Gilt für: AuthPoint-Multi-Faktor-Authentifizierung, AuthPoint Total Identity Security
Konfigurieren Sie Authentifizierungsregeln, bei welchen Ressourcen sich AuthPoint-Benutzer authentifizieren können und welche Authentifizierungsmethoden möglich sind (Push, QR-Code und OTP). Wenn Sie eine Authentifizierungsregel konfigurieren, legen Sie Folgendes fest:
- Ob die Regel Authentifizierungen zulässt oder ablehnt.
- Welche Authentifizierungsmethoden erforderlich sind.
- Für welche Ressourcen die Regel gilt.
- Für welche Benutzergruppen die Regel gilt.
- Welche Regelobjekte für die Authentifizierungen gelten.
Benutzer, die nicht Mitglied von Gruppen sind, die eine Authentifizierungsregel für eine bestimmte Ressource haben, können sich nicht authentifizieren, um sich bei dieser Ressource anzumelden.
Authentifizierungsregeln haben mehrere Schlüsselkomponenten:
Ressourcen
Ressourcen sind die Anwendungen und Dienste, mit denen sich Ihre Benutzer verbinden, z. B. Salesforce, Microsoft 365, ein VPN oder Ihre Firebox. Wenn Sie eine Ressource hinzufügen, geben Sie die Informationen an, die für die Verbindung mit dieser Ressource erforderlich sind.
Gruppen
Mit Gruppen legen Sie fest, auf welche Ressourcen Ihre Benutzer Zugriff haben. Fügen Sie Benutzer zu AuthPoint-Gruppen hinzu, fügen Sie diese Gruppen danach zu den Authentifizierungsregeln hinzu, die festlegen, bei welchen Ressourcen sich die Benutzer authentifizieren können.
Regelobjekte
Regelobjekte sind die individuellen konfigurierbaren Komponenten einer Regel, wie z. B. Netzwerkstandorte. Sie konfigurieren Regelobjekte und fügen sie dann zu Authentifizierungsregeln hinzu. Wenn Sie ein Regelobjekt zu einer Authentifizierungsregel hinzufügen, gilt die Regel nur für Benutzerauthentifizierungen, die den Bedingungen der Authentifizierung und der Regelobjekte entsprechen. Wenn Sie zum Beispiel einen bestimmten Netzwerkstandort zu einer Regel hinzufügen, gilt die Regel nur für Benutzerauthentifizierungen, die von diesem Netzwerkstandort stammen.
Mit den Regelobjekten des Netzwerkstandortes können Sie eine Liste von IP-Adressen konfigurieren. Sie können dann spezifische Authentifizierungsregeln konfigurieren, die nur dann gelten, wenn sich Benutzer von diesen IP-Adressen aus authentifizieren.
Mit Geofence-Regelobjekten können Sie eine Länderliste festlegen. Sie können dann Authentifizierungsregeln konfigurieren, die nur dann gelten, wenn sich Benutzer von den spezifischen Ländern aus authentifizieren.
Mit Geokinetik-Regelobjekten können Sie Regelobjekte erstellen, die den aktuellen Standort des Benutzers mit dem Standort seiner letzten gültigen Authentifizierung vergleichen. AuthPoint lehnt Authentifizierungen von einem Standort automatisch ab, wenn der Benutzer diesen seit seiner letzten Authentifizierung aufgrund der Entfernung und der Zeitdauer zwischen den Authentifizierungen nicht hätte erreichen können.
Mithilfe von Zeitplan-Regelobjekten können Sie die Daten und Zeiten angeben, zu denen Authentifizierungsregeln für Benutzerauthentifizierungen gelten.
Anforderungen und Empfehlungen
Achten Sie bei der Konfiguration von Regeln darauf, dass Sie diese Anforderungen und Empfehlungen beachten:
- Sie müssen mindestens eine Gruppe haben, bevor Sie Authentifizierungsregeln konfigurieren können.
- Für die RADIUS-Authentifizierung und Basis-Authentifizierung (ECP), kommen die Regeln mit Netzwerkstandort oder Geofence nicht zur Anwendung, da AuthPoint die IP-Adresse des Endnutzers oder die Herkunfts-IP-Adresse nicht kennt.
- Regeln mit Regelobjekten gelten nur für Benutzerauthentifizierungen, die die Bedingungen aller Regelobjekte erfüllen. Benutzer, die nur über eine Regel verfügen, die Regelobjekte enthalten, erhalten keinen Zugriff auf die Ressource, wenn die Bedingungen des Regelobjekts nicht auf die Authentifizierung zutreffen. Das liegt daran, dass es keine entsprechende Regel gibt, und nicht daran, dass die Authentifizierung abgelehnt wird.
- Regeln mit Netzwerkstandorten gelten nur für Benutzerauthentifizierungen, die von diesem Netzwerkstandort stammen. Benutzer, die nur über eine Regel verfügen, die einen Netzwerkstandort einschließt, können nicht auf die Ressource zugreifen, wenn sie sich außerhalb dieses Netzwerkstandortes authentifizieren.
- Regeln mit Geofences gelten nur für Benutzerauthentifizierungen, die aus einem im Geofence-Regelobjekt angegebenen Land stammen. Benutzer, für die nur eine Regel mit Geofence gilt, können nicht auf die Ressource zugreifen, wenn sie sich von außerhalb der angegebenen Länder authentifizieren.
- Regeln mit Zeitplänen gelten nur für Benutzerauthentifizierungen während des angegebenen Zeitplans. Benutzer, die nur über eine Regel verfügen, die einen Zeitplan enthält, können nicht auf die Ressource zugreifen, wenn sie sich außerhalb dieses Zeitplans authentifizieren.
- Regeln mit Geokinetik wirken sich nicht auf die Bedingungen einer Authentifizierung aus.
-
Bei der Konfiguration der Regelobjekteempfehlen wir, eine zweite Regel für dieselben Gruppen und Ressourcen ohne die Regelobjekte erstellen. Weisen Sie der Regel mit den Regelobjekten eine höhere Priorität zu.
Geokinetik-Regelobjekte verhalten sich anders als andere Regelobjekte, da sie nach einer abgeschlossenen Authentifizierung angewendet werden. Die Geokinetik-Technologie wirkt sich nicht auf die Bedingungen einer Authentifizierung aus: Wenn Sie also ein Geokinetik-Regelobjekt zu einer Authentifizierungsregel hinzufügen, müssen Sie keine zweite Regel ohne das Geokinetik-Regelobjekt erstellen.
- Wir empfehlen, dass die Authentifizierungsregel für die Logon App die Authentifizierungsoptionen QR-Code oder OTP enthält, damit sich Benutzer auch ohne Internetverbindung authentifizieren können.
- Die Offline-Authentifizierung wird nur durch die Logon App-Ressource unterstützt.
- Wenn Sie die Authentifizierungsmethoden Push und OTP für eine Regel aktivieren, verwenden die mit der Regel verknüpften RADIUS-Ressourcen Push-Benachrichtigungen für die Authentifizierung der Benutzer.
- Sie müssen die Push-Authentifizierungsmethode für Regeln mit MS-CHAPv2 RADIUS-Ressourcen aktivieren.
- Die QR-Code-Authentifizierung wird von RADIUS-Ressourcen nicht unterstützt.
Authentifizierungsregeln hinzufügen
Konfigurieren einer Authentifizierungsregel in der AuthPoint-Verwaltungsoberfläche:
- Wählen Sie Authentifizierungsregeln.
- Klicken Sie auf Regel hinzufügen.
- Geben Sie einen Namen für die Regel ein.
- Wählen Sie in der Dropdown-Liste Authentifizierungsoptionen auswählen eine Option aus, um festzulegen, ob für diese Regel eine MFA obligatorisch ist oder ob Authentifizierungen abgelehnt werden sollen.
- Authentifizierungsoptionen — Erfordert MFA, wenn sich Benutzer in den mit dieser Regel verknüpften Gruppen bei den mit dieser Regel verknüpften Ressourcen authentifizieren.
- Authentifizierung nicht zugelassen — Authentifizierungen verweigern, wenn Benutzer in den mit dieser Regel verknüpften Gruppen versuchen, sich bei den mit dieser Regel verknüpfen Ressourcen zu authentifizieren
-
Wenn Sie MFA für diese Regel benötigen, aktivieren Sie das Kontrollkästchen für jede Authentifizierungsoption, aus der die Benutzer bei der Authentifizierung wählen können. Weitere Informationen zu den Authentifizierungsmethoden finden Sie unter Über Authentifizierung.
Wenn Sie die Authentifizierungsmethoden Push und OTP für eine Regel aktivieren, verwenden die mit der Regel verknüpften RADIUS-Ressourcen Push-Benachrichtigungen für die Authentifizierung der Benutzer.
Die QR-Code-Authentifizierung wird für RADIUS-Ressourcen nicht unterstützt.
Geokinetik-Regelobjekte kommen für die Logon App, RD Web und ADFS-Ressourcen nicht zur Anwendung, wenn die Authentifizierungsregel nur ein Kennwort (keine MFA) erfordert.
- Wenn Sie für Regeln, die eine Microsoft 365-Ressource enthalten, eine Authentifizierung für eine Maschine oder eine Ressource benötigen, die Teil Ihrer Microsoft 365-Domäne ist, aber keine MFA verwenden kann, wie z. B. einen Drucker, aktivieren Sie das Kontrollkästchen Basis-Authentifizierung. Die Basisauthentifizierung wird auch als Enhanced Client or Proxy (ECP) bezeichnet.
- Wählen Sie aus der Liste Gruppen aus, für welche Gruppen diese Regel gilt. Sie können mehr als eine Gruppe auswählen. Um diese Regel so zu konfigurieren, dass sie für alle Gruppen gilt, wählen Sie Alle Gruppen.
- Wählen Sie in der Liste Ressourcen aus, für welche Ressourcen diese Regel gilt. Um diese Regel so zu konfigurieren, dass sie für alle Ressourcen gilt, wählen Sie Alle Ressourcen.
- Wählen Sie aus, welche Regelobjekte für diese Regel gelten. Wenn Sie ein Regelobjekt zu einer Authentifizierungsregel hinzufügen, gilt die Regel nur für Benutzerauthentifizierungen, die den Bedingungen der Authentifizierung und der Regelobjekte entsprechen. Wenn Sie zum Beispiel einen bestimmten Netzwerkstandort zu einer Regel hinzufügen, gilt die Regel nur für Benutzerauthentifizierungen, die von diesem Netzwerkstandort stammen. Weitere Informationen über Regelobjekte finden Sie unter Über Regelobjekte.
Für die RADIUS-Authentifizierung und die Basis-Authentifizierung (ECP) gelten Regeln weder mit Netzwerkstandort noch mit Geofence, da AuthPoint die IP-Adresse des Benutzers oder die ursprüngliche IP-Adresse nicht kennt.
Wenn Sie Regelobjekte konfigurieren, empfehlen wir Ihnen, eine zweite Regel für dieselben Gruppen und Ressourcen ohne die Regelobjekte zu erstellen. Weisen Sie der Regel mit den Regelobjekten eine höhere Priorität zu. Weitere Informationen finden Sie unter Über Reihenfolge der Regel.
- Klicken Sie auf Speichern.
Ihre Regel wird erstellt und an das Ende der Regelliste angehängt.Nachdem Sie eine neue Regel erstellt haben, empfehlen wir Ihnen, die Reihenfolge Ihrer Regeln zu überprüfen. AuthPoint fügt neue Regeln immer an das Ende der Regelliste an.
