Gilt für: Cloud-verwaltete Fireboxen
Für Cloud-verwaltete Fireboxen unterstützt Mobile VPN folgende Benutzerauthentifizierungsmethoden.
Firebox-Authentifizierung (Firebox-DB)
Bei dieser Methode verwendet die Firebox ihren integrierten Authentifizierungsserver, um Mobile VPN-Benutzer zu authentifizieren. Um diese Methode verwenden zu können, müssen Sie Benutzer und Gruppen in den Firebox-Authentifizierungseinstellungen hinzufügen.
RADIUS
Bei dieser Methode verwendet die Firebox einen RADIUS-Server zur Authentifizierung von Mobile VPN-Benutzern. Um diese Methode zu verwenden, fügen Sie zuerst eine RADIUS-Authentifizierungsdomäne zu WatchGuard Cloud und zu Ihrer Firebox hinzu, und danach fügen Sie Benutzer und Gruppen zur Authentifizierung hinzu.
Active Directory
Bei dieser Methode verwendet die Firebox einen Active Directory-Server zur Authentifizierung von Mobile VPN with SSL-Benutzern. Um diese Methode zu verwenden, fügen Sie zuerst eine Active Directory-Authentifizierungsdomäne zu WatchGuard Cloud und zu Ihrer Firebox hinzu, und danach fügen Sie Benutzer und Gruppen zur Authentifizierung hinzu.
Mobile VPN with IKEv2 unterstützt Active Directory-Authentifizierung nur über einen RADIUS-Server. Sie müssen die RADIUS-Authentifizierung konfigurieren, damit das VPN die Active Directory-Zugangsdaten passieren kann.
AuthPoint
Bei dieser Methode authentifiziert die Firebox Mobile VPN-Benutzer mit AuthPoint, dem Multi-Faktor-Authentifizierungsdienst (MFA) von WatchGuard.
Um AuthPoint für die Mobile VPN-Benutzerauthentifizierung auf einer Cloud-verwalteten Firebox zu nutzen, müssen Sie zuerst die Firebox als AuthPoint-Ressource hinzufügen. Dies erfordert Fireware v12.7 oder höher.
SAML
Mit dieser Methode können Sie eine SAML-Authentifizierungsdomäne (Security Assertion Markup Language) verwenden, um Benutzer mit Ihrer Firebox zu authentifizieren. Mit SAML können Sie Daten zwischen einem Identitätsanbieter (IdP) und einem Service-Provider (SP) austauschen.
In der SAML-Konfiguration auf der Firebox konfigurieren Sie die Firebox als SP und einen Drittanbieterdienst als IdP.
Firebox-Authentifizierung konfigurieren
Bevor Sie Firebox-DB-Benutzer zur Konfiguration von Mobile VPN with IKEv2 oder Mobile VPN with SSL hinzufügen können, müssen Sie diese zur Firebox-Authentifizierungsdatenbank (Firebox-DB) hinzufügen. Weitere Informationen finden Sie unter Benutzer-Authentifizierung für die Firebox-Datenbank konfigurieren.
RADIUS-Authentifizierung konfigurieren
Um Mobile VPN with IKEv2 oder Mobile VPN with SSL so zu konfigurieren, dass die Benutzer mit einem RADIUS-Server authentifiziert werden können, müssen Sie folgendes Verfahren einhalten:
Konfigurieren Sie die Authentifizierungsdomäne in WatchGuard Cloud:
- Fügen Sie in WatchGuard Cloud Gemeinsame Konfigurationen eine Authentifizierungsdomäne für Ihren RADIUS-Server hinzu. Weitere Informationen finden Sie unter Authentifizierungsdomäne zu WatchGuard Cloud hinzufügen.
- Fügen Sie in der Authentifizierungsdomäne Benutzer und Gruppen hinzu, die auf Ihrem RADIUS-Server vorhanden sind. Weitere Informationen finden Sie unter Benutzer, Gruppen und Geräte zu einer Authentifizierungsdomäne hinzufügen.
Konfigurieren Sie die Firebox-Authentifizierungseinstellungen:
- Fügen Sie in den Einstellungen für die Firebox-Authentifizierung die Domäne für die Authentifizierung hinzu. Weitere Informationen finden Sie unter Authentifizierungsdomäne zu einer Firebox hinzufügen.
- Fügen Sie in der Konfiguration für Mobile VPN with IKEv2 oder Mobile VPN with SSL die Authentifizierungsdomäne hinzu und fügen Sie die Benutzer und Gruppen hinzu, die Sie über Mobile VPN verbinden möchten. Weitere Informationen finden Sie unter Mobile VPN with IKEv2 für eine Cloud-verwaltete Firebox konfigurieren und Mobile VPN with SSL für eine Cloud-verwaltete Firebox konfigurieren.
Active Directory-Authentifizierung konfigurieren
Um Mobile VPN with SSL zur Authentifizierung von Benutzern mit einem Active Directory-Server zu konfigurieren, müssen Sie folgendes Verfahren einhalten:
Konfigurieren Sie die Authentifizierungsdomäne in WatchGuard Cloud:
- Fügen Sie in WatchGuard Cloud Gemeinsame Konfigurationen eine Authentifizierungsdomäne für Ihren Active Directory-Server hinzu. Weitere Informationen finden Sie unter Authentifizierungsdomäne zu WatchGuard Cloud hinzufügen.
- Fügen Sie in der Authentifizierungsdomäne Benutzer und Gruppen hinzu, die auf Ihrem Active Directory-Server vorhanden sind. Weitere Informationen finden Sie unter Benutzer, Gruppen und Geräte zu einer Authentifizierungsdomäne hinzufügen.
Konfigurieren Sie die Firebox-Authentifizierungseinstellungen:
- Fügen Sie in den Einstellungen für die Firebox-Authentifizierung die Domäne für die Authentifizierung hinzu. Weitere Informationen finden Sie unter Authentifizierungsdomäne zu einer Firebox hinzufügen.
- Fügen Sie in der Mobile VPN with SSL-Konfiguration die Authentifizierungsdomäne hinzu und fügen Sie die Benutzer und Gruppen hinzu, die Sie über Mobile VPN verbinden möchten. Weitere Informationen finden Sie unter Mobile VPN with IKEv2 für eine Cloud-verwaltete Firebox konfigurieren und Mobile VPN with SSL für eine Cloud-verwaltete Firebox konfigurieren.
AuthPoint-Authentifizierung konfigurieren
Um Mobile VPN with IKEv2 oder Mobile VPN with SSL so zu konfigurieren, dass die Benutzer mit AuthPoint authentifiziert werden können, müssen Sie folgendes Verfahren einhalten:
AuthPoint konfigurieren:
- Fügen Sie in AuthPoint Benutzer und Gruppen hinzu. Weitere Informationen finden Sie unter Benutzerkonten hinzufügen und AuthPoint-Gruppen hinzufügen.
- Fügen Sie Ihre Cloud-verwaltete Firebox in AuthPoint als Firebox-Ressource hinzu. Weitere Informationen finden Sie unter MFA für eine Firebox konfigurieren.
- Fügen Sie eine oder mehrere Authentifizierungsregeln für die Firebox-Ressource hinzu. Weitere Informationen finden Sie unter Über AuthPoint-Authentifizierungsregeln.
Konfigurieren Sie die Firebox-Authentifizierungseinstellungen:
- Wählen Sie in der Firebox-Konfiguration für Mobile VPN with IKEv2- oder Mobile VPN with SSL auf der Seite Authentifizierungsdomänen hinzufügen AuthPoint aus.
- Wählen Sie die AuthPoint-Benutzer und -Gruppen aus, die Sie über Mobile VPN verbinden wollen, oder fügen Sie diese hinzu. Weitere Informationen finden Sie unter Mobile VPN with IKEv2 für eine Cloud-verwaltete Firebox konfigurieren und Mobile VPN with SSL für eine Cloud-verwaltete Firebox konfigurieren.
SAML-Authentifizierung konfigurieren
Um den Mobile VPN with SSL-Client für die Authentifizierung von Benutzern mit einer SAML-Domäne zu konfigurieren, müssen Sie die folgenden Schritte in WatchGuard Cloud ausführen:
- Hinzufügen einer SAML-Authentifizierungsdomäne. Weitere Informationen finden Sie unter Authentifizierungsdomäne zu einer Firebox hinzufügen.
- Hinzufügen von Benutzern und Gruppen zum Identitätsanbieter-Konto. Wenn Sie beispielsweise Azure Active Directory als Identitätsanbieter verwenden, können Benutzer sich mit ihren Azure Active Directory-Zugangsdaten und dem Mobile VPN with SSL-Client bei der Firebox anmelden.
- Konfigurieren Sie Mobile VPN with SSL-Client mit der SAML-Authentifizierungsdomäne und den Benutzern und Gruppen, die Sie über das Mobile VPN verbinden möchten. Weitere Informationen finden Sie unter Mobile VPN with SSL für eine Cloud-verwaltete Firebox konfigurieren.
Benutzergruppen
In der Mobile VPN with IKEv2-Konfiguration für eine Cloud-verwaltete Firebox gibt es die Standard-Benutzergruppe IKEv2-Users. Diese Gruppe erlaubt die Authentifizierung von Benutzern in dieser Gruppe aus beliebigen Domänen. Alle Benutzer und Gruppen, die Sie der Mobile VPN with IKEv2-Konfiguration hinzufügen, werden auch der Gruppe IKEv2-Users hinzugefügt.
In der Mobile VPN with SSL-Konfiguration für eine Cloud-verwaltete Firebox gibt es die Standard-Benutzergruppe SSLVPN-Users. Diese Gruppe erlaubt die Authentifizierung von Benutzern in dieser Gruppe aus beliebigen Domänen. Alle Benutzer und Gruppen, die Sie zur Konfiguration für Mobile VPN with SSL hinzufügen, werden auch der Gruppe SSLVPN-Users hinzugefügt.
Cloud-verwaltete Fireboxen zu WatchGuard Cloud hinzufügen