Gilt für: FireCloud-Internetzugang
Um FireCloud zu konfigurieren, müssen Sie einen Identitätsanbieter einrichten. Ein Identitätsanbieter ist ein externes System, das Sie nutzen, um Ihre FireCloud-Benutzer und -Gruppen zu verwalten und zu authentifizieren. So weiß FireCloud, welche Benutzer und Gruppen autorisiert sind und wie die Benutzer authentifiziert werden, wenn sie eine Verbindung zu FireCloud herstellen.
Bevor Sie beginnen
- Um AuthPoint als FireCloud-Identitätsanbieter einzurichten und MFA für FireCloud zu erfordern, müssen Sie AuthPoint als einen SAML-Identitätsanbieter konfigurieren.
- Sie können die AuthPoint-Multi-Faktor-Authentifizierung nicht verwenden, wenn Sie WatchGuard Cloud Directory als Ihren Identitätsanbieter konfigurieren. WatchGuard Cloud Directory unterstützt nur Nicht-MFA-Benutzer für FireCloud.
Einen Identitätsanbieter in FireCloud konfigurieren
Bevor Sie FireCloud-Regeln konfigurieren können, müssen Sie einen Identitätsanbieter für die Authentifizierung Ihrer FireCloud-Benutzer und -Gruppen einrichten. Sie können jeden Identitätsanbieter nutzen, der SAML unterstützt, beispielsweise AuthPoint, Microsoft Entra ID (Azure Active Directory) oder Okta.
So konfigurieren Sie einen Identitätsanbieter in FireCloud:
- Melden Sie sich bei WatchGuard Cloud an und wählen Sie Konfigurieren > FireCloud.
- Wählen Sie den Typ des zu verwendenden Identitätsanbieters und geben Sie die erforderlichen Informationen ein:WatchGuard Cloud Directory
Verwenden Sie die Benutzer und Gruppen, die Sie zum WatchGuard Cloud Directory hinzufügen. WatchGuard Cloud Directory ist eine Authentifizierungsdomäne, in der Sie WatchGuard Cloud-gehostete Benutzer und Gruppen hinzufügen können. Weitere Informationen über WatchGuard Cloud Directory und darüber, wie Sie WatchGuard Cloud-gehostete Benutzer und Gruppen hinzufügen, finden Sie unter Über WatchGuard Cloud Directory.
Diese Option eignet sich am besten für Konten ohne externen Identitätsanbieter, Konten mit einer geringen Benutzerzahl und Konten, die FireCloud testen möchten.
Wenn Sie diese Option wählen und WatchGuard Cloud Directory nicht eingerichtet haben, wird WatchGuard Cloud Directory für Sie erstellt.
Wenn Sie WatchGuard Cloud Directory als Ihren FireCloud Identitätsanbieter verwenden, unterstützt FireCloud nur Nicht-MFA-Benutzer. Um FireCloud mit MFA-Benutzern zu verwenden, die Sie zu WatchGuard Cloud Directory hinzufügen, müssen Sie AuthPoint als SAML-Identitätsanbieter für FireCloud einrichten.
AuthPoint und SAML von DrittanbieternVerwenden Sie einen beliebigen Identitätsanbieter, der SAML unterstützt, z. B. AuthPoint oder Microsoft Entra ID, um Ihre Benutzer und Gruppen zu authentifizieren. Um einen SAML-Identitätsanbieter zu konfigurieren, müssen Sie folgende zusätzliche Informationen angeben:
- SAML Service-Provider-Entitäts-ID — Geben Sie einen Namen ein, um FireCloud als Ihren Service-Provider zu identifizieren. Eine Entitäts-ID ist ein eindeutiger Name für einen Identitätsanbieter oder Service-Provider. Nach der Konfiguration dieses Werts für FireCloud verwenden Sie diese Entitäts-ID für die Konfiguration Ihres Identitätsanbieters.
- ID des Identitätsanbieters — Geben Sie die Entitäts-ID Ihres Identitätsanbieters ein. Identitätsanbieter zeigen diesen Wert normalerweise in der Benutzeroberfläche an. In einigen Fällen müssen Sie jedoch möglicherweise eine Metadaten-Datei herunterladen und den Wert von dort abrufen. Beispiel: Ihre AuthPoint-Entitäts-ID lautet https://sp.authpoint.cloud.watchguard.com/ACC-1234567, undACC-1234576 ist Ihre WatchGuard Cloud-Kontonummer.
- URL für Single Sign-On — Geben Sie die URL für Single Sign-On Ihres Identitätsanbieters ein. Dies ist in der Regel eine URL, die den Namen des Identitätsanbieters enthält. Beispiel: Ihre AuthPoint-URL für Single Sign-On lautet https://sp.authpoint.usa.cloud.watchguard.com/saml/ACC-1234567/sso/spinit, und ACC-1234576 ist Ihre WatchGuard Cloud-Kontonummer.
- IDP-Zertifikat — Fügen Sie das x.509-Zertifikat von Ihrem Identitätsanbieter ein oder laden Sie es hoch. Sie können das Zertifikat von manchen Identitätsanbietern herunterladen, während das Zertifikat bei anderen als Wert in der Metadaten-Datei enthalten ist.
Für AuthPoint finden Sie die Identitätsanbieter-ID und die URL für Single Sign-On in der AuthPoint-Metadaten-Datei. Um die AuthPoint-Metadaten-Datei und das IDP-Zertifikat herunterzuladen, gehen Sie in WatchGuard Cloud zu Konfigurieren > AuthPoint > Ressourcen > Zertifikat.
- Klicken Sie auf Speichern.
FireCloud-Informationen für Ihren Identitätsanbieter bereitstellen (nur SAML)
Wenn Sie einen SAML-Identitätsanbieter konfigurieren, generiert FireCloud ein Zertifikat, das Sie Ihrem Identitätsanbieter zur Verfügung stellen können. Dieses Zertifikat gibt Ihrem Identitätsanbieter die erforderlichen Informationen zur Identifizierung von FireCloud und stellt sicher, dass der Identitätsanbieter nur auf gültige Authentifizierungsanfragen von FireCloud antwortet. Sie können dieses Zertifikat über die FireCloud-Authentifizierungsseite herunterladen.
Wir empfehlen, das FireCloud-Zertifikat zu Ihrem Identitätsanbieter zu importieren und die Signaturverifizierung zu aktivieren.
Ihr Identitätsanbieter kann die Signaturverifizierung auf unterschiedliche Weise benennen. Okta nennt diese Einstellung beispielsweise SAML Signed Request, Entra ID hingegen Verification Certificates.
Wenn Sie AuthPoint als Identitätsanbieter verwenden möchten, müssen Sie für FireCloud auch eine SAML-Ressource in AuthPoint erstellen und die SAML-Ressource danach zu Ihren vorhandenen AuthPoint-Authentifizierungsregeln hinzufügen oder neue AuthPoint-Authentifizierungsregeln für die SAML-Ressource hinzufügen.
- Klicken Sie auf der Seite FireCloud-Authentifizierung auf FireCloud-Zertifikat herunterladen. Dieses Zertifikat wird verwendet, wenn Sie eine SAML-Ressource in AuthPoint konfigurieren. Der Wert der SAML-Service-Provider-Entitäts-ID wird ebenfalls verwendet.
- Wählen Sie Konfigurieren > AuthPoint > Ressourcen.
- Klicken Sie auf Ressource hinzufügen.
- Wählen Sie in der Dropdown-Liste Typ die Option SAML.
- Geben Sie einen Namen für Ihre Ressource ein, z. B. FireCloud.
- Wählen Sie in der Dropdown-Liste Anwendungstyp die Option Andere.
- Geben Sie im Textfeld Service-Provider-Entitäts-ID die SAML-Service-Provider-Entitäts-ID ein, die Sie in Identitätsanbieter in FireCloud konfigurieren eingerichtet haben.
- Geben Sie im Textfeld Assertionsverbraucherdienst den Wert des Assertionsverbraucherdiensts für Ihr FireCloud-Konto ein, basierend auf Ihrer WatchGuard Cloud-Kontoregion.
- Nordamerika/Amerika — https://authsvc.firecloud.usa.cloud.watchguard.com/v1/acs
- EMEA — https://authsvc.firecloud.deu.cloud.watchguard.com/v1/acs
- APAC — https://authsvc.firecloud.jpn.cloud.watchguard.com/v1/acs
- Wählen Sie in der Dropdown-Liste Benutzer-ID bei Umleitung an Service-Provider gesendet und danach Benutzername.
- Laden Sie für das Zertifikat Ihr FireCloud-Zertifikat hoch.
- Wählen Sie aus der Dropdown-Liste AuthPoint Zertifikat das AuthPoint-Zertifikat aus, das mit Ihrer Ressource verknüpft werden soll. Wählen Sie das gleiche Zertifikat aus, für das Sie die Metadaten und das x.509-Zertifikat heruntergeladen haben.
- Klicken Sie auf Attribut hinzufügen.
- Geben Sie in das Textfeld Attributname Gruppen ein. Dieser Wert unterscheidet zwischen Groß- und Kleinschreibung.
- Wählen Sie in der Dropdown-Liste Wert holen von die Option Benutzergruppen.
- Klicken Sie auf Speichern.
AuthPoint speichert Ihre benutzerdefinierten Attribute. - Klicken Sie auf Speichern.
AuthPoint erstellt Ihre SAML-Ressource. - Fügen Sie in AuthPoint auf der Seite Regeln eine neue AuthPoint-Authentifizierungsregel für diese Ressource hinzu. Alternativ können Sie sie zu Ihren vorhandenen Authentifizierungsregeln hinzufügen. Weitere Informationen finden Sie unter Über AuthPoint-Authentifizierungsregeln.
- Damit Benutzer lediglich mit ihrem Passwort eine Verbindung zu FireCloud herstellen können, muss Ihre AuthPoint-Authentifizierungsregel nur eine Passwortauthentifizierung voraussetzen.
- Wenn Sie möchten, dass sich Benutzer bei einer Verbindung mit FireCloud durch MFA authentifizieren, müssen Sie in Ihrer AuthPoint-Authentifizierungsregel zusätzlich zur Passwortauthentifizierung die Authentifizierungsoptionen Push, QR-Code oder OTP festlegen.
FireCloud-Zugriffskontrolle
Wenn Sie FireCloud mit einem Identitätsanbieter verbinden, der mehr Benutzer hat, als FireCloud nutzen werden, können Sie die FireCloud-Zugriffskontrolle so festlegen, dass nur einige Benutzer eine Verbindung zum Dienst herstellen und eine Benutzerlizenz nutzen können. Deaktivieren Sie hierzu die standardmäßige FireCloud-Zugriffsrichtlinie und konfigurieren Sie die Zugriffsrichtlinien nur für die Benutzergruppen, die Zugriff auf FireCloud haben sollen. Benutzer ohne Zugriffsrichtlinie können keine Verbindung zum FireCloud-Dienst herstellen und keine Lizenzen verwenden.
Sie können den FireCloud Connection Manager auch nur für Endnutzer bereitstellen, die den Dienst verwenden sollen.
FireCloud-Authentifizierungseinstellungen bearbeiten oder Identitätsanbieter ändern
Wenn Sie Ihren FireCloud-Identitätsanbieter ändern, löscht FireCloud all Ihre Zugriffsrichtlinien, da ihnen keine Gruppen mehr zugeordnet sind. FireCloud fordert Sie dazu auf, den Vorgang zu bestätigen, bevor dies geschieht.
Die Standard-Zugriffsrichtlinie ist davon nicht betroffen.
So bearbeiten Sie die Einstellungen für Ihren Identitätsanbieter in WatchGuard Cloud oder wechseln zu einem neuen Identitätsanbieter:
- Wählen Sie Konfigurieren > FireCloud.
- Wählen Sie im Navigationsmenü Authentifizierung.
- Klicken Sie auf Authentifizierungseinstellungen bearbeiten.
- Nehmen Sie die Änderungen vor und klicken Sie auf Speichern.