Authentifizierungsdomäne zu einer Firebox hinzufügen

Gilt für: Cloud-verwaltete Fireboxen

Sie können der Firebox eine Authentifizierungsdomäne hinzufügen, damit Sie Benutzer und Gruppen von Ihrem Authentifizierungsserver in Firewall-Regeln, Aliassen und Mobile VPN-Einstellungen angeben können.

Bevor Sie der Firebox eine Active Directory- oder RADIUS-Authentifizierungsdomäne hinzufügen können, müssen Sie sie zu den Gemeinsame Konfigurationen-Einstellungen Ihres WatchGuard Cloud-Kontos hinzufügen. Weitere Informationen finden Sie unter WatchGuard Cloud-Authentifizierungsdomänen.

Hinzufügen einer WatchGuard Cloud-Authentifizierungsdomäne

Hinzufügen einer Authentifizierungsdomäne zur Firebox-Konfiguration:

  1. Wählen Sie Konfigurieren > Geräte.
  2. Wählen Sie eine Firebox.
    Status und Einstellungen für die ausgewählte Firebox werden angezeigt.
  3. Wählen Sie Gerätekonfiguration.
  4. Klicken Sie auf die Kachel Authentifizierungsdomänen.
    Die Seite Authentifizierungsdomänen wird geöffnet.

Screen shot of the Authentication Domains page

  1. Klicken Sie auf Authentifizierungsdomäne hinzufügen.
    Die Seite Authentifizierungsdomäne hinzufügen wird geöffnet.
  2. Wählen Sie WatchGuard Cloud Directory.
    Die Seite Authentifizierungsdomäne hinzufügen wird geöffnet.

Screen shot of the Add Authentication Domain page

  1. Wählen Sie in der Dropdown-Liste Vorhandene Authentifizierungsdomäne auswählen die Authentifizierungsdomäne aus.

Um zu Ihrem WatchGuard Cloud-Konto eine neue Authentifizierungsdomäne hinzuzufügen oder um die Einstellungen für den Domänenserver zu bearbeiten, müssen Sie zur Seite Konfigurieren > Authentifizierungsdomänen wechseln. Weitere Informationen finden Sie unter WatchGuard Cloud-Authentifizierungsdomänen.

  1. Wählen Sie in der Dropdown-Liste Typ den Typ des Authentifizierungsservers aus.
  2. Wählen Sie in der Dropdown-Liste Primärer Server die Adresse des primären Servers aus, der für die Authentifizierung verwendet werden soll.
  3. Wählen Sie in der Dropdown-Liste Backup-Server den Backup-Server aus.
  4. Klicken Sie auf Speichern.

Hinzufügen einer SAML-Authentifizierungsdomäne

Sie können eine SAML-Authentifizierungsdomäne (Security Assertion Markup Language) verwenden, um Benutzer mit Ihrer Cloud-verwalteten Firebox zu authentifizieren. Mit SAML können Sie Daten zwischen einem Identitätsanbieter (IdP) und einem Service-Provider (SP) austauschen.

Wenn Sie der Firebox eine SAML-Authentifizierungsdomäne hinzufügen können, um Benutzer zu authentifizieren, fügen Sie diese nicht zu den Gemeinsame Konfigurationen-Einstellungen Ihres WatchGuard Cloud-Kontos hinzu. In der SAML-Konfiguration auf der Firebox konfigurieren Sie die Firebox als SP und einen Drittanbieterdienst als IdP.

Ihr IdP muss die WatchGuard-Anforderungen für die SAML 2.0-Kommunikation erfüllen. Weitere Informationen zu den SAML-Anforderungen finden Sie unter SAML-Anforderungen für Identitätsanbieter.

Die SAML-Authentifizierung erfordert Fireware v12.11 oder höher und ist standardmäßig deaktiviert.

SAML kann verwendet werden für die Authentifizierung mit:

  • Authentifizierungsportal
  • Mobile VPN with SSL

Fireware v12.11 erweitert den Support für die SAML-Authentifizierung und beinhaltet eine Firebox-Authentifizierung. Der Mobile VPN with SSL v12.11-Client für Windows und der Mobile VPN with SSL v12.11.2-Client für macOS unterstützen die SAML-Authentifizierung. Da die SAML-Authentifizierung für Mobile VPN with SSL ein Client-Update erfordert, das die Integration mit einem eingebetteten Webbrowser unterstützt, der mit einem IdP interagieren kann, werden niedrigere Versionen des Mobile VPN with SSL-Clients und OpenVPN-Clients von Drittanbietern nicht unterstützt.

Wenn Sie einen SAML-Authentifizierungsbenutzer oder eine SAML-Authentifizierungsgruppe in einer Firewall-Regel konfigurieren, dann aber die SAML-Authentifizierung für Mobile VPN with SSL oder Authentifizierungsportal aktivieren, oder wenn Sie einen SAML-Authentifizierungsbenutzer oder eine SAML-Authentifizierungsgruppe in einer Firewall-Regel und Mobile VPN with SSL oder Authentifizierungsportal konfigurieren, später jedoch die SAML-Authentifizierung für Mobile VPN with SSL oder Authentifizierungsportal deaktivieren, ändern sich die SP-Metadaten und die SAML-Authentifizierung funktioniert nicht mehr. Stellen Sie Ihrem IdP-Administrator die aktualisierten SP-Metadaten zur Verfügung.

So fügen Sie über WatchGuard Cloud eine SAML-Authentifizierungsdomäne zu einer Cloud-verwalteten Firebox-Konfiguration hinzu:

  1. Wählen Sie Konfigurieren > Geräte.
  2. Wählen Sie eine Cloud-verwaltete Firebox.
    Status und Einstellungen für die ausgewählte Firebox werden angezeigt.
  3. Wählen Sie Gerätekonfiguration.
  4. Klicken Sie auf die Kachel Authentifizierung > Domänen.
    Die Seite Authentifizierungsdomänen wird geöffnet.

Screen shot of the Authentication Domains page

  1. Klicken Sie auf Authentifizierungsdomäne hinzufügen.
  2. Wählen Sie SAML-Identitätsanbieter.
    Die Seite SAML-Service-Provider (SP)-Einstellungen wird geöffnet.

Screen shot of the Add Authentication Domain page

  1. Geben Sie im Textfeld IdP-Name den Namen Ihres IdP ein.
    Dieser Name wird auf den Anmeldeseiten der Firebox als Name des Authentifizierungsservers angezeigt.
  2. Geben Sie im Textfeld Hostname einen FQDN ein, der zur externen Schnittstelle der Firebox aufgelöst wird.
  3. Lassen Sie das Textfeld IdP-Metadaten-URL vorerst leer. Sie müssen die Schritte im nächsten Abschnitt ausführen, bevor Sie die IdP-Metadaten-URL von Ihrem IdP-Administrator erhalten können.

Die Firebox kann nicht mehrere IdP-Anwendungen gleichzeitig unterstützen. Jede IdP-Anwendung verfügt über eine eindeutige IdP-Metadaten-URL.

Das Textfeld Gruppenattributname ist standardmäßig auf memberOf eingestellt. Wenn Ihr IdP-Administrator einen anderen Namen verwendet, können Sie diesen Namen eingeben.

  1. Klicken Sie auf Speichern.
    WatchGuard Cloud generiert Authentifizierungsdomänen-URLs und Zertifikatsinformationen.

Screenshot of SAML configuration dialog box.

Nachdem Sie die SAML-Konfiguration gespeichert haben, generiert WatchGuard Cloud automatisch eine Seite mit zusätzlichen SAML-Konfigurations- und Zertifikatsinformationen. Sie müssen diese Informationen Ihrem IdP-Administrator mitteilen. Der Administrator kann dann die Kontoeinstellungen für Ihr Unternehmen auf der IdP-Website konfigurieren.

Das von WatchGuard Cloud erstellte Fireware SAML-Client-Zertifikat wird unter Geräte-Zertifikate für Ihr Cloud-verwaltetes Gerät angezeigt. Weitere Informationen finden Sie unter Über Geräte-Zertifikate.

Folgen Sie den Anweisungen für Option 1 oder 2.

Sie müssen die SAML-Konfiguration auf der Cloud-verwalteten Firebox bereitstellen, bevor Ihr IdP die Metadaten-URL verwenden kann.

Option 1 — Automatische Konfiguration

Wenn Ihr IdP SAML-Metadaten von SPs akzeptiert, geben Sie die Metadaten-URL im Abschnitt Option 1 an Ihren IdP-Administrator weiter.

Option 2 — Manuelle Konfiguration

Wenn Ihr IdP keine SAML-Metadaten von SPs akzeptiert, geben Sie die URLs und das Zertifikat im Abschnitt Option 2 an Ihren IdP-Administrator weiter.

Einstellungen von SAML-Identitätsanbietern konfigurieren

Sie müssen nun zur SAML-Konfiguration zurückkehren und die Konfiguration mit den Informationen Ihres IdP abschließen.

Um die SAML-Konfiguration abzuschließen, gehen Sie in WatchGuard Cloud wie folgt vor:

  1. Wählen Sie Konfigurieren > Geräte.
  2. Wählen Sie eine Firebox.
    Status und Einstellungen für die ausgewählte Firebox werden angezeigt.
  3. Wählen Sie Gerätekonfiguration.
  4. Klicken Sie auf die Kachel Authentifizierungsdomänen.
    Die Seite Authentifizierungsdomänen wird geöffnet.
  5. Wählen Sie eine SAML-Domäne.
    Die SAML-Konfigurationsinformationen werden geöffnet.
  6. Geben Sie in das Textfeld IdP-Metadaten-URL die von Ihrem IdP bereitgestellte Metadaten-URL ein.
  7. (Optional) Um den Gruppenattributnamen zu ändern, geben Sie den neuen Namen ein. Tipp!

  1. Klicken Sie auf Speichern.
  2. Änderungen bereitstellen.

SAML-Service-Provider-Authentifizierungsdomäne bearbeiten

Wenn Sie eine SAML-Konfiguration bearbeiten, müssen Sie die SAML-Konfigurationsinformationen, die Sie Ihrem IdP-Administrator mitteilen, neu generieren.

Um eine SAML-Konfiguration zu aktualisieren, gehen Sie in WatchGuard Cloud wie folgt vor:

  1. Wählen Sie Konfigurieren > Geräte.
  2. Wählen Sie eine Firebox.
    Status und Einstellungen für die ausgewählte Firebox werden angezeigt.
  3. Wählen Sie Gerätekonfiguration.
  4. Klicken Sie auf die Kachel Authentifizierungsdomänen.
    Die Seite Authentifizierungsdomänen wird geöffnet.

Screen shot of the Authentication Domains page

  1. Wählen Sie eine SAML-Domäne.
    Die Seite SAML-Einstellungen wird geöffnet.

Screenshot of SAML configuration dialog box.

  1. Nehmen Sie alle erforderlichen Änderungen vor.

Wenn Sie Änderungen am Hostnamen in den SAML-Einstellungen speichern, werden die Informationen in Option 1 und 2 aktualisiert, um die Änderungen anzuzeigen.

  1. Klicken Sie auf Zertifikat neu generieren.
  2. Klicken Sie auf Speichern.
  3. Folgen Sie den Anweisungen für Option 1 oder 2.

Benutzer und Gruppen einer Authentifizierungsdomäne

Zum Zweck der Authentifizierung können Benutzer eine Verbindung zur Firebox-Authentifizierungsseite herstellen, die Domäne auswählen und ihren anschließend ihren Benutzernamen und ihr Passwort angeben. Informationen finden Sie unter Verbindung mit dem Firebox-Authentifizierungsportal herstellen.

Nachdem Sie die Authentifizierungsdomäne hinzugefügt haben, können Sie Benutzer und Gruppen der Domäne in Regeln und Aliassen angeben. Weitere Informationen finden Sie unter:

Ähnliche Themen

Konfigurieren Sie die RADIUS-Authentifizierung für eine Firebox