Über AuthPoint-Authentifizierungsregeln
Konfigurieren Sie Authentifizierungsregeln, bei welchen Ressourcen sich AuthPoint-Benutzer authentifizieren können und welche Authentifizierungsmethoden möglich sind (Push, QR-Code und OTP). Wenn Sie eine Authentifizierungsregel konfigurieren, legen Sie Folgendes fest:
- Ob die Regel Authentifizierungen zulässt oder ablehnt.
- Welche Authentifizierungsmethoden erforderlich sind.
- Für welche Ressourcen die Regel gilt.
- Für welche Benutzergruppen die Regel gilt.
- Welche Regelobjekte für die Authentifizierungen gelten.
Benutzer, die nicht Mitglied von Gruppen sind, die eine Authentifizierungsregel für eine bestimmte Ressource haben, können sich nicht authentifizieren, um sich bei dieser Ressource anzumelden.
Authentifizierungsregeln haben mehrere Schlüsselkomponenten:
Ressourcen
Ressourcen sind die Anwendungen und Dienste, mit denen sich Ihre Benutzer verbinden, z. B. Salesforce, Office 365, ein VPN oder Ihre Firebox. Wenn Sie eine Ressource hinzufügen, geben Sie die Informationen an, die für die Verbindung mit dieser Ressource erforderlich sind.
Gruppen
Mit Gruppen legen Sie fest, auf welche Ressourcen Ihre Benutzer Zugriff haben. Sie fügen Benutzer zu Gruppen in AuthPoint hinzu, dann fügen Sie die Gruppen zu den Authentifizierungsregeln hinzu, die festlegen, bei welchen Ressourcen sich die Benutzer authentifizieren können.
Regelobjekte
Regelobjekte sind die individuellen konfigurierbaren Komponenten einer Regel, wie z. B. Netzwerkstandorte. Sie konfigurieren Regelobjekte und fügen sie dann zu Authentifizierungsregeln hinzu. Wenn Sie ein Regelobjekt zu einer Authentifizierungsregel hinzufügen, gilt die Regel nur für Benutzerauthentifizierungen, die den Bedingungen der Authentifizierung und der Regelobjekte entsprechen. Wenn Sie zum Beispiel einen bestimmten Netzwerkstandort zu einer Regel hinzufügen, gilt die Regel nur für Benutzerauthentifizierungen, die von diesem Netzwerkstandort stammen.
Mit den Regelobjekten des Netzwerkstandortes können Sie eine Liste von IP-Adressen konfigurieren. Sie können dann spezifische Authentifizierungsregeln konfigurieren, die nur dann gelten, wenn sich Benutzer von diesen IP-Adressen aus authentifizieren.
Mithilfe von Zeitplan-Regelobjekten können Sie die Daten und Zeiten angeben, zu denen Authentifizierungsregeln für Benutzerauthentifizierungen gelten.
Anforderungen und Empfehlungen
Achten Sie bei der Konfiguration von Regeln darauf, dass Sie diese Anforderungen und Empfehlungen beachten:
- Sie müssen mindestens eine Gruppe haben, bevor Sie Authentifizierungsregeln konfigurieren können.
- Für RADIUS-Authentifizierung und Basis-Authentifizierung (ECP) gelten Regeln, die einen Netzwerkstandort haben, nicht, da AuthPoint die IP-Adresse des Endnutzers oder die Herkunfts-IP-Adresse nicht kennt.
- Regeln mit Regelobjekten gelten nur für Benutzerauthentifizierungen, die die Bedingungen aller Regelobjekte erfüllen. Benutzer, die nur über eine Regel verfügen, die Regelobjekte enthalten, erhalten keinen Zugriff auf die Ressource, wenn die Bedingungen des Regelobjekts nicht auf die Authentifizierung zutreffen. Das liegt daran, dass es keine entsprechende Regel gibt, und nicht daran, dass die Authentifizierung abgelehnt wird.
- Regeln mit Netzwerkstandorten gelten nur für Benutzerauthentifizierungen, die von diesem Netzwerkstandort stammen. Benutzer, die nur über eine Regel verfügen, die einen Netzwerkstandort einschließt, können nicht auf die Ressource zugreifen, wenn sie sich außerhalb dieses Netzwerkstandortes authentifizieren.
- Regeln mit Zeitplänen gelten nur für Benutzerauthentifizierungen während des angegebenen Zeitplans. Benutzer, die nur über eine Regel verfügen, die einen Zeitplan enthält, können nicht auf die Ressource zugreifen, wenn sie sich außerhalb dieses Zeitplans authentifizieren.
- Wenn Sie Regelobjekte konfigurieren,, empfehlen wir, eine zweite Regel für dieselben Gruppen und Ressourcen ohne die Regelobjekte zu erstellen. Weisen Sie der Regel mit den Regelobjekten eine höhere Priorität zu.
- Wenn Sie die Authentifizierungsmethoden Push und OTP für eine Regel aktivieren, verwenden die mit der Regel verknüpften RADIUS-Ressourcen Push-Benachrichtigungen für die Authentifizierung der Benutzer.
- Sie müssen die Push-Authentifizierungsmethode für Regeln mit MS-CHAPv2 RADIUS-Ressourcen aktivieren.
- Die QR-Code-Authentifizierung wird von RADIUS-Ressourcen nicht unterstützt.
Authentifizierungsregeln hinzufügen
Konfigurieren einer Authentifizierungsregel in der AuthPoint-Verwaltungsoberfläche:
- Wählen Sie Authentifizierungsregeln.
- Klicken Sie auf Regel hinzufügen.
- Geben Sie einen Namen für die Regel ein.
- Wählen Sie in der Dropdown-Liste Authentifizierungsoptionen auswählen eine Option aus, um festzulegen, ob für diese Regel eine MFA obligatorisch ist oder ob Authentifizierungen abgelehnt werden sollen.
- Authentifizierungsoptionen — Erfordert MFA, wenn sich Benutzer in den mit dieser Regel verknüpften Gruppen bei den mit dieser Regel verknüpften Ressourcen authentifizieren.
- Authentifizierung nicht zugelassen — Authentifizierungen verweigern, wenn Benutzer in den mit dieser Regel verknüpften Gruppen versuchen, sich bei den mit dieser Regel verknüpfen Ressourcen zu authentifizieren
-
Wenn Sie MFA für diese Regel benötigen, aktivieren Sie das Kontrollkästchen für jede Authentifizierungsoption, aus der die Benutzer bei der Authentifizierung wählen können. Weitere Informationen zu den Authentifizierungsmethoden finden Sie unter Über Authentifizierung.
Wenn Sie die Authentifizierungsmethoden Push und OTP für eine Regel aktivieren, verwenden die mit der Regel verknüpften RADIUS-Ressourcen Push-Benachrichtigungen für die Authentifizierung der Benutzer.
Die QR-Code-Authentifizierung wird für RADIUS-Ressourcen nicht unterstützt.
- Wenn Sie für Regeln, die eine Office 365-Ressource enthalten, eine Authentifizierung für einen Computer oder eine Ressource benötigen, die Teil Ihrer Office 365-Domäne ist, aber keine MFA verwenden kann, wie z. B. ein Drucker, aktivieren Sie das Kontrollkästchen Basis-Authentifizierung. Die Basisauthentifizierung wird auch als Enhanced Client or Proxy (ECP) bezeichnet.
- Wählen Sie aus der Liste Gruppen aus, für welche Gruppen diese Regel gilt. Sie können mehr als eine Gruppe auswählen. Um diese Regel so zu konfigurieren, dass sie für alle Gruppen gilt, wählen Sie Alle Gruppen.
- Wählen Sie in der Liste Ressourcen aus, für welche Ressourcen diese Regel gilt. Um diese Regel so zu konfigurieren, dass sie für alle Ressourcen gilt, wählen Sie Alle Ressourcen.
- Wählen Sie aus, welche Regelobjekte für diese Regel gelten. Weitere Informationen über Regelobjekte finden Sie unter Über Regelobjekte.
Für RADIUS-Authentifizierung und Basis-Authentifizierung (ECP) gelten Regeln mit einem Netzwerkstandort nicht, da AuthPoint die IP-Adresse des Benutzers oder die ursprüngliche IP-Adresse nicht kennt.
Wenn Sie Regelobjekte konfigurieren, empfehlen wir Ihnen, eine zweite Regel für dieselben Gruppen und Ressourcen ohne die Regelobjekte zu erstellen. Weisen Sie der Regel mit den Regelobjekten eine höhere Priorität zu. Weitere Informationen finden Sie unter Über Reihenfolge der Regel.
- Klicken Sie auf Speichern.
Ihre Regel wird erstellt und an das Ende der Regelliste angehängt.Nachdem Sie eine neue Regel erstellt haben, empfehlen wir Ihnen, die Reihenfolge Ihrer Regeln zu überprüfen. AuthPoint fügt neue Regeln immer an das Ende der Regelliste an.