Regelobjekte des Netzwerkstandortes

Mit den Regelobjekten des Netzwerkstandortes können Sie eine Liste von IP-Adressen angeben. Sie können dann Authentifizierungsregeln konfigurieren, die nur gelten, wenn sich Benutzer von den IP-Adressen am angegebenen Netzwerkstandort aus authentifizieren. Dies kann der Fall sein, wenn Sie Benutzern erlauben wollen, sich ohne MFA anzumelden, wenn sie im Büro sind.

Wenn Sie einen Netzwerkstandort zu einer Authentifizierungsregel hinzufügen, gilt die Regel nur für Benutzerauthentifizierungen, die von diesem Netzwerkstandort ausgehen. Benutzer, die nur über eine Regel verfügen, die einen Netzwerkstandort beinhaltet, können keinen Zugriff auf die Ressource erhalten, wenn sie sich außerhalb dieses Netzwerkstandortes authentifizieren (weil sie keine entsprechende Regel haben und nicht weil die Authentifizierung verweigert wird).

Wenn Sie eine Regel konfigurieren, die einen Netzwerkstandort enthält, empfehlen wir Ihnen, eine zweite Regel ohne den Netzwerkstandort für dieselben Gruppen und Ressourcen zu erstellen. Die zweite Regel gilt für die Benutzer, wenn sie sich nicht am Netzwerkstandort befinden. Stellen Sie sicher, dass die Regel mit dem Netzwerkstandort eine höhere Priorität hat als die Regel ohne Netzwerkstandort. Weitere Informationen finden Sie unter Über Reihenfolge der Regel.

Netzwerkstandorte setzen voraus, dass der Endnutzer über eine Internetverbindung verfügt.

Für die RADIUS-Authentifizierung und die Basis-Authentifizierung (ECP) gelten Regeln, die einen Netzwerkstandort beinhalten, nicht, da AuthPoint die IP-Adresse des Endnutzers oder die ursprüngliche IP-Adresse nicht ermitteln kann.

Netzwerkstandorte für RDP

Bei Remote Desktop Protocol (RDP)-Verbindungen verwendet AuthPoint die IP-Adresse, die mit Port 3389 oder Port 443 eine Verbindung herstellt, um festzustellen, ob die Authentifizierung von einem Netzwerkstandort stammt.

Wenn Sie RDP so konfigurieren, dass ein anderer Port als 3389 oder 443 verwendet wird, kann AuthPoint die IP-Adresse des Endnutzers nicht identifizieren. In diesem Szenario finden die Regeln für einen Netzwerkstandort bei der Authentifizierung keine Anwendung.

Wenn Sie eine Firewall haben, erhält der Netzwerkstandort die vertrauenswürdige IP-Adresse der Firewall, nicht die IP-Adresse des Endnutzers.

Damit Benutzer in Ihrem Netzwerk RDP verwenden können, um sich ohne MFA mit einem Server im Netzwerk zu verbinden, können Sie einen Netzwerkstandort erstellen, der die privaten IP-Adressen der internen Benutzer, aber nicht die interne IP-Adresse der Firewall enthält. Fügen Sie diesen Netzwerkstandort zu einer Regel hinzu, die nur eine Passwortauthentifizierung erfordert. Mit dieser Konfiguration können:

  • sich interne Benutzer ohne MFA mit dem Server verbinden.
  • externe Verbindungen, die durch die Firewall kommen, MFA erfordern.

Erstellen von Netzwerkstandorten zur Umgehung einer MFA

Um eine sichere Lokation zu konfigurieren, der bei der Benutzerauthentifizierung keine MFA erfordert, müssen Sie einen Netzwerkstandort konfigurieren und ihn zu einer Authentifizierungsregel hinzufügen, die nur eine Passwortauthentifizierung erfordert. Dadurch können sich Benutzer nur mit ihren Passwörtern anmelden (keine MFA), wenn sie sich vom angegebenen Netzwerkstandort aus bei den Ressourcen in der Authentifizierungsregel authentifizieren.

In diesem Abschnitt finden Sie Beispiele, die Sie bei der Konfiguration von Netzwerkstandorten für verschiedene Anwendungsfälle für lokale oder externe Netzwerke unterstützen. In diesen Beispielen verwenden wir diese Definitionen:

  • Lokales Netzwerk — Computer innerhalb des Firmennetzwerks werden als lokal betrachtet.
  • Externe Netzwerke — Computer außerhalb des Firmennetzwerkes werden als extern betrachtet.
  • VPN-Verbindungen — Computer, die mit einem Firmen-VPN verbunden sind, gelten als Teil des lokalen Netzwerks.
  • Öffentliche IP-Adresse — Öffentliche IP-Adresse für die Verbindung mit dem Internet.
  • Lokale IP-Adresse — IP-Adresse, die innerhalb des lokalen Netzwerkes verwendet wird.
  • Benutzer-IP-Adresse — IP-Adresse des Computers des Benutzers in einem externen Netzwerk.
  • Terminal-Verbindungen — Verbindung, bei der sich ein Benutzer direkt am Computer anmeldet.
  • Remote-Verbindungen— Verbindung, bei der sich ein Benutzer über eine RDP-Verbindung bei einem Computer anmeldet.

Einen Netzwerkstandort konfigurieren

Konfigurieren eines Regelobjekts des Netzwerkstandortes in der AuthPoint-Verwaltungsoberfläche:

  1. Wählen Sie im AuthPoint-Navigationsmenü Regelobjekte.
  2. Wählen Sie in der Dropdown-Liste Wählen Sie einen Regelobjekt-Typ die Option Netzwerkstandort. Klicken Sie auf Regelobjekt hinzufügen.
    Die Seite Netzwerkstandort wird angezeigt.

  1. Geben Sie in das Textfeld Name einen Namen ein, um diese Regelobjekte des Netzwerkstandortes zu identifizieren. So können Sie den Netzwerkstandort identifizieren, wenn Sie ihn zu Authentifizierungsregeln hinzufügen.
  2. Geben Sie in das Textfeld IP-Maske eine öffentliche IP-Adresse oder Netzmaske ein, die den Bereich der öffentlichen IP-Adressen für diesen Netzwerkstandort definiert, und drücken Sie Eingabe oder Return. Sie können mehrere IP-Adressen und Bereiche für einen Netzwerkstandort angeben.

    AuthPoint unterstützt nur IPv4-Adressen für Netzwerkstandorte.

    Sie können die IP-Adressen 0.0.0.0 oder 255.255.255.255 nicht zu einem Netzwerkstandort hinzufügen.

  1. Klicken Sie auf Speichern.
  2. Fügen Sie diesen Netzwerkstandort zu den Authentifizierungsregeln hinzu, für die er gelten soll. Weitere Informationen finden Sie unter Authentifizierungsregeln hinzufügen

    Es wird empfohlen, eine zweite Regel für dieselben Gruppen und Ressourcen ohne den Netzwerkstandort zu erstellen, die für Benutzer gilt, die sich nicht am Netzwerkstandort befinden. Stellen Sie sicher, dass die Regel mit dem Netzwerkstandort eine höhere Priorität hat als die Regel ohne Netzwerkstandort. Weitere Informationen finden Sie unter Über Reihenfolge der Regel.

Siehe auch

Über AuthPoint-Authentifizierungsregeln

Über Regelobjekte

Zeitplan-Regelobjekt