn Sie ein Service-Provider-Konto haben, müssen Sie, bevor Sie AuthPoint einrichten können, auf die Inventar-Seite gehen und Ihrem Account AuthPoint-Benutzerlizenzen zuweisen. Weitere Informationen finden Sie unter Benutzer zu Ihrem Konto zuweisen.

Sie konfigurieren und verwalten AuthPoint über den Bereich Dienste konfigurieren in WatchGuard Cloud.

So navigieren Sie zur AuthPoint-Verwaltungsoberfläche in WatchGuard Cloud:

  1. Melden Sie sich bei WatchGuard Cloud unter http://cloud.watchguard.com/ an.
    Die Seite WatchGuard Cloud-Dashboard wird angezeigt.
  2. Wählen Sie im Navigationsmenü Konfigurieren > AuthPoint. Wenn Sie ein Service-Provider-Konto haben, müssen Sie ein Konto aus dem Kontomanager auswählen.
    Die Seite AuthPoint Zusammenfassung wird geöffnet.

Das AuthPoint Gateway ist eine leichtgewichtige Softwareanwendung, die Sie in Ihrem Netzwerk installieren, um Benutzerkontoinformationen zwischen Ihrem LDAP oder Active Directory-Server und AuthPoint zu synchronisieren.

Das Gateway fungiert als RADIUS-Server und ist für die RADIUS-Authentifizierung und für LDAP-synchronisierte Benutzer zur Authentifizierung mit SAML-Ressourcen erforderlich. Sie müssen das Gateway installieren, damit AuthPoint mit Ihren RADIUS-Clients und LDAP-Datenbanken kommunizieren kann.

Bevor Sie das Gateway installieren, müssen Sie es in der AuthPoint-Verwaltungsoberfläche konfigurieren.

Konfigurieren und installieren des AuthPoint Gateways:

  1. Wählen Sie im AuthPoint-Navigationsmenü Gateway.
  2. Klicken Sie auf Gateway hinzufügen.

  1. Geben Sie in das Textfeld Name einen beschreibenden Namen für das Gateway ein.

  1. Klicken Sie auf Speichern.
  2. Klicken Sie auf der Seite Gateway am unteren Rand der Kachel für Ihr Gateway auf Registrierungsschlüssel.

  1. Kopieren Sie im Dialogfeld Gateway-Registrierungsschlüssel den Registrierungsschlüssel. Sie benötigen diesen Wert, um das Gateway zu installieren.

    Der Gateway-Registrierungsschlüssel kann nur einmal verwendet werden. Wenn die Installation des Gateways fehlschlägt, müssen Sie einen neuen Schlüssel generieren, der für die Installation verwendet wird.

  1. Wählen Sie im Navigationsmenü Downloads.
  2. Klicken Sie im Abschnitt Gateway-Installationsprogramm auf Download.

  1. Führen Sie das heruntergeladene Gateway-Installationsprogramm an einem beliebigen Ort in Ihrem Netzwerk aus, der über einen Internetzugang verfügt und eine Verbindung zu Ihren RADIUS-Clients und LDAP-Servern herstellen kann.

    Das Dialogfeld WatchGuard AuthPoint Gateway Setup wird geöffnet.
  2. Geben Sie im Textfeld Gateway-Registrierungsschlüssel den von AuthPoint bereitgestellten Gateway-Registrierungsschlüssel ein oder fügen Sie den kopierten Schlüssel ein.
  3. Klicken Sie auf Installieren.

  1. Klicken Sie auf Fertigstellen.

  1. Markieren Sie in der AuthPoint-Verwaltungsoberfläche, auf der Gateway-Seite das kreisförmige Symbol neben Ihrem Gateway-Namen. Ein grünes Symbol zeigt an, dass das Gateway erfolgreich installiert ist und mit AuthPoint kommunizieren kann.

    Wenn die Installation des Gateways fehlschlägt, müssen Sie einen neuen Registrierungsschlüssel generieren, der für die Installation verwendet wird. Weitere Informationen finden Sie unter Gateway-Registrierungsschlüssel.

Externe Identitäten stellen eine Verbindung zu Benutzerdatenbanken her, um Informationen über Benutzerkonten abzurufen und Passwörter zu validieren. Um Benutzer aus einer externen Benutzerdatenbank zu synchronisieren, müssen Sie eine externe Identität hinzufügen.

In diesem Beispiel werden die Schritte zur Synchronisierung von Benutzern aus Active Directory oder einer Lightweight Directory Access Protocol (LDAP) Datenbank gezeigt. Wie Sie eine externe Identität erstellen, um Benutzer aus Azure Active Directory zu synchronisieren, erfahren Sie unter Benutzer aus Azure Active Directory synchronisieren.

Hinzufügen einer externen Identität über die AuthPoint-Verwaltungsoberfläche:

  1. Wählen Sie Externe Identitäten.
  2. Wählen Sie in der Dropdown-Liste Externen Identitätstyp auswählen die Option LDAP. Klicken Sie auf Externe Identität hinzufügen.

  1. Geben Sie in das Textfeld Name einen beschreibenden Namen für die externe Identität ein.
  2. Geben Sie in das Textfeld LDAP-Suchbasis Ihre LDAP-Datenbank ein. In diesem Beispiel ist die Domäne example.com, also geben wir dc=example,dc=com ein. Tipp!

    Weitere Informationen zur LDAP-Syntax und zur Verwendung einer Suchbasis zur Einschränkung der Verzeichnisse auf dem Authentifizierungsserver, in denen die externe Identität nach Benutzern suchen kann, finden Sie unter .

  1. Geben Sie in die Textfelder Systemkonto und Passphrase die Zugangsdaten für einen Benutzer ein, der die Berechtigung hat, LDAP-Suchen und -Bindungen durchzuführen. Wenn sich dieser Benutzer nicht im Standardordner Benutzer befindet, aktivieren Sie den Schalter und geben Sie den zugewiesenen Namen des Benutzers ein. Tipp!

    In diesem Beispiel haben wir einen Benutzer namens administrator, der sich in einer OU namens AuthPoint befindet (nicht im Standardordner Benutzer). Wir müssen also den Schalter auswählen und den zugewiesenen Namen unseres Benutzers als CN=administrator,OU=AuthPoint,DC=example,DC=com eingeben.

    Wenn sich der Benutzer im Ordner Benutzer befindet und der Benutzername nicht mit dem Kontonamen (sAMAccountName) übereinstimmt, müssen Sie den Kontonamen in das Textfeld Systemkonto eingeben.

  1. Geben Sie in der Dropdown-Liste Synchronisierungsintervall an, wie oft Sie die LDAP-Datenbank synchronisieren möchten. Wenn Sie Alle 24 Stunden wählen, müssen Sie auch für jeden Tag angeben, wann die Synchronisierung beginnt.
  2. Wählen Sie unter Typ aus, ob es sich um einen Active Directory-Server oder einen anderen Typ von LDAP-Datenbank handelt. Bei anderen Datenbanken müssen Sie alle Attributwerte angeben. Bei Active Directory müssen Sie dies nicht tun, da die Attributwerte bekannt sind.
  3. Geben Sie in das Textfeld Domäne den Namen Ihrer LDAP-Domäne ein.
  4. Wenn es sich nicht um einen Active Directory-Server handelt, geben Sie für jedes Attribut einen Wert ein.

    Wenn Ihre Active Directory-Benutzer ADFS verwenden, müssen Sie den Standardwert sAMAccountName für das Attribut zur Benutzeranmeldung beibehalten.

  1. Geben Sie in das Textfeld Serveradresse die IP-Adresse Ihres LDAP-Servers ein.
  2. Geben Sie in das Textfeld Serverport den Port für Ihren Server ein.

  1. (Optional) Um eine redundante Adresse für Ihre externe Identität hinzuzufügen, klicken Sie auf Redundante Adresse hinzufügen und geben Sie eine andere Adresse und einen anderen Port für dieselbe LDAP-Datenbank ein.
  2. Klicken Sie auf Speichern.

Als Nächstes müssen Sie Ihre externe Identität zur Konfiguration Ihres AuthPoint Gateways hinzufügen. Danach können Sie die Verbindung zu Ihren LDAP-Datenbanken testen.

  1. Wählen Sie im Navigationsmenü Gateway.
  2. Klicken Sie auf den Namen Ihres Gateways.
  3. Wählen Sie im Abschnitt LDAP in der Liste Wählen Sie eine LDAP-externe Identität aus Ihren LDAP- oder Active Directory-Server aus.

  1. Klicken Sie auf Speichern.
  2. Wählen Sie im Navigationsmenü Externe Identitäten.
  3. Klicken Sie neben der externen Identität, die Sie für Ihre LDAP-Datenbank hinzugefügt haben, auf und wählen Sie Verbindung prüfen.

AuthPoint ist nun mit Ihrer LDAP-Datenbank verbunden. Sie können eine Abfrage zur Synchronisierung von Benutzern erstellen, aber bevor Sie das tun, empfehlen wir Ihnen, Ressourcen für alle Anwendungen und Dienste hinzuzufügen, für die Sie eine Authentifizierung verlangen möchten.

In AuthPoint sind Ressourcen die Anwendungen, die Sie mit AuthPoint schützen. Wenn Sie eine Ressource hinzufügen, geben Sie die Informationen an, die AuthPoint benötigt, um sich mit dieser Ressource zu verbinden.

Wenn Sie eine Ressource in AuthPoint hinzufügen und konfigurieren, ist eine Authentifizierung erforderlich, um sich bei dieser Ressource anzumelden. Für jede Ressource müssen die Benutzer Mitglied einer Gruppe sein, die eine Authentifizierungsregel hat, die diese Ressource einschließt, um sich authentifizieren und anmelden zu können.

Benutzer, die nicht Mitglied von Gruppen sind, die eine Authentifizierungsregel für eine bestimmte Ressource haben, können sich nicht authentifizieren, um sich bei dieser Ressource anzumelden.

Weitere Informationen zum Einrichten der Authentifizierung mit bestimmten Diensten und Anwendungen von Dritttanbieterdiensten finden Sie in den AuthPoint-Integrationsleitfäden.

Um AuthPoint als Authentifizierungsserver auf einer Firebox zu aktivieren, auf der Fireware 12.7 oder höher ausgeführt wird, konfigurieren Sie eine Firebox-Ressource in AuthPoint. Dies erleichtert die Konfiguration von AuthPoint MFA für:

  • Mobile VPN with SSL
  • Mobile VPN with IKEv2
  • Firebox Web UI
  • Firebox-Authentifizierungsportal

Wenn Sie eine Firebox-Ressource konfigurieren, um MFA zu einer Firebox hinzuzufügen, erhält AuthPoint die IP-Adresse des Endnutzers, sodass Regelobjekte des Netzwerkstandortes gelten, wenn sich ein Benutzer mit einem VPN-Client authentifiziert.

Sie müssen eine Firebox-Ressource nicht zu Ihrer Gateway-Konfiguration hinzufügen, auch wenn die Firebox-Ressource MS-CHAPv2 aktiviert hat. In diesem Szenario validiert die Firebox das Benutzerpasswort mit NPS und AuthPoint authentifiziert den Benutzer mit MFA.

Bevor Sie eine Firebox-Ressource konfigurieren, stellen Sie sicher, dass Sie das Gerät als lokal verwaltete Firebox registriert und mit WatchGuard Cloud verbunden haben. Für Cloud-verwaltete Fireboxen und Fireboxen, auf denen Fireware v12.6.x oder niedriger ausgeführt wird, wird empfohlen, eine RADIUS-Client-Ressource für die Firebox zu konfigurieren.

Detaillierte Anweisungen zur Registrierung und Verbindung Ihrer Firebox mit WatchGuard Cloud finden Sie unter Hinzufügen einer lokal verwalteten Firebox zu WatchGuard Cloud.

Hinzufügen einer Firebox-Ressource:

  1. Wählen Sie im Navigationsmenü Ressourcen.

    Die Seite Ressourcen wird geöffnet.

  1. Wählen Sie in der Dropdown-Liste Ressourcentyp auswählen die Option Firebox. Klicken Sie auf Ressource hinzufügen.

    Die Seite Firebox-Ressource wird geöffnet.

Screenshot of the Firebox resource page.

  1. Geben Sie in das Textfeld Name einen beschreibenden Namen für die Ressource ein.
  2. Wählen Sie aus der Dropdown-Liste Firebox die Firebox oder den FireCluster aus, den Sie mit AuthPoint verbinden möchten. Diese Liste zeigt nur lokal verwaltete Fireboxen und FireClusters, die Sie zu WatchGuard Cloud hinzugefügt haben.

Screenshot of the Firebox resource page.

  1. Um die Firebox-Ressource so zu konfigurieren, dass sie MS-CHAPv2-Authentifizierungsanfragen akzeptiert, klicken Sie auf den Schalter MS-CHAPv2 aktivieren.

    Es erscheinen zusätzliche Textfelder.

    Sie müssen MS-CHAPv2 nicht aktivieren, wenn der IKEv2-VPN-Client nur von lokalen AuthPoint-Benutzern verwendet wird.

Screenshot of the Firebox resource page.

  1. Geben Sie in das Textfeld Vertrauenswürdige IP oder FQDN für NPS RADIUS-Server die IP-Adresse oder den voll qualifizierten Domänennamen (FQDN) des NPS RADIUS-Servers ein.
  2. Geben Sie in das Textfeld Port den Port ein, den NPS für die Kommunikation verwendet. Der Standard-Port ist 1812.
  3. Geben Sie in das Textfeld Timeout in Sekunden einen Wert in Sekunden ein. Der Timeout-Wert ist die Zeitspanne, nach der eine Push-Authentifizierung abläuft.
  4. Geben Sie in das Textfeld Gemeinsames Geheimnis den gemeinsamen geheimen Schlüssel ein, den der NPS und die Firebox für die Kommunikation verwenden werden.

Screenshot of the Firebox resource page.

  1. Klicken Sie auf Speichern.

Nachdem Sie die Firebox-Ressource in AuthPoint hinzugefügt haben, ist der AuthPoint-Authentifizierungsserver auf Ihrer Firebox aktiviert. Um MFA hinzuzufügen, müssen Sie die Firebox so konfigurieren, dass sie den AuthPoint-Authentifizierungsserver für die gewünschten Funktionen verwendet:

RADIUS-Client-Ressourcen stellen ein Gerät oder eine Anwendung dar, die RADIUS-Pakete an das AuthPoint Gateway sendet. Diese werden in der Regel zur Authentifizierung von Benutzern für Firewalls und VPNs verwendet.

Um MFA für eine Firebox zu konfigurieren, auf der Fireware v12.7 oder höher ausgeführt wird und die zu WatchGuard Cloud als lokal verwaltete Firebox hinzugefügt wurde, empfehlen wir Ihnen, eine Firebox-Ressource hinzuzufügen.

RADIUS-Client-Ressourcen müssen mit dem AuthPoint Gateway verbunden werden und Sie müssen einen gemeinsamen geheimen Schlüssel wählen, damit der RADIUS-Server (AuthPoint Gateway) und der RADIUS-Client kommunizieren können.

Hinzufügen von RADIUS-Client-Ressourcen:

  1. Wählen Sie im Navigationsmenü Ressourcen.
  2. Wählen Sie in der Dropdown-Liste Ressourcentyp auswählen die Option RADIUS-Client. Klicken Sie auf Ressource hinzufügen.
  3. Geben Sie in das Textfeld Name einen beschreibenden Namen für die Ressource ein.
  4. Geben Sie in das Textfeld RADIUS-Client Vertrauenswürdige IP oder FQDN die IP-Adresse ein, die Ihr RADIUS-Client verwendet, um RADIUS-Pakete an das AuthPoint Gateway zu senden. Dies muss eine private IP-Adresse sein. Bei Fireboxen ist dies normalerweise die vertrauenswürdige IP-Adresse Ihrer Firebox.
  5. Wählen Sie in der Dropdown-Liste Wert für RADIUS-Attribut 11, was für den Wert von Attribut 11 (Filter-ID) in RADIUS-Antworten gesendet wird. Sie können wählen, ob Sie die AuthPoint-Gruppe des Benutzers oder die Active Directory-Gruppen des Benutzers senden möchten.

    Um einen Filter-ID Wert zu spezifizieren, müssen Sie Version 5 oder höher des AuthPoint Gateway installieren.

  6. Geben Sie in das Textfeld Gemeinsames Geheimnis ein Passwort ein, mit dem der RADIUS-Server (AuthPoint Gateway) und der RADIUS-Client kommunizieren werden.
  7. Um die RADIUS-Client-Ressource so zu konfigurieren, dass sie MS-CHAPv2-Authentifizierungsanfragen akzeptiert, aktivieren Sie den Schalter MS-CHAPv2 aktivieren. Dies ist erforderlich, wenn Sie AuthPoint MFA für IKEv2 konfigurieren möchten.
    Es werden zusätzliche Felder angezeigt.

    Um MS-CHAPv2 zu aktivieren, müssen Sie Version 5.3.1 oder höher des AuthPoint Gateways installieren.

  8. Geben Sie in das Textfeld Vertrauenswürdige IP der FQDN für NPS RADIUS-Server die IP-Adresse oder den FQDN des NPS RADIUS-Servers ein.
  9. Geben Sie in das Textfeld Port die Portnummer ein, über die das Gateway (RADIUS-Server) mit NPS kommunizieren soll. Der Standard-Port ist 1812.

    Wenn NPS und Gateway auf demselben Server installiert sind, muss der Port, den das Gateway zur Kommunikation mit NPS verwendet, ein anderer sein als der Port, den das Gateway zur Kommunikation mit dem RADIUS-Client verwendet.

  10. Geben Sie in das Textfeld Timeout in Sekunden einen Wert in Sekunden ein. Der Timeout-Wert ist die Zeitspanne, nach der eine Push-Authentifizierung abläuft.
  11. Klicken Sie auf Speichern.

Als Nächstes müssen Sie Ihre RADIUS-Client-Ressource in die Konfiguration Ihres AuthPoint Gateways aufnehmen. Dies ist notwendig, damit der RADIUS-Client mit dem RADIUS-Server (Gateway) und mit AuthPoint kommunizieren kann.

So verbinden Sie Ihre RADIUS-Client-Ressource mit dem Gateway:

  1. Wählen Sie im Navigationsmenü Gateway.
  2. Klicken Sie auf den Namen Ihres Gateways.
  3. Geben Sie im Abschnitt RADIUS in das Textfeld Port die Portnummer ein, über die der RADIUS-Client mit dem Gateway (RADIUS-Server) kommunizieren soll. Die Standard-Gateway-Ports sind 1812 und 1645.

    Wenn Sie bereits einen RADIUS-Server installiert haben, der Port 1812 oder 1645 verwendet, müssen Sie einen anderen Port für das AuthPoint Gateway verwenden.

  1. Wählen Sie in der Liste RADIUS-Ressource auswählen Ihre RADIUS-Client-Ressource(n) aus.

  1. Klicken Sie auf Speichern.

Sie haben erfolgreich eine RADIUS-Client-Ressource hinzugefügt und sie mit Ihrem Gateway verbunden. Der letzte Schritt besteht darin, Ihren RADIUS-Client für die Authentifizierung zu konfigurieren. Die Schritte zur Konfiguration spezifischer RADIUS-Client-Ressourcen finden Sie in den AuthPoint-Integrationsleitfäden.

SAML-Ressourcen verbinden AuthPoint mit dem Anbieter eines Drittanbieterdienstes, mit dem sich die Benutzer verbinden (Drittanbieter-Service-Provider), wie Microsoft oder Salesforce. Fügen Sie SAML-Ressourcen hinzu und definieren Sie Zugriffsregeln, damit sich Benutzer authentifizieren müssen, bevor sie eine Verbindung zu diesen Diensten oder Anwendungen herstellen können.

Bevor Sie eine SAML-Ressource in AuthPoint hinzufügen, müssen Sie die SAML-Authentifizierung für Ihren Drittanbieter-Service-Provider konfigurieren. Laden Sie dazu die AuthPoint-Metadaten von der Seite Ressourcen in der AuthPoint-Verwaltungsoberfläche herunter und importieren Sie die Metadaten-Datei in den Drittanbieter-Service-Provider.

Die AuthPoint-Metadaten stellen Informationen bereit, die notwendig sind, um AuthPoint zu identifizieren und eine vertrauenswürdige Beziehung zwischen dem Anbieter des Drittanbieter-Service-Providers und dem Identitätsanbieter (AuthPoint) herzustellen.

So konfigurieren Sie die SAML-Authentifizierung für Ihren Drittanbieter-Service-Provider:

  1. Wählen Sie Ressourcen.
  2. Klicken Sie auf Metadaten herunterladen.

  1. Importieren Sie die AuthPoint-Metadaten-Datei zum Drittanbieter-Service-Provider und holen Sie sich die Service-Provider-Entitäts-ID und Assertionsverbraucherdienst-Werte vom Service-Provider. Diese Werte sind notwendig, um die SAML-Ressource in AuthPoint zu konfigurieren.

    Die Schritte zur Konfiguration spezifischer SAML-Ressourcen finden Sie in den AuthPoint-Integrationsleitfäden.

Hinzufügen einer SAML-Ressource in der AuthPoint-Verwaltungsoberfläche:

  1. Wählen Sie Ressourcen.
  2. Wählen Sie in der Dropdown-Liste Ressourcentyp auswählen die Option SAML. Klicken Sie auf Ressource hinzufügen.

  1. Wählen Sie in der Dropdown-Liste Anwendungstyp die entsprechende Anwendung aus oder wählen Sie Andere wenn die Anwendung nicht aufgeführt ist.
  2. Geben Sie in das Textfeld Name einen Namen für die Ressource ein. Wir empfehlen Ihnen, den Namen der Anwendung zu verwenden.
  3. Geben Sie in die Textfelder Service-Provider-Entitäts-ID und Assertionsverbraucherdienst die Werte des Anbieters der Drittanbieter-Anwendung ein.
  4. Wählen Sie in der Dropdown-Liste Benutzer-ID aus, ob sich die Benutzer mit ihrer E-Mail oder ihrem AuthPoint-Benutzernamen anmelden.
  5. Einige Anwendungstypen erfordern zusätzliche Informationen. Falls zutreffend, füllen Sie bitte alle weiteren für die Anwendung erforderlichen Felder aus.
  6. Klicken Sie auf Speichern.

Installieren Sie die Logon App nicht auf Computern, auf denen Windows 7 oder älter läuft, oder auf Servern, auf denen Windows 2008 R2 oder älter läuft.

Mit der Logon App kann die Authentifizierung eines Benutzers bei einem Computer oder Server obligatorisch gemacht werden. Dazu gehört auch der Schutz für RDP und RD Gateway.

Die Logon App besteht aus zwei Teilen:

  • Die Ressource, die Sie in AuthPoint konfigurieren
  • Die Anwendung, die Sie auf einem Computer oder Server installieren

Wenn Sie die Logon App installieren, ist eine Authentifizierung erforderlich, um sich anzumelden. Auf dem Anmeldebildschirm müssen die Benutzer ihr Passwort eingeben und dann eine der zulässigen Authentifizierungsmethoden auswählen (Push-Benachrichtigung, Einmalpasswort oder QR-Code).

Wenn Ihre AuthPoint-Lizenz abläuft oder Sie Ihre Logon App-Ressource löschen, können sich die Benutzer nur mit ihrem Passwort an ihren Computern anmelden.

Zu Beginn müssen Sie eine Ressource für die Logon App hinzufügen:

  1. Wählen Sie Ressourcen.
  2. Wählen Sie in der Dropdown-Liste Ressourcentyp auswählen die Option Logon App. Klicken Sie auf Ressource hinzufügen.

  1. Geben Sie auf der Seite Logon App im Textfeld Name einen Namen für diese Ressource ein.
  2. Geben Sie in das Textfeld Support-Nachricht eine Nachricht ein, die auf dem Anmeldebildschirm angezeigt werden soll.
  3. Um bestimmten Benutzern ohne AuthPoint-Benutzerkonto zu erlauben, sich ohne MFA anzumelden:
    1. Aktivieren Sie den Schalter Bestimmten Benutzern die Anmeldung ohne MFA erlauben.

    2. Geben Sie in das Textfeld Benutzernamen hinzufügen die Benutzernamen aller Nicht-AuthPoint-Benutzer ein, die sich ohne MFA anmelden können.

      Sie können bis zu 50 Nicht-AuthPoint-Benutzer angeben, die sich ohne MFA anmelden können.

  4. Klicken Sie auf Speichern.

Sie müssen nicht für jeden Computer, auf dem die Logon App installiert ist, zusätzliche Logon App-Ressourcen hinzufügen, und zwar unabhängig vom Betriebssystem. Sie benötigen nur dann mehrere Logon App-Ressourcen, wenn Sie mehrere Domänen haben.

Nachdem Sie nun eine Logon App-Ressource hinzugefügt haben, müssen Sie die Logon App auf allen Computern und Servern installieren, für die Sie eine Authentifizierung verlangen möchten.

So installieren Sie die Logon App:

  1. Wählen Sie Downloads.
  2. Klicken Sie im Abschnitt Logon App neben Ihrem Betriebssystem auf Installationsprogramm herunterladen.
  3. Klicken Sie auf Konfiguration herunterladen, um die Konfigurationsdatei für die Logon App herunterzuladen.

    Sie können dieselbe Konfigurationsdatei für jede Installation der Logon App in derselben Domäne verwenden, und zwar unabhängig vom Betriebssystem.

  1. Verschieben Sie auf Ihrem Computer die heruntergeladene Konfigurationsdatei in dasselbe Verzeichnis wie das Installationsprogramm der Logon App (.msi-Datei).
  2. Führen Sie das Installationsprogramm der Logon App aus und installieren Sie die Logon App. Sie können die Logon App auch von einer Windows-Eingabeaufforderung aus installieren oder ein Active Directory GPO verwenden, um die Logon App entfernt auf mehreren Computern zu installieren. Detaillierte Schritte finden Sie unter Installieren Sie die Logon App von einer Windows-Eingabeaufforderung aus und Verwenden Sie ein Active Directory GPO zur Installation der Logon App.

Die Identity Provider (IdP)-Portal-Ressource ist eine Portalseite, die den Benutzern eine Liste der für sie verfügbaren SAML-Ressourcen anzeigt. Es erleichtert den Benutzern den Zugang zu den Ressourcen. Die Benutzer melden sich beim IdP-Portal an und sehen jede Ressource, auf die sie Zugriff haben.

Wenn Sie die IdP-Portal-Ressource zu einer Authentifizierungsregel hinzufügen, leitet die SSO-Anmeldeseite die Benutzer in den Gruppen, die dieser Authentifizierungsregel hinzugefügt wurden, auf die Portalseite um.

So Sie AuthPoint mit einem IdP-Portal einrichtenein:

  1. Wählen Sie Ressourcen.
  2. Wählen Sie aus der Dropdown-Liste Ressourcentyp auswählen die Option IdP-Portal. Klicken Sie auf Ressource hinzufügen.
  3. Geben Sie in das Textfeld Name einen beschreibenden Namen für die Ressource ein.
  4. Wählen Sie in der Dropdown-Liste Benutzer-ID aus, ob Benutzer ihre E-Mail oder ihren Benutzernamen eingeben, um sich auf der SSO-Seite anzumelden.
  5. Geben Sie in das Textfeld Konto-Alias einen eindeutigen Wert ein, der an die URL für Ihr IdP-Portal angehängt wird.
  6. Klicken Sie auf Speichern.

    Sie können eine IdP-Portal-Ressource zu mehreren Authentifizierungsregeln hinzufügen. Es besteht keine Notwendigkeit, zusätzliche IdP-Ressourcen in AuthPoint hinzuzufügen.

Nachdem Sie Ressourcen in AuthPoint hinzugefügt und konfiguriert haben, müssen Sie Gruppen für Ihre Benutzer erstellen. In AuthPoint definieren die Gruppen, auf welche Ressourcen Ihre Benutzer Zugriff haben. Sie fügen Benutzer zu Gruppen in AuthPoint hinzu, dann fügen Sie die Gruppen zu den Authentifizierungsregeln hinzu, die festlegen, bei welchen Ressourcen sich die Benutzer authentifizieren können.

Sie müssen mindestens eine Gruppe hinzufügen, bevor Sie Authentifizierungsregeln oder Benutzer zu AuthPoint hinzufügen können.

Um externe Gruppen aus Active Directory oder Azure Active Directory zu synchronisieren, müssen Sie eine externe Identität hinzufügen und eine Gruppensynchronisierung erstellen, wobei die Option Neue synchronisierte Gruppen erstellen aktiviert ist. Dieses Thema wird in Schritt 9 — Synchronisieren von Benutzern aus Ihrer LDAP-Datenbank behandelt.

Hinzufügen einer Gruppe in der AuthPoint-Verwaltungsoberfläche:

  1. Wählen Sie im Navigationsmenü Gruppen.
  2. Klicken Sie auf Gruppe hinzufügen.

Screenshot that shows the Groups page.

  1. Geben Sie im Abschnitt Neue Gruppe im Textfeld Name einen beschreibenden Namen für die Gruppe ein.
  2. (Optional) Geben Sie in das Textfeld Beschreibung eine Beschreibung der Gruppe ein.

Screen shot of the New Group page.

  1. Klicken Sie auf Speichern.
    Ihre Gruppe ist auf der Seite Gruppen aufgelistet.

Screen shot of Access Policy section of New Group page.

Regelobjekte sind die individuellen konfigurierbaren Komponenten einer Regel, wie z. B. Netzwerkstandorte. Sie konfigurieren Regelobjekte und fügen sie dann zu Authentifizierungsregeln hinzu.

Sie können diese Arten von Regelobjekten konfigurieren:

Netzwerkstandorte (früher als sichere Standorte bezeichnet)

Mit den Regelobjekten des Netzwerkstandortes können Sie eine Liste von IP-Adressen angeben. Sie können dann Authentifizierungsregeln konfigurieren, die nur gelten, wenn sich Benutzer von den IP-Adressen am angegebenen Netzwerkstandort aus authentifizieren. Dies kann der Fall sein, wenn Sie Benutzern erlauben wollen, sich ohne MFA anzumelden, wenn sie im Büro sind.

Zeitplan

Mithilfe von Zeitplan-Regelobjekten können Sie die Daten und Zeiten angeben, zu denen Authentifizierungsregeln für Benutzerauthentifizierungen gelten. Wenn Sie einer Authentifizierungsregel einen Zeitplan hinzufügen, gilt die Regel nur dann, wenn sich ein Benutzer während des angegebenen Zeitplans authentifiziert.

Wenn Sie ein Regelobjekt zu einer Authentifizierungsregel hinzufügen, gilt die Regel nur für Benutzerauthentifizierungen, die den Bedingungen der Authentifizierung und der Regelobjekte entsprechen. Wenn Sie zum Beispiel einen bestimmten Netzwerkstandort zu einer Regel hinzufügen, gilt die Regel nur für Benutzerauthentifizierungen, die von diesem Netzwerkstandort stammen.

Wir empfehlen, eine zweite Regel für die gleichen Gruppen und Ressourcen ohne das Regelobjekt zu erstellen. Benutzer, die nur über eine Regel verfügen, die ein Regelobjekt enthält, erhalten keinen Zugriff auf die Ressource, wenn die Bedingungen des Regelobjekts nicht auf die Authentifizierung zutreffen (weil sie keine zutreffende Regel haben, nicht weil die Authentifizierung verweigert wird).

  • Benutzer, die nur über eine Regel verfügen, die einen Netzwerkstandort einschließt, erhalten keinen Zugriff auf die Ressource, wenn sie sich außerhalb dieses Netzwerkstandortes authentifizieren.
  • Benutzer, die nur über eine Regel verfügen, die einen Zeitplan enthält, erhalten keinen Zugang, wenn sie sich außerhalb der Angaben dieses Zeitplans authentifizieren.

Wenn Sie zwei Regeln haben (eine mit einem Regelobjekt und eine ohne), weisen Sie der Regel mit dem Regelobjekt eine höhere Priorität zu. Weitere Informationen finden Sie unter Über Reihenfolge der Regel.

Netzwerkstandorte benötigen eine Internetverbindung.

Für die RADIUS-Authentifizierung und die Basis-Authentifizierung (ECP) gelten Regeln, die einen Netzwerkstandort beinhalten, nicht, da AuthPoint die IP-Adresse des Endnutzers oder die ursprüngliche IP-Adresse nicht ermitteln kann.

  1. Wählen Sie im AuthPoint-Navigationsmenü Regelobjekte.
  2. Wählen Sie in der Dropdown-Liste Wählen Sie einen Regelobjekt-Typ die Option Netzwerkstandort. Klicken Sie auf Regelobjekt hinzufügen.
    Die Seite Netzwerkstandort wird angezeigt.

  1. Geben Sie in das Textfeld Name einen Namen ein, um diese Regelobjekte des Netzwerkstandortes zu identifizieren. So können Sie den Netzwerkstandort identifizieren, wenn Sie ihn zu Authentifizierungsregeln hinzufügen.
  2. Geben Sie in das Textfeld IP-Maske eine öffentliche IP-Adresse oder Netzmaske ein, die den Bereich der öffentlichen IP-Adressen definiert, die Sie für diesen Netzwerkstandort identifizieren möchten, und drücken Sie Eingabe oder Return. Sie können mehrere IP-Adressen und Bereiche an einem Netzwerkstandort angeben.

    Sie können die IP-Adresse für einen Netzwerkstandort nicht auf 0.0.0.0 oder 255.255.255.255 konfigurieren.

  1. Klicken Sie auf Speichern.
  1. Wählen Sie im AuthPoint-Navigationsmenü Regelobjekte.

  1. Wählen Sie in der Dropdown-Liste Regelobjekt-Typ auswählen die Option Zeitplan. Klicken Sie auf Regelobjekt hinzufügen.

    Die Seite Zeitplan wird angezeigt.
  2. Geben Sie in das Textfeld Name einen Namen für dieses Zeitplan-Regelobjekt ein. So können Sie den Zeitplan identifizieren, wenn Sie ihn zu den Authentifizierungsregeln hinzufügen.
  3. Wählen Sie in der Dropdown-Liste Zeitzone die Zeitzone aus, die Sie für diesen Zeitplan verwenden möchten.
  4. Wenn Sie die ausgewählte Zeitzone an die Sommerzeit anpassen möchten, aktivieren Sie das Kontrollkästchen Anpassung für Sommerzeit. Wenn Sie diese Option wählen, passt die Zeitregel die gewählte Zeitzone sofort um plus eine Stunde an. Ein Zeitplan mit der Zeitzone Pacific Standard Time, die UTC -8 Stunden entspricht, wird beispielsweise sofort auf UTC -7 Stunden (-8 Stunden + 1 Stunde) eingestellt.

    AuthPoint passt sich nicht dynamisch an die Sommerzeit an. Sie müssen das Kontrollkästchen Anpassung für Sommerzeit aktivieren, wenn die Sommerzeit gilt, und das Kontrollkästchen deaktivieren, wenn die Sommerzeit nicht gilt.

  1. Wählen Sie eine Option, um anzugeben, ob Sie bestimmte Wochentage oder ein bestimmtes Datum zu diesem Zeitplan hinzufügen möchten.
    • Wochentage — Um dem Zeitplan bestimmte Wochentage hinzuzufügen, wählen Sie diese Option und wählen Sie die Tage, die einbezogen werden sollen.
    • Termine — Um dem Zeitplan ein bestimmtes Datum hinzuzufügen, wählen Sie diese Option und wählen Sie im Feld Datum das Datum aus. Sie können immer nur ein Datum auf einmal hinzufügen.

    Sie können immer nur eine Option auf einmal hinzufügen. Um mehrere Sätze von Wochentagen und ein oder mehrere Datumsangaben zum selben Zeitplan hinzuzufügen, müssen Sie diese separat hinzufügen.

  1. Geben Sie die Startzeit und Endzeit für den Zeitpunkt ein, zu dem der Zeitplan für die ausgewählten Tage oder das Datum gelten soll. Diese Werte müssen zwischen 00:00 und 23:59 liegen, und die Endzeit muss nach der Startzeit liegen.

    Die Zeitzone, die Sie in Schritt 4 auswählen, gilt für die Start- und Endzeiten aller Zeitpläne, die Sie dem Regelobjekt hinzufügen.

  1. Um die Tage und Zeiten zu Ihrem Zeitplan hinzuzufügen, klicken Sie auf Hinzufügen. Um weitere Tage oder Daten hinzuzufügen oder um weitere Zeiträume für dieselben Tage oder Daten festzulegen, wiederholen Sie die Schritte 5 bis 7.
  2. Klicken Sie auf Speichern.

Nachdem Sie alle Ihre Ressourcen und Gruppen in AuthPoint hinzugefügt haben, müssen Sie Authentifizierungsregeln konfigurieren. Die Authentifizierungsregeln legen fest, bei welchen Ressourcen sich AuthPoint-Benutzer authentifizieren können und welche Authentifizierungsmethoden möglich sind (Push, QR-Code und OTP).

Wenn Sie eine Authentifizierungsregel konfigurieren, legen Sie Folgendes fest:

  • Ob die Regel Authentifizierungen zulässt oder ablehnt.
  • Welche Authentifizierungsmethoden erforderlich sind.
  • Für welche Ressourcen die Regel gilt.
  • Für welche Benutzergruppen die Regel gilt.
  • Welche Regelobjekte für die Authentifizierungen gelten.

Ein Benutzer, der nicht Mitglied einer Gruppe ist, die eine Authentifizierungsregel für eine bestimmte Ressource hat, kann sich nicht authentifizieren, um sich bei dieser Ressource anzumelden.

Achten Sie bei der Konfiguration von Regeln darauf, dass Sie diese Anforderungen und Empfehlungen beachten:

  • Sie müssen mindestens eine Gruppe konfigurieren, bevor Sie Authentifizierungsregeln konfigurieren können.
  • Für RADIUS-Authentifizierung und Basis-Authentifizierung (ECP) gelten Regeln, die einen Netzwerkstandort haben, nicht, da AuthPoint die IP-Adresse des Endnutzers oder die Herkunfts-IP-Adresse nicht kennt.
  • Regeln mit Netzwerkstandorten gelten nur für Benutzerauthentifizierungen, die von diesem Netzwerkstandort stammen. Benutzer, die nur über eine Regel verfügen, die einen Netzwerkstandort einschließt, können nicht auf die Ressource zugreifen, wenn sie sich außerhalb dieses Netzwerkstandortes authentifizieren. Das liegt daran, dass es keine entsprechende Regel gibt, und nicht daran, dass die Authentifizierung abgelehnt wird.
  • Wenn Sie Regelobjekte konfigurieren,, empfehlen wir, eine zweite Regel für dieselben Gruppen und Ressourcen ohne die Regelobjekte zu erstellen. Weisen Sie der Regel mit den Regelobjekten eine höhere Priorität zu.
  • Wenn Sie die Authentifizierungsmethoden Push und OTP für eine Regel aktivieren, verwenden die mit der Regel verknüpften RADIUS-Ressourcen Push-Benachrichtigungen für die Authentifizierung der Benutzer.
  • Sie müssen die Push-Authentifizierungsmethode für Regeln mit MS-CHAPv2 RADIUS-Ressourcen aktivieren.
  • Die QR-Code-Authentifizierung wird von RADIUS-Ressourcen nicht unterstützt.

Konfigurieren einer Authentifizierungsregel:

  1. Wählen Sie Authentifizierungsregeln.
  2. Klicken Sie auf Regel hinzufügen.

Screen shot of the authentication policy list.

  1. Geben Sie einen Namen für die Regel ein.
  2. Wählen Sie in der Dropdown-Liste Authentifizierungsoptionen auswählen eine Option aus, um festzulegen, ob für diese Regel eine MFA obligatorisch ist oder ob Authentifizierungen abgelehnt werden sollen.
    • Authentifizierungsoptionen — Erfordert MFA, wenn sich Benutzer in den mit dieser Regel verknüpften Gruppen bei den mit dieser Regel verknüpften Ressourcen authentifizieren.
    • Authentifizierung nicht zugelassen — Authentifizierungen verweigern, wenn Benutzer in den mit dieser Regel verknüpften Gruppen versuchen, sich bei den mit dieser Regel verknüpfen Ressourcen zu authentifizieren

Screenshot of selecting the authentication options on the Add Policy page.

  1. Wenn Sie MFA für diese Regel benötigen, aktivieren Sie das Kontrollkästchen für jede Authentifizierungsoption, aus der die Benutzer bei der Authentifizierung wählen können. Weitere Informationen zu den Authentifizierungsmethoden finden Sie unter Über Authentifizierung.

    Wenn Sie die Authentifizierungsmethoden Push und OTP für eine Regel aktivieren, verwenden die mit der Regel verknüpften RADIUS-Ressourcen Push-Benachrichtigungen für die Authentifizierung der Benutzer.

    Die QR-Code-Authentifizierung wird für RADIUS-Ressourcen nicht unterstützt.

Screenshot of the Add Policy page with authentication options selected.

  1. Wenn Sie für Regeln, die eine Office 365-Ressource enthalten, eine Authentifizierung für ein Gerät oder eine Ressource benötigen, die Teil Ihrer Office 365-Domäne ist, aber keine MFA verwenden kann, wie z. B. ein Drucker, aktivieren Sie das Kontrollkästchen Basis-Authentifizierung. Die Basisauthentifizierung wird auch als Enhanced Client or Proxy (ECP) bezeichnet.
  2. Wählen Sie in der Dropdown-Liste Gruppen aus, für welche Gruppen diese Regel gilt. Sie können mehr als eine Gruppe auswählen. Um diese Regel so zu konfigurieren, dass sie für alle Gruppen gilt, wählen Sie Alle Gruppen.
  3. Wählen Sie in der Dropdown-Liste Ressourcen aus, für welche Ressourcen diese Regel gilt. Um diese Regel so zu konfigurieren, dass sie für alle Ressourcen gilt, wählen Sie Alle Ressourcen.

Screenshot of the Add Policy page with the groups and resources selected.

  1. Wählen Sie in der Dropdown-Liste Regelobjekte aus, welche Regelobjekte für diese Regel gelten. Weitere Informationen über Regelobjekte finden Sie unter Über Regelobjekte.

Screenshot of the Policy Objects selection on the Add Policy page.

  1. Klicken Sie auf Speichern.
    Ihre Regel wird erstellt und an das Ende der Regelliste angehängt.

    Nachdem Sie eine neue Regel erstellt haben, empfehlen wir Ihnen, die Reihenfolge Ihrer Regeln zu überprüfen. AuthPoint fügt neue Regeln immer an das Ende der Regelliste an.

Screenshot of the Policy added to the Policies list.

Um Benutzer aus einer LDAP-Datenbank zu synchronisieren, müssen Sie eine Abfrage für die externe Identität erstellen, die Sie hinzugefügt haben. Die Abfragen, die Sie zu einer externen Identität hinzufügen, geben an, welche Benutzer aus Ihrem Active Directory oder Ihrer LDAP-Datenbank synchronisiert werden sollen. Sie ziehen Benutzerinformationen aus der Datenbank und erstellen AuthPoint-Benutzer für die Benutzer, die der Abfrage entsprechen.

Es gibt zwei Möglichkeiten, Benutzer abzufragen:

  • Gruppen synchronisieren — Wählen Sie die LDAP-Gruppen aus, von denen Sie Benutzer synchronisieren möchten und AuthPoint erstellt die Abfrage für Sie.
  • Erweiterte Abfragen — Erstellen Sie Ihre eigenen LDAP-Abfragen, um die zu synchronisierenden Gruppen oder Benutzer festzulegen.

In diesem Beispiel zeigen wir die Schritte zur Verwendung der Funktion Gruppensynchronisierung.

Vergewissern Sie sich vor dem Fortfahren, dass jedes Benutzerkonto eine gültige E-Mail-Adresse hat. Wenn die E-Mail-Adresse für ein Benutzerkonto nicht korrekt ist, kann der Benutzer die E-Mail-Nachricht zum Festlegen eines Passworts und zur Aktivierung eines Tokens nicht erhalten.

Wenn die ausgewählten LDAP-Gruppen mehr Benutzer haben, als Sie Lizenzen zur Verfügung haben, werden nur so viele Benutzer angelegt, wie Ihre Lizenz unterstützt.

LDAP-Benutzer, die keinen Benutzernamen oder keine E-Mail-Adresse haben, werden bei der Synchronisierung nicht berücksichtigt.

Zum Synchronisieren von LDAP-Gruppen:

  1. Wählen Sie Externe Identitäten.
  2. Klicken Sie neben Ihrer externen Identität auf und wählen Sie Gruppen synchronisieren.

  1. Klicken Sie auf der Seite Gruppen synchronisieren auf Neue Gruppe zu Synchronisieren hinzufügen.

  1. Wählen Sie im Fenster Gruppen synchronisieren hinzufügen in der Dropdown-Liste LDAP-Gruppen für das Synchronisieren von Benutzern auswählen die LDAP-Gruppen aus, mit denen Sie Benutzer synchronisieren möchten. Sie können mehrere Gruppen auswählen.

Screenshot that shows the settings in the Add LDAP Group Sync window.

  1. Wählen Sie in der Dropdown-Liste AuthPoint-Gruppe auswählen, zu der Sie Benutzer hinzufügen möchten die AuthPoint-Gruppe aus, zu der die Benutzer hinzugefügt werden sollen.

    Bei jeder Gruppensynchronisierung werden alle Benutzer zur gleichen AuthPoint-Gruppe hinzugefügt. Um Benutzer zu separaten AuthPoint-Gruppen hinzuzufügen, müssen Sie eine separate Gruppensynchronisierung für jede LDAP-Gruppe erstellen, die Benutzer enthält, die Sie in einer anderen AuthPoint-Gruppe haben möchten.

Screenshot that shows the settings in the Add LDAP Group Sync window.

  1. Um neue Gruppen in AuthPoint zu erstellen, die auf den Active Directory-Gruppen basieren, aus denen Sie Benutzer synchronisieren, aktivieren Sie den Schalter Neue synchronisierte Gruppen erstellen. Wenn Sie diese Option aktivieren, werden die Benutzer mit den neuen Gruppen basierend auf der Gruppenmitgliedschaft in der LDAP-Datenbank, zusätzlich zu der ausgewählten AuthPoint-Gruppe synchronisiert.

    Die Option Neue synchronisierte Gruppen erstellen ist nur für Active Directory und Azure Active Directory verfügbar.

    Um diese Option zu sehen und zu nutzen, müssen Sie Version 6.1 oder höher des AuthPoint Gateway installieren.

Screenshot that shows the settings in the Add LDAP Group Sync window.

  1. Klicken Sie auf Speichern.
    Das Fenster Gruppen synchronisieren hinzufügen wird geschlossen.

Nachdem Sie eine Abfrage hinzugefügt haben, um Ihre Benutzer zu finden (manuell oder mit Gruppen synchronisieren), wird Ihr AuthPoint im nächsten Synchronisierungsintervall und ein AuthPoint-Benutzerkonto für jeden durch die Abfrage identifizierten Benutzer erstellt.

Um eine Synchronisierung sofort zu starten, klicken Sie auf der Seite Externe Identitäten neben der externen Identität auf und wählen Synchronisierung starten.

Die erstellten Benutzerkonten werden auf der Seite Benutzer mit einem grünen Statussymbol Aktiviert neben dem Benutzernamen angezeigt. Das Statussymbol Aktiviert zeigt an, dass der Benutzer erstellt wurde und derzeit aktiv ist (nicht blockiert). Sie können Benutzer, die von einer externen Identität synchronisiert wurden, anhand der LDAP-Bezeichnung in der Spalte Typ in der Benutzerliste identifizieren.

Screenshot that shows LDAP users on the Users page.

Jeder Benutzer erhält eine E-Mail, mit der er sein Token in der AuthPoint Mobile App aktivieren kann. Wenn ein Benutzer sein Token aktiviert, werden seine Token-Informationen in der Spalte Token mit einem grünen Statussymbol Aktiviert neben dem Token angezeigt.

Benutzer, die von einer externen Identität synchronisiert werden, verwenden ihr bestehendes Passwort zur Authentifizierung. Sie erhalten keine E-Mail, um ein AuthPoint-Passwort festzulegen.

Wenn Sie den Schalter Neue synchronisierte Gruppen erstellen aktiviert haben, werden die synchronisierten Gruppen in AuthPoint erstellt. Die neu erstellten Gruppen werden auf der Gruppen-Seite angezeigt. Sie können synchronisierte Gruppen aus Active Directory anhand des LDAP-Tags in der Spalte Typ in der Liste der Gruppen identifizieren.

Wenn Sie den Namen einer synchronisierten Gruppe in Active Directory ändern, wird der Name der synchronisierten Gruppe in AuthPoint automatisch angepasst. Sie können die synchronisierten Gruppen in AuthPoint nicht bearbeiten.

Wenn Sie die Gruppe in Active Directory löschen oder die Gruppensynchronisierung löschen, wird die synchronisierte Gruppe in AuthPoint nicht gelöscht. Sie müssen die synchronisierte Gruppe manuell in AuthPoint löschen.

Sie haben nun Ihre Ressourcen zu AuthPoint hinzugefügt, Authentifizierungsregeln für diese Ressourcen definiert und Ihre Benutzer synchronisiert. Bevor sich Ihre Nutzer mit AuthPoint authentifizieren können, müssen sie die AuthPoint App auf ihren Mobilgeräten installieren und ihr AuthPoint-Token aktivieren.

Ein Token ist etwas, das genutzt wird, um Sie zu identifizieren und Sie mit einem Gerät zu assoziieren, wie eine digitale Signatur oder ein Fingerabdruck. Es wird zusätzlich zu oder anstelle eines Passworts verwendet, wenn sich Benutzer bei einer geschützten Ressource anmelden. Die Benutzer aktivieren ein Token auf einem Gerät, das sie zur Authentifizierung verwenden, z. B. auf einem Mobiltelefon. Dieses Gerät wird dann verwendet, um auf geschützte Ressourcen zuzugreifen, die eine Multi-Faktor-Authentifizierung verlangen.

Weitere Informationen finden Sie unter Token aktivieren.

Siehe auch

Schnellstart — AuthPoint einrichten

Über AuthPoint

Über die AuthPoint Mobile App

MFA konfigurieren

Über Authentifizierung

Benutzerverwaltung

AuthPoint-Integrationsleitfäden