Gilt für: AuthPoint-Multi-Faktor-Authentifizierung, AuthPoint Total Identity Security
Mit dem Geofence-Regelobjekt können Sie eine Länderliste vorgeben und dann Authentifizierungsregeln konfigurieren, die nur angewendet werden, wenn Benutzer sich aus diesen Ländern authentifizieren. Sie könnten dies tun, falls Sie unterschiedliche MFA-Anforderungen für verschiedene Standorte umsetzen oder die Authentifizierung aus bestimmten Ländern blockieren wollen.
Wenn Sie einer Authentifizierungsregel einen Geofence hinzufügen, gilt die Regel nur für Benutzerauthentifizierungen, die aus einem im Geofence-Regelobjekt angegebenen Land stammen. Benutzer, für die nur eine Regel mit Geofence gilt, können nicht auf die Ressource zugreifen, wenn sie sich von außerhalb der angegebenen Länder authentifizieren (weil für sie keine Regel gilt, nicht weil die Authentifizierung abgelehnt wird).
Um die Authentifizierung mit dem Geofence-Regelobjekt nutzen zu können, müssen Sie die folgenden Versionen der AuthPoint-Agenten installieren:
- AuthPoint Agent für Windows v2.7.1 oder höher
- AuthPoint Agent für RD Web v1.4.2 oder höher
- AuthPoint Agent für ADFS v1.2.0 oder höher
RD Web and ADFS haben zusätzliche Anforderungen zur Unterstützung von Authentifizierungen mit Standortdaten. Weitere Informationen finden Sie unter Geofence für RD Web und Geofence für ADFS .
Geofence wird von folgenden Ressourcen nicht unterstützt:
- AuthPoint Agent für macOS
- RADIUS
Für die RADIUS-Authentifizierung sind Regeln mit Geofence-Regelobjekt nicht anwendbar, da AuthPoint die IP-Adresse des Endnutzers oder die ursprüngliche IP-Adresse nicht ermitteln kann.
Standortdaten für Geofence-Regelobjekte
Wenn ein Benutzer sich authentifiziert, identifizieren die Standortdaten das Gebiet, aus dem sich der Benutzer authentifiziert. Bei der Konfiguration eines Geofence-Regelobjekts können Sie wählen, ob Sie Standortdaten mit geringer Genauigkeit zulassen. Benutzerstandorte, die aus Daten mit geringer Genauigkeit ermittelt wurden, haben einen größeren Radius. Beispielsweise können Standortdaten mit hoher Genauigkeit den tatsächlichen Standort des Benutzers auf 10 Meter genau angeben, während Standortdaten mit geringer Genauigkeit vielleicht nur auf einen Kilometer Entfernung des tatsächlichen Standortes genau sind.
Bei der browserbasierten Authentifizierung fordert der Browser den Benutzer bei der Authentifizierung auf, seinen Standort zu teilen. Willigt der Benutzer ein, sendet der Browser die geografischen Koordinaten des Benutzerstandortes an AuthPoint. AuthPoint ordnet die Koordinaten einem Land zu und nutzt diese Information, um zu ermitteln, welche Regeln für die Authentifizierung gelten. Dies sind Standortdaten mit hoher Genauigkeit.
Willigt der Benutzer nicht in die Weitergabe seines Standortes ein, wird sein Standort auf Basis der IP-Adresse bestimmt. AuthPoint betrachtet Standortdaten auf Basis der IP-Adresse als Daten mit geringer Genauigkeit.
Die folgenden Ressourcen nutzen browserbasierte Standortdaten:
- IdP-Portal
- SAML
- RD Web
- ADFS
AuthPoint unterstützt auf der IP-Adresse basierende Standortdaten nur für diese Authentifizierungstypen:
- RDP-Verbindungen
- Firebox-Ressourcen
- Virtuelle Maschinen unter Windows (VMs)
Der AuthPoint Agent für Windows ermittelt den Standort des Benutzers über die Windows API. Wenn der Agent auf einer Windows VM installiert ist, basieren die Standortdaten immer auf der IP-Adresse (geringe Genauigkeit).
In einigen Fällen können Geolocation-Regelobjekte die Authentifizierung aus privaten IP-Adressbereichen beeinträchtigen. Dies liegt daran, dass die IP-basierte Geolocation nur für öffentliche IP-Adressen funktioniert. Wenn Sie beispielsweise eine Regel konfigurieren, die nur Authentifizierungen aus Ländern in Ihrem Geolocation-Regelobjekt zulässt, und sich ein Benutzer von einer privaten IP-Adresse aus authentifiziert, kann sich der Benutzer nicht authentifizieren, wenn keine anderen Regeln für die Authentifizierung gelten.
Geofence-Regelobjekte konfigurieren
So konfigurieren Sie ein Geofence-Regelobjekt in der AuthPoint-Verwaltungsoberfläche:
- Wählen Sie im AuthPoint-Navigationsmenü Regelobjekte.
- Klicken Sie auf Regelobjekt hinzufügen.
Die Seite Regelobjekt hinzufügen wird angezeigt.
- Wählen Sie aus der Dropdown-Liste Typ die Option Geofence.
Es werden zusätzliche Felder angezeigt. - Geben Sie in das Textfeld Name einen Namen ein, um dieses Geofence-Regelobjekt zu identifizieren. So können Sie das Geofence-Objekt identifizieren, wenn Sie es zu den Authentifizierungsregeln hinzufügen.
- Wählen Sie in der Liste Länder mindestens ein Land aus, das Sie Geofence hinzufügen möchten. Geben Sie Text ein, um die verfügbaren Optionen einzugrenzen.
- Wenn Sie möchten, dass dieser Geofence für Benutzerauthentifizierungen mit geringer Standortgenauigkeit gilt, wählen Sie im Kontrollkästchen Standortdaten mit geringer Genauigkeit zulassen. Diese Option erhöht die von AuthPoint zur Validierung von Standortdaten verwendete Fehlertoleranz. Wenn Sie beispielsweise einen Geofence konfigurieren, der nur für Benutzerauthentifizierungen aus Kanada gilt, und dabei Standortdaten mit geringer Genauigkeit zulassen, akzeptiert AuthPoint möglicherweise eine Authentifizierung von einem Benutzer, der sich knapp jenseits der Grenze in den Vereinigten Staaten befindet.
Standortdaten mit geringer Genauigkeit sind für RDP-Verbindungen, Firebox-Ressourcen, virtuelle Windows-Maschinen (VMs) und Authentifizierungen mit Standortdaten auf Basis der IP-Adresse erforderlich.
FireCloud erfordert Standortdaten mit geringerer Genauigkeit. Wenn Sie AuthPoint als Identitätsanbieter für FireCloud konfigurieren, müssen Sie diese Option auswählen.
- Klicken Sie auf Speichern
- Fügen Sie diesen Geofence zu den Authentifizierungsregeln hinzu, für die er gelten soll. Weitere Informationen finden Sie unter Authentifizierungsregeln hinzufügen
Es wird empfohlen, eine zweite Regel für dieselben Gruppen und Ressourcen ohne Geofence zu erstellen, die für Benutzer gilt, die sich außerhalb der Geofence-Länder befinden. Stellen Sie sicher, dass die Regel mit Geofence eine höhere Priorität hat als die Regel ohne Geofence. Weitere Informationen finden Sie unter Über Reihenfolge der Regel.
Geofence für ADFS
Der AuthPoint Agent für ADFS unterstützt Geofence-Regelobjekte nur, wenn Sie das benutzerdefinierte WG ADFS-Theme verwenden. Sie können das Standard-ADFS-Theme nicht verwenden.
$('document').ready(function () {
document.cookie = 'WatchGuardGeolocation=;Max-Age=0';
if (navigator.geolocation) {
var options = { enableHighAccuracy : true };
navigator.geolocation.watchPosition(function(position) {
var geolocation = { latitude: position.coords.latitude, longitude: position.coords.longitude, accuracy: position.coords.accuracy };
var geolocationJson = JSON.stringify(geolocation);
var geolocationEncoded = encodeURIComponent(geolocationJson);
document.cookie = 'WatchGuardGeolocation=' + geolocationEncoded + ';secure;';
}, function(error) { }, options);
}
}
Geofence für RD Web
Um das Geofence-Regelobjekt in RD Web nutzen zu können, müssen Sie die Datei webscripts-domain.js auf Ihrem RD Web Access-Server bearbeiten und den Client so konfigurieren, dass er den Benutzerstandort als Cookie auf dem RD Web-Server speichert. So kann RD Web die Koordinaten des Benutzers zum Zeitpunkt seiner Authentifizierung an AuthPoint senden.
Dies wird zur Unterstützung der Geokinetik-Technologie für RD Web ebenfalls erfordert. Wenn Sie diese Schritte zur Unterstützung von Geokinetik-Regelobjekten bereits durchgeführt haben, müssen Sie diese für Geofence nicht erneut ausführen.
- Melden Sie sich bei Ihrem RD Web Access-Server an.
- Öffnen Sie den Windows Datei-Explorer und navigieren Sie zu C:\Windows\Web\RDWeb\Seiten.
- Öffnen Sie die Datei webscripts-domain.js in einem Texteditor.
- Fügen Sie dieses Skript am Ende der onLoginPageLoad-Funktion hinzu, um die Koordinaten vom Browser zu erhalten und diese in den Cookies zu speichern:
document.cookie = 'WatchGuardGeolocation=;max-age=0';
if (navigator.geolocation) {
var options = { enableHighAccuracy : true };
navigator.geolocation.watchPosition(function(position) {
var geolocation = { latitude: position.coords.latitude, longitude: position.coords.longitude, accuracy: position.coords.accuracy };
var geolocationJson = JSON.stringify(geolocation);
var geolocationEncoded = encodeURIComponent(geolocationJson);
document.cookie = 'WatchGuardGeolocation=' + geolocationEncoded + ';secure;samesite=none;path=/';
}, function(error) { }, options);
}