Gilt für: AuthPoint-Multi-Faktor-Authentifizierung, AuthPoint Total Identity Security
AuthPoint ist der Dienst für die WatchGuard Identity Security und die Multi-Faktor-Authentifizierung (MFA). Mit AuthPoint können Sie die Benutzer auffordern, sich mit der AuthPoint Mobile App oder einem Hardware-Token zu authentifizieren, wenn sie sich bei einer geschützten Ressource anmelden, z. B. einem Computer, VPN, bei einem Cloud-Dienst oder bei einer Anwendung.
Da AuthPoint die Authentifizierung der Benutzer vor der Anmeldung verlangt, sind die Daten in Ihren Cloud-Anwendungen und -Diensten geschützt.
AuthPoint verwendet die neuesten MFA-Methoden, um Ihre vertrauenswürdigen Ressourcen vor unberechtigtem Zugriff zu schützen. Sie können für bestimmte Benutzergruppen und Anwendungen unterschiedliche Authentifizierungsmethoden auswählen:
- Push-Benachrichtigung — Wenn Sie sich anmelden, sendet AuthPoint eine Push-Benachrichtigung an Ihr Mobilgerät, die Sie zur Authentifizierung und Anmeldung freigeben oder ablehnen, um einen Zugriffsversuch zu verhindern, der nicht von Ihnen stammt
- QR-Code — Wenn Sie sich anmelden, scannen Sie einen QR-Code mit der AuthPoint Mobile App und verwenden den erhaltenen Verifizierungscode zur Authentifizierung (AuthPoint verwendet sichere QR-Codes, die nur von der AuthPoint Mobile App entschlüsselt werden können)
- Einmalpasswort (OTP) — Ein OTP ist ein einmaliges, temporäres Passwort, das in der AuthPoint App verfügbar ist und mit dem Sie sich authentifizieren können
Die Benutzer installieren die AuthPoint Mobile App auf ihrem Smartphone. Wenn sie sich dann bei einem Online-Dienst oder VPN anmelden, müssen sie sich mit einer der oben beschriebenen Methoden authentifizieren.
AuthPoint umfasst die folgenden Produkte:
AuthPoint-Multi-Faktor-Authentifizierung
Die AuthPoint-Multi-Faktor-Authentifizierung bietet die Sicherheit, die Sie benötigen, um Identitäten, Vermögenswerte, Konten und Daten vor unbefugtem Zugriff zu schützen. Mit AuthPoint müssen sich die Benutzer authentifizieren, wenn sie sich bei einer geschützten Ressource anmelden.
AuthPoint Total Identity Security
AuthPoint Total Identity Security bietet die Sicherheit, die Sie benötigen, um Identitäten, Assets, Konten und Daten vor nicht autorisiertem Zugriff zu schützen. Sie erweitert die Funktionen der AuthPoint-Multi-Faktor-Authentifizierung mittels der Dark Web-Überwachung von Endnutzer-Zugangsdaten.
In dieser Dokumentation bezieht sich AuthPoint im Allgemeinen auf beide Produkte.
Wie Sie die Multi-Faktor-Authentifizierung mit Ihrer Firebox und Anwendungen und Diensten von Drittanbietern einrichten, erfahren Sie in den AuthPoint-Integrationsleitfäden. Um AuthPoint MFA zu testen, siehe AuthPoint-Schnellstart.
Komponenten in AuthPoint
AuthPoint besteht aus mehreren Komponenten:
AuthPoint-Verwaltungsoberfläche
Über die AuthPoint-Verwaltungsoberfläche in WatchGuard Cloud können Sie Benutzer, Benutzergruppen, Authentifizierungsregeln, Ressourcen und externe Identitäten einrichten und verwalten. Ressourcen sind die Anwendungen, die Sie für die Verwendung mit AuthPoint definieren. Externe Identitäten stellen eine Verbindung zu Benutzerdatenbanken her, um Informationen über Benutzerkonten abzurufen und Passwörter zu validieren.
AuthPoint Mobile App
Die AuthPoint Mobile App ist für die Authentifizierung erforderlich. Mit der AuthPoint Mobile App können Sie Ihre Tokenund Ihre gespeicherten Zugangsdaten anzeigen und verwalten sowie Push-Benachrichtigungen genehmigen, OTPs abrufen und QR-Codes scannen. Sie können auch die Token-Sicherheit aktivieren, um Ihre Token mit einer PIN oder einer biometrischen ID zu schützen.
AuthPoint-Browsererweiterungen
AuthPoint-Browsererweiterungen werden für die Passwort-Verwaltung mit AuthPoint Total Identity Security verwendet. Mithilfe der AuthPoint-Browsererweiterungen können Sie Ihre Zugangsdaten in einem persönlichen Passwort-Safe speichern und verwalten.
AuthPoint Gateway
Das AuthPoint Gateway ist eine leichtgewichtige Softwareanwendung, die Sie in Ihrem Netzwerk installieren, damit AuthPoint mit Ihren RADIUS-Clients und LDAP-Datenbanken kommunizieren kann. Das Gateway fungiert als RADIUS-Server und ist für die RADIUS-Authentifizierung und für LDAP-Benutzer zur Authentifizierung mit SAML-Ressourcen erforderlich.
Das Installationsprogramm für das AuthPoint Gateway ist auf der Seite Downloads in der AuthPoint-Verwaltungsoberfläche verfügbar.
Logon App
Mit der Logon App kann die Authentifizierung eines Benutzers bei einem Computer oder Server obligatorisch gemacht werden. Dazu gehört auch der Schutz für RDP und RD Gateway. Die Logon App besteht aus zwei Teilen: dem Agent, den Sie auf einem Computer oder Server installieren, und der Ressource, die Sie in AuthPoint konfigurieren.
Die Logon App Agents für Windows und macOS sind auf der Seite Downloads in der AuthPoint-Verwaltungsoberfläche verfügbar.
Agent für ADFS
Mit AuthPoint ADFS Agent können Sie ADFS eine Multi-Faktor-Authentifizierung (MFA) für zusätzliche Sicherheit hinzufügen. Um MFA für ADFS zu konfigurieren, müssen Sie das AuthPoint Gateway installiert haben.
Das Installationsprogramm für ADFS Agent ist auf der Seite Downloads in der AuthPoint-Verwaltungsoberfläche verfügbar.
Agent für RD Web
AuthPoint Agent für RD Web ergänzt RD Web Access um den Schutz der Multi-Faktor-Authentifizierung. AuthPoint Agent für RD Web besteht aus zwei Teilen: dem Agent, den Sie installieren, und der Ressource, die Sie in AuthPoint konfigurieren.
Das RD Web Agent-Installationsprogramm ist auf der Seite Downloads in der AuthPoint-Verwaltungsoberfläche verfügbar.
AuthPoint-Lizenzen
AuthPoint ist ein Subscription-Security-Service. Um AuthPoint zu verwenden, müssen Sie eine AuthPoint-Lizenz in Ihrem WatchGuard-Konto aktivieren. Die AuthPoint-Lizenz bestimmt die Anzahl der Benutzer, die Sie für die Nutzung von AuthPoint für die Multi-Faktor-Authentifizierung konfigurieren können. Wenn Sie Ihren AuthPoint-Lizenzschlüssel aktivieren, werden die Benutzerlizenzen zu Ihrem AuthPoint-Konto in WatchGuard Cloud hinzugefügt.
Wenn Sie ein WatchGuard Cloud Service-Provider sind, können Sie AuthPoint-Benutzerlizenzen Konten zuweisen, die Sie in WatchGuard Cloud verwalten.
Service-Provider können sowohl AuthPoint-Multi-Faktor-Authentifizierungs- als auch AuthPoint Total Identity Security-Lizenzen aktivieren, um Benutzer zu ihrem Inventar hinzuzufügen. Subscriber-Konten können nur ein AuthPoint-Produkt (Multi-Faktor-Authentifizierung oder Total Identity Security) haben.
AuthPoint-Benutzertypen
Wenn Sie lokale AuthPoint-Benutzer zu Verzeichnissen und Domänen-Diensten hinzufügen, können Sie wählen, ob dies ein MFA-Benutzer oder ein Nicht-MFA-Benutzer ist.
MFA-Benutzer
MFA-Benutzer sind Benutzerkonten, die für die Authentifizierung die Multi-Faktor-Authentifizierung von AuthPoint nutzen. Dies steht nicht mit dem Produkt AuthPoint-Multi-Faktor-Authentifizierung im Zusammenhang.
Nicht-MFA-Benutzer
Nicht-MFA-Benutzer sind Benutzer, die sich immer nur mit einem Passwort authentifizieren, wie z. B. ein Dienstkontobenutzer. Nicht-MFA-Benutzer verbrauchen keine AuthPoint-Benutzerlizenz und können sich nicht bei Ressourcen authentifizieren, die MFA erfordern. Sie können sich nur an geschützten Ressourcen authentifizieren, falls für das Nicht-MFA-Benutzerkonto eine Regel für die Authentifizierung nur mit Passwort für diese Ressource vorliegt.
Nachdem Sie einen Benutzer hinzugefügt haben, können Sie das Benutzerkonto bearbeiten, wenn Sie dessen Kontotyp ändern müssen. Wenn Sie ein Benutzerkonto von MFA zu Nicht-MFA ändern, löscht AuthPoint die Token und den Passwort-Safe (falls zutreffend) für diesen Benutzer. Diese Aktion kann nicht rückgängig gemacht werden.
AuthPoint-Verwaltungsoberfläche
Um AuthPoint einzurichten und zu verwalten, verwenden Sie die AuthPoint-Verwaltungsoberfläche in WatchGuard Cloud. Um eine Verbindung zu WatchGuard Cloud herzustellen, gehen Sie zu cloud.watchguard.com. Melden Sie sich mit Ihren Zugangsdaten für die WatchGuard-Website an.
AuthPoint konfigurieren
Um AuthPoint zu konfigurieren, wählen Sie Konfigurieren > AuthPoint. Wenn Sie ein Service-Provider-Konto haben, müssen Sie ein Konto aus dem Kontomanager-Menü auswählen, um AuthPoint für dieses Konto zu konfigurieren.
Auf der Seite Zusammenfassung werden Kacheln mit zusammenfassenden Konfigurationsinformationen angezeigt.
Um die AuthPoint-Einstellungen zu konfigurieren, können Sie auf den Titel der Kachel oder auf die Verwaltungslinks klicken:
- Ressourcen — Konfigurieren der Anwendungen und Dienste, mit denen sich Ihre Benutzer verbinden.
- Gruppen — Konfigurieren der Benutzergruppen und Hinzufügen von Zugriffsregeln, die festlegen, bei welchen Ressourcen sich die Benutzer dieser Gruppe authentifizieren und welche Authentifizierungsmethoden sie verwenden können (Push, QR-Code und OTP).
- Benutzer — Verwalten der AuthPoint-Benutzer und -Token. Sie können lokale AuthPoint-Benutzer anlegen oder LDAP-Benutzer von einem externen Authentifizierungsserver importieren. Jeder Benutzer kann nur Mitglied in einer AuthPoint-Gruppe sein.
- Externe Identitäten — Konfigurieren der Informationen, die AuthPoint benötigt, um sich mit Ihrer Active Directory und LDAP-Datenbank zu verbinden, um Benutzerkontoinformationen zu erhalten und Passwörter zu validieren.
- Gateway — Konfigurieren der Einstellungen für das AuthPoint Gateway, eine leichtgewichtige Softwareanwendung, die Sie in Ihrem Netzwerk installieren, sodass AuthPoint mit Ihren RADIUS-Clients, dem AuthPoint Agent für ADFS und Ihrer Active Directory und LDAP-Datenbank kommunizieren kann.
- Hardware-Token — Importieren der Hardware-Token und deren Verknüpfung mit Benutzern.
Die Elemente im AuthPoint-Verwaltungsmenü sind in der optimalen Reihenfolge für die Konfiguration aufgelistet. Wir empfehlen Ihnen, bei Ressourcen zu beginnen und sich durch die einzelnen Elemente der Liste zu arbeiten, bis Ihre Konfiguration abgeschlossen ist.
AuthPoint überwachen
Verwenden Sie AuthPoint-Dashboards und -Berichte, um die AuthPoint-Aktivitäten und deren Status zu überwachen.
Um AuthPoint zu überwachen, wählen Sie Überwachen > AuthPoint. Wenn Sie ein Service-Provider-Konto haben, müssen Sie ein Konto aus dem Kontomanager-Menü auswählen, um AuthPoint für dieses Konto zu überwachen.
Im Abschnitt Überwachen der AuthPoint-Verwaltungsoberfläche können diese Dashboards und Berichte eingesehen werden:
- Benutzeraktivität — Ein Balkendiagramm, das anzeigt, wie oft sich ein aktiver Benutzer authentifiziert hat, wann sich ein inaktiver Benutzer zuletzt authentifiziert hat und wie und wann blockierte Benutzer blockiert wurden.
- Authentifizierung — Ein Balkendiagramm, das erfolgreiche und fehlgeschlagene Authentifizierungsversuche aller Benutzer anzeigt. Für jeden Versuch wird in einer Liste das Authentifizierungsdatum, das verwendete Token, die Authentifizierungsmethode und die Ressource angezeigt, für die sich der Benutzer authentifiziert hat.
- Ressourcenaktivität — Ein Balkendiagramm der Ressourcen, das erfolgreiche und fehlgeschlagene Authentifizierungsversuche für alle Ressourcen anzeigt. Für jeden Versuch wird in einer Liste angezeigt, welcher Benutzer sich authentifiziert hat, das Authentifizierungsdatum, das verwendete Token und die Authentifizierungsmethode.
- Abgelehnte Push-Benachrichtigungen — Ein Balkendiagramm, das anzeigt, wie viele Push-Benachrichtigungen von Benutzern abgelehnt wurden.
- Aktivierungsaktivität — Zeigt eine Liste von Benutzer-Token, die noch nicht aktiviert worden sind.
- Synchronisierungsaktivität — Zeigt Informationen über die Synchronisierung Ihrer LDAP-Datenbank an, wenn Sie eine externe Identität hinzugefügt haben.
Auditprotokolle und Benachrichtigungen, die unter dem Menü Administration verfügbar sind, stellen zusätzliche Informationen über AuthPoint-Ereignisse bereit, die für die Fehlersuche nützlich sein können.
Siehe auch
Schnellstart — AuthPoint einrichten
AuthPoint-Bereitstellungsanleitung