Über AuthPoint-Authentifizierungsregeln

Konfigurieren Sie Authentifizierungsregeln, bei welchen Ressourcen sich AuthPoint-Benutzer authentifizieren können und welche Authentifizierungsmethoden möglich sind (Push, QR-Code und OTP). Wenn Sie eine Authentifizierungsregel konfigurieren, legen Sie Folgendes fest:

Ob die Regel Authentifizierungen zulässt oder ablehnt.
Welche Authentifizierungsmethoden erforderlich sind.
Für welche Ressourcen die Regel gilt.
Für welche Benutzergruppen die Regel gilt.
Welche Regelobjekte für die Authentifizierungen gelten.

Benutzer, die nicht Mitglied von Gruppen sind, die eine Authentifizierungsregel für eine bestimmte Ressource haben, können sich nicht authentifizieren, um sich bei dieser Ressource anzumelden.

Authentifizierungsregeln haben mehrere Schlüsselkomponenten:

Ressourcen

Ressourcen sind die Anwendungen und Dienste, mit denen sich Ihre Benutzer verbinden, z. B. Salesforce, Office 365, ein VPN oder Ihre Firebox. Wenn Sie eine Ressource hinzufügen, geben Sie die Informationen an, die für die Verbindung mit dieser Ressource erforderlich sind.

Gruppen

Mit Gruppen legen Sie fest, auf welche Ressourcen Ihre Benutzer Zugriff haben. Sie fügen Benutzer zu Gruppen in AuthPoint hinzu, dann fügen Sie die Gruppen zu den Authentifizierungsregeln hinzu, die festlegen, bei welchen Ressourcen sich die Benutzer authentifizieren können.

Regelobjekte

Regelobjekte sind die individuellen konfigurierbaren Komponenten einer Regel, wie z. B. Netzwerkstandorte. Sie konfigurieren Regelobjekte und fügen sie dann zu Authentifizierungsregeln hinzu. Wenn Sie ein Regelobjekt zu einer Authentifizierungsregel hinzufügen, gilt die Regel nur für Benutzerauthentifizierungen, die den Bedingungen der Authentifizierung und der Regelobjekte entsprechen. Wenn Sie zum Beispiel einen bestimmten Netzwerkstandort zu einer Regel hinzufügen, gilt die Regel nur für Benutzerauthentifizierungen, die von diesem Netzwerkstandort stammen.

Mit den Regelobjekten des Netzwerkstandortes können Sie eine Liste von IP-Adressen konfigurieren. Sie können dann spezifische Authentifizierungsregeln konfigurieren, die nur dann gelten, wenn sich Benutzer von diesen IP-Adressen aus authentifizieren.

Mithilfe von Zeitplan-Regelobjekten können Sie die Daten und Zeiten angeben, zu denen Authentifizierungsregeln für Benutzerauthentifizierungen gelten.

Anforderungen und Empfehlungen

Achten Sie bei der Konfiguration von Regeln darauf, dass Sie diese Anforderungen und Empfehlungen beachten:

Sie müssen mindestens eine Gruppe haben, bevor Sie Authentifizierungsregeln konfigurieren können.
Für RADIUS-Authentifizierung und Basis-Authentifizierung (ECP) gelten Regeln, die einen Netzwerkstandort haben, nicht, da AuthPoint die IP-Adresse des Endnutzers oder die Herkunfts-IP-Adresse nicht kennt.
Regeln mit Regelobjekten gelten nur für Benutzerauthentifizierungen, die die Bedingungen aller Regelobjekte erfüllen. Benutzer, die nur über eine Regel verfügen, die Regelobjekte enthalten, erhalten keinen Zugriff auf die Ressource, wenn die Bedingungen des Regelobjekts nicht auf die Authentifizierung zutreffen. Das liegt daran, dass es keine entsprechende Regel gibt, und nicht daran, dass die Authentifizierung abgelehnt wird.
- Regeln mit Netzwerkstandorten gelten nur für Benutzerauthentifizierungen, die von diesem Netzwerkstandort stammen. Benutzer, die nur über eine Regel verfügen, die einen Netzwerkstandort einschließt, können nicht auf die Ressource zugreifen, wenn sie sich außerhalb dieses Netzwerkstandortes authentifizieren.
- Regeln mit Zeitplänen gelten nur für Benutzerauthentifizierungen während des angegebenen Zeitplans. Benutzer, die nur über eine Regel verfügen, die einen Zeitplan enthält, können nicht auf die Ressource zugreifen, wenn sie sich außerhalb dieses Zeitplans authentifizieren.
Wenn Sie Regelobjekte konfigurieren,, empfehlen wir, eine zweite Regel für dieselben Gruppen und Ressourcen ohne die Regelobjekte zu erstellen. Weisen Sie der Regel mit den Regelobjekten eine höhere Priorität zu.
Wenn Sie die Authentifizierungsmethoden Push und OTP für eine Regel aktivieren, verwenden die mit der Regel verknüpften RADIUS-Ressourcen Push-Benachrichtigungen für die Authentifizierung der Benutzer.
Sie müssen die Push-Authentifizierungsmethode für Regeln mit MS-CHAPv2 RADIUS-Ressourcen aktivieren.
Die QR-Code-Authentifizierung wird von RADIUS-Ressourcen nicht unterstützt.

Authentifizierungsregeln hinzufügen

Konfigurieren einer Authentifizierungsregel in der AuthPoint-Verwaltungsoberfläche:

Wählen Sie Authentifizierungsregeln.
Klicken Sie auf Regel hinzufügen.

Screen shot of the authentication policy list.

Geben Sie einen Namen für die Regel ein.
Wählen Sie in der Dropdown-Liste Authentifizierungsoptionen auswählen eine Option aus, um festzulegen, ob für diese Regel eine MFA obligatorisch ist oder ob Authentifizierungen abgelehnt werden sollen.
- Authentifizierungsoptionen — Erfordert MFA, wenn sich Benutzer in den mit dieser Regel verknüpften Gruppen bei den mit dieser Regel verknüpften Ressourcen authentifizieren.
- Authentifizierung nicht zugelassen — Authentifizierungen verweigern, wenn Benutzer in den mit dieser Regel verknüpften Gruppen versuchen, sich bei den mit dieser Regel verknüpfen Ressourcen zu authentifizieren

Screenshot of selecting the authentication options on the Add Policy page.

Wenn Sie MFA für diese Regel benötigen, aktivieren Sie das Kontrollkästchen für jede Authentifizierungsoption, aus der die Benutzer bei der Authentifizierung wählen können. Weitere Informationen zu den Authentifizierungsmethoden finden Sie unter Über Authentifizierung.

Wenn Sie die Authentifizierungsmethoden Push und OTP für eine Regel aktivieren, verwenden die mit der Regel verknüpften RADIUS-Ressourcen Push-Benachrichtigungen für die Authentifizierung der Benutzer.

Die QR-Code-Authentifizierung wird für RADIUS-Ressourcen nicht unterstützt.

Screenshot of the Add Policy page with authentication options selected.

Wenn Sie für Regeln, die eine Office 365-Ressource enthalten, eine Authentifizierung für einen Computer oder eine Ressource benötigen, die Teil Ihrer Office 365-Domäne ist, aber keine MFA verwenden kann, wie z. B. ein Drucker, aktivieren Sie das Kontrollkästchen Basis-Authentifizierung. Die Basisauthentifizierung wird auch als Enhanced Client or Proxy (ECP) bezeichnet.
Wählen Sie aus der Liste Gruppen aus, für welche Gruppen diese Regel gilt. Sie können mehr als eine Gruppe auswählen. Um diese Regel so zu konfigurieren, dass sie für alle Gruppen gilt, wählen Sie Alle Gruppen.
Wählen Sie in der Liste Ressourcen aus, für welche Ressourcen diese Regel gilt. Um diese Regel so zu konfigurieren, dass sie für alle Ressourcen gilt, wählen Sie Alle Ressourcen.

Screenshot of the Add Policy page with the groups and resources selected.

Wählen Sie aus, welche Regelobjekte für diese Regel gelten. Weitere Informationen über Regelobjekte finden Sie unter Über Regelobjekte.
Für RADIUS-Authentifizierung und Basis-Authentifizierung (ECP) gelten Regeln mit einem Netzwerkstandort nicht, da AuthPoint die IP-Adresse des Benutzers oder die ursprüngliche IP-Adresse nicht kennt.
Wenn Sie Regelobjekte konfigurieren, empfehlen wir Ihnen, eine zweite Regel für dieselben Gruppen und Ressourcen ohne die Regelobjekte zu erstellen. Weisen Sie der Regel mit den Regelobjekten eine höhere Priorität zu. Weitere Informationen finden Sie unter Über Reihenfolge der Regel.

Screenshot of the Policy Objects selection on the Add Policy page.

Klicken Sie auf Speichern.
Ihre Regel wird erstellt und an das Ende der Regelliste angehängt.
Nachdem Sie eine neue Regel erstellt haben, empfehlen wir Ihnen, die Reihenfolge Ihrer Regeln zu überprüfen. AuthPoint fügt neue Regeln immer an das Ende der Regelliste an.

Screenshot of the Save button on the Add Policy page.

Screenshot of the Policy added to the Policies list.

Siehe auch

Über Reihenfolge der Regel

Über Regelobjekte

© 2023 WatchGuard Technologies, Inc. Alle Rechte vorbehalten. WatchGuard und das WatchGuard-Logo sind eingetragene Marken oder Marken von WatchGuard Technologies in den Vereinigten Staaten und/oder anderen Ländern. Alle anderen Handels- und Markennamen sind Eigentum der jeweiligen Inhaber.