Über externe Identitäten

Gilt für: AuthPoint-Multi-Faktor-Authentifizierung, AuthPoint Total Identity Security Dieses Thema gilt für Konten mit einer Lizenz für AuthPoint-Multi-Faktor-Authentifizierung oder AuthPoint Total Identity Security.

In AuthPoint können Sie Benutzer aus Active Directory, Azure Active Directory oder einer Lightweight Directory Access Protocol (LDAP)-Datenbank synchronisieren. Auf diese Weise können Sie Benutzer, die in Ihrem Netzwerk bereits definiert sind, schnell AuthPoint hinzufügen.

Um Benutzer aus einer externen Benutzerdatenbank zu synchronisieren, müssen Sie eine externe Identität hinzufügen und eine oder mehrere Abfragen erstellen. Externe Identitäten stellen eine Verbindung zu externen Benutzerdatenbanken her, um Informationen über Benutzerkonten abzurufen und Passwörter zu validieren.

Es gibt zwei Typen von externen Identitäten:

LDAP

Verwenden Sie die Lightweight Directory Access Protocol (LDAP)-externe Identität, um Benutzer aus Active Directory oder einer LDAP-Datenbank zu synchronisieren.

Sie müssen externe LDAP-Identitäten zur Konfiguration eines Gateways hinzufügen und das AuthPoint Gateway in Ihrem Firmennetzwerk an einem Ort installieren, der über einen Internetzugang verfügt und eine Verbindung zu Ihrem LDAP-Server herstellen kann. Das Gateway ermöglicht die Kommunikation zwischen WatchGuard Cloud und Ihrer Active Directory- oder LDAP-Datenbank.

Azure AD

Verwenden Sie externe Azure AD-Identität, um Benutzer aus Azure AD zu synchronisieren. Für diesen Typ der externen Identität ist das AuthPoint Gateway nicht erforderlich.

Für jede externe Identität müssen Sie angeben, welche Benutzer synchronisiert werden sollen. Es gibt zwei Möglichkeiten, Benutzer zu synchronisieren:

• Gruppen synchronisieren — Wählen Sie die Gruppen aus, von denen Sie Benutzer synchronisieren möchten. AuthPoint erstellt eine Abfrage für Sie.
• Erweiterte Abfragen — Erstellen Sie Ihre eigenen Abfragen, um die zu synchronisierenden Gruppen oder Benutzer festzulegen.

Nachdem Sie eine Gruppensynchronisierung oder eine erweiterte Abfrage hinzugefügt haben, synchronisiert sich AuthPoint mit Ihrer externen Benutzerdatenbank beim nächsten Synchronisierungsintervall Dies ist in der Dropdown-Liste Synchronisierungsintervall auf der LDAP-Konfigurationsseite für Ihre externe Identität definiert. und erstellt für jeden gefundenen Benutzer ein AuthPoint-Benutzerkonto. Wenn Ihre Abfrage mehr Benutzer ergibt, als Sie Lizenzen zur Verfügung haben, werden bei der Synchronisierung nur so viele Benutzer erstellt, wie Ihre Lizenz unterstützt.

Benutzer, für die in der externen Benutzerdatenbank kein Vorname, kein Benutzername und keine E-Mail-Adresse definiert ist, werden bei der Synchronisierung nicht berücksichtigt.

AuthPoint speichert keine Passwörter für synchronisierte Benutzer. Wenn sich ein synchronisierter Benutzer authentifiziert, sendet AuthPoint die LDAP-Zugangsdaten zur Validierung an den Domänen-Controller. Nachdem der Domänen-Controller die Zugangsdaten überprüft hat, verwaltet AuthPoint alle anderen Authentifizierungsoptionen, die in den Authentifizierungsregeln angegeben sind.

Wenn Sie eine Abfrage erstellen, um Ihre Benutzer zu finden (manuell oder mit Gruppensynchronisierung), müssen Sie festlegen, ob AuthPoint ein mobiles Token für die synchronisierten Benutzer erstellen und diesen eine E-Mail senden soll, um ihr mobiles Token zu aktivieren. Dies erfolgt standardmäßig durch AuthPoint. In den meisten Fällen empfehlen wir, dass Sie Benutzern ein Token zuweisen und ihnen eine E-Mail zur Token-Aktivierung senden. Benutzerkonten benötigen ein Token für die Authentifizierung bei AuthPoint. Sie können sich entscheiden, dies für Benutzer, die Hardware-Token zur Authentifizierung nutzen, oder für Dienstkonten, die MFA mit Standardauthentifizierung umgehen, nicht zu tun.

Um einem Benutzer, für den ein Token nicht automatisch erstellt wurde, ein Token zuzuweisen und die E-Mail zur Token-Aktivierung zu senden, müssen Sie die E-Mail zur Token-Aktivierung erneut senden. Weitere Informationen finden Sie unter Aktivierungs-E-Mail erneut senden.

Benutzer in Quarantäne

Wenn Sie ein Benutzerkonto in Ihrer LDAP-Datenbank verschieben oder löschen, ändert sich der Status des verknüpften AuthPoint-Benutzerkontos auf In Quarantäne. In der Benutzerliste werden Benutzerkonten in Quarantäne mit einem gelben Symbol neben dem Benutzernamen angezeigt.

Ein AuthPoint-Benutzerkonto kann auch in Quarantäne sein, wenn die externe Identität gelöscht oder andere Domäneninformationen geändert wurden.

Benutzerkonten in Quarantäne können sich nicht authentifizieren, bis Sie diese wiederherstellen oder an den ursprünglichen Speicherort in der LDAP-Datenbank zurück verschieben. Weitere Informationen finden Sie unter Benutzer in Quarantäne.

Ähnliche Themen

Benutzer aus Active Directory oder LDAP synchronisieren

Benutzer aus Azure Active Directory synchronisieren

Testen der Verbindung zu einer externen Identität