Benutzervererbung für Service-Provider

Gilt für: AuthPoint-Multi-Faktor-Authentifizierung, AuthPoint Total Identity Security

Auf dieser Seite wird beschrieben, wie Service-Provider Anfragen zur Benutzervererbung senden können. Wenn Ihr Konto von einem Service-Provider verwaltet wird, siehe Benutzervererbung für verwaltete Konten.

Mit der Benutzervererbung können Service-Provider anfordern, dass verwaltete Konten einen AuthPoint-Benutzer vom Service-Provider-Konto erben. Wenn das verwaltete Konto die Anfrage genehmigt, werden die angegebenen Service-Provider-Benutzer dem verwalteten Konto hinzugefügt und können sich bei Ressourcen für dieses Konto authentifizieren. Dies erleichtert den Service-Providern die Verwaltung von Konten für ihre Kunden. Dies ist erforderlich, wenn Sie AuthPoint-Dienste für einen Kunden verwalten oder wenn Sie Zugriff auf geschützte Ressourcen für ein von Ihnen verwaltetes Konto benötigen, um eine Fehlersuche durchzuführen.

Sie können keine Anfragen zur Benutzervererbung an ein delegiertes Konto senden.

Sie können anfordern, dass verwaltete Konten diese Arten von Benutzerkonten vererben:

  • Lokale AuthPoint-Benutzer
  • LDAP- und Active Directory-Benutzer
  • Azure Active Directory-Benutzer

Verwaltete Konten müssen keine externe Identität oder ein Gateway konfigurieren, um von einer externen Benutzerdatenbank synchronisierte Benutzer zu übernehmen. Vererbte Benutzer, die aus einer externen Benutzerdatenbank synchronisiert werden, können sich nur an Ihren Firebox-Ressourcen authentifizieren, wenn die Firebox in der Lage ist, sich mit der LDAP-Datenbank des Service-Providers zu verbinden. Dies liegt daran, dass sich der Authentifizierungsablauf für Firebox-Ressourcen vom Authentifizierungsablauf für RADIUS-Ressourcen unterscheidet. Für Firebox-Ressourcen sendet die Firebox LDAP-Benutzerzugangsdaten an den Active Directory-Server, um das Passwort zu validieren. Für RADIUS-Ressourcen kontaktiert AuthPoint den Active Directory-Server über das Gateway, um das Passwort zu validieren. RADIUS-Ressourcen (und als RADIUS-Ressourcen konfigurierte Fireboxen) müssen keine Verbindung zur LDAP-Datenbank des Service-Providers herstellen können.

Weitere Informationen finden Sie im Abschnitt Authentifizierungs-Workflow unter den MFA für einen RADIUS-Client konfigurieren und MFA für eine Firebox konfigurieren Hilfethemen.

Vererbte Benutzer müssen eine Internetverbindung zur Authentifizierung bei Computern mit installierter Logon App besitzen.

Vererbte Benutzer verwenden keine AuthPoint-Benutzerlizenz im verwalteten Konto.

Übersicht zum Prozess Benutzervererbung

Hier finden Sie eine Übersicht zum Prozess der Benutzervererbung:

  1. Ein Service-Provider sendet eine Anfrage auf Benutzervererbung an ein oder mehrere verwaltete Konten.
  2. Ein Operator des verwalteten Kontos genehmigt die Anfrage auf Benutzervererbung. Der Operator muss auswählen, zu welchen AuthPoint-Gruppen der vererbte Benutzer hinzugefügt werden soll.
  3. AuthPoint fügt den vererbten Benutzer zu dem verwalteten Konto hinzu. Der vererbte Benutzer kann sich auf Basis der Authentifizierungsregeln für seine Benutzergruppe(n) bei den Ressourcen des verwalteten Kontos authentifizieren.
  4. Ein Operator des Service-Provider-Kontos oder des verwalteten Kontos kann die Benutzervererbung jederzeit beenden.

Anforderungen

Wenn Sie die Benutzervererbung konfigurieren, sollten Sie diese Richtlinien beachten:

  • Service-Provider können keine Anfragen zur Benutzervererbung an ein delegiertes Konto senden.
  • Service-Provider können keinen vererbten Benutzer zu einem Konto hinzufügen, das bereits ein Benutzerkonto mit demselben Benutzernamen oder derselben E-Mail-Adresse hat.
  • Service-Provider können nur an verwaltete Konten mit einer aktiven AuthPoint-Lizenz eine Anfrage zur Benutzervererbung senden.
  • Service-Provider müssen ihrem Subscriber-Konto mindestens einen AuthPoint-Benutzer zuweisen. Wenn Ihr Subscriber-Konto keinen AuthPoint-Benutzer hat, werden Ihre verwalteten Konten möglicherweise nicht in der Liste der Konten angezeigt, an die Sie die Anfrage zur Benutzervererbung senden können.
  • Fügt ein verwaltetes Konto einen neuen Benutzer mit demselben Benutzernamen oder derselben E-Mail-Adresse wie ein vererbter Benutzer hin, löscht AuthPoint den vererbten Benutzer.
  • Für vererbte LDAP-Benutzer sendet AuthPoint die LDAP-Benutzerzugangsdaten zur Validierung an die externe Benutzerdatenbank des Service-Providers. Wenn das verwaltete Konto Agent für Windows, RD Web oder ADFS verwendet, validiert AuthPoint nur den zweiten Faktor.
  • Vererbte LDAP-Benutzer können sich nur an RADIUS und Firebox-Ressourcen authentifizieren, wenn das Gateway oder die Firebox in der Lage ist, sich mit der LDAP-Datenbank des Service-Providers zu verbinden.
  • Wenn Sie einen vererbten Benutzer in Ihrem Service-Provider-Konto löschen, entfernt AuthPoint den vererbten Benutzer aus allen verwalteten Konten, die diesen Benutzer erben.
  • Wenn Sie einen vererbten Benutzer oder dessen Token im Service-Provider-Konto blockieren, blockiert AuthPoint den Benutzer oder das Token auch in allen verwalteten Konten, die den Benutzer erben.
  • Operatoren des verwalteten Kontos können einen vererbten Benutzer oder die Token eines vererbten Benutzers nicht blockieren.

Senden einer Anfrage zur Benutzervererbung

Wenn Sie ein Service-Provider-Konto haben und Sie möchten, dass einer oder mehrere Ihrer verwalteten Konten einen Ihrer AuthPoint-Benutzer erben, können Sie eine Anfrage zur Benutzervererbung an die verwalteten Konten senden. Jedes Konto, das die Anfrage zur Benutzervererbung annimmt, erbt das AuthPoint-Benutzerkonto.

Sie müssen für jeden Benutzer, der ein verwaltetes Konto erben soll, eine separate Anfrage zur Benutzervererbung senden.

Sie sehen und verwalten Anfragen zur Benutzervererbung von der AuthPoint-Verwaltungsoberfläche aus.

Senden einer Anfrage zur Benutzervererbung:

  1. Melden Sie sich bei WatchGuard Cloud an.
  2. Wählen Sie Ihr Subscriber-Konto im Kontomanager aus.
  3. Wählen Sie im Navigationsmenü Konfigurieren > AuthPoint.
    Die Seite AuthPoint Zusammenfassung wird geöffnet.
  4. Wählen Sie Benutzervererbung.
    Die Seite Anfragen zur Benutzervererbung wird geöffnet.

Screen shot that shows the User Inheritance Requests page.

  1. Klicken Sie auf Anfrage zur Benutzervererbung senden.
  2. Wählen Sie aus der Dropdown-Liste Zu vererbende Benutzer das AuthPoint-Benutzerkonto aus, das Ihre verwalteten Konten erben sollen. Um nach einem bestimmten Benutzer zu suchen, geben Sie einen Namen oder Benutzernamen ein.
    Es werden zusätzliche Felder angezeigt.

Screen shot of the User Inheritance Requests page.

  1. Wählen Sie aus der Liste der Konten die verwalteten Konten aus, die Sie diesem Benutzer vererben möchten. Wenn Sie mehr als ein Konto auswählen, müssen Sie nach dem Senden der Anfrage die Benutzervererbung für jedes Konto separat verwalten.

Screen shot of the User Inheritance Requests page.

  1. Klicken Sie auf Anfrage senden.

Screen shot of a pending user inheritance request.

AuthPoint sendet eine Anfrage zur Benutzervererbung an jedes der ausgewählten Konten. Ein Operator des verwalteten Kontos entscheidet, ob er die Anfrage annimmt oder ablehnt. Akzeptiert der Operator die Anfrage zur Benutzervererbung, muss er auswählen, zu welchen AuthPoint-Gruppen der geerbte Benutzer hinzugefügt werden soll. Die Gruppen, zu denen der geerbte Benutzer gehört, bestimmen, welche Authentifizierungsregeln für den Benutzer gelten und bei welchen Ressourcen des verwalteten Kontos sich der vererbte Benutzer authentifizieren kann.

Vererbte Benutzer verwenden ihre vorhandenen Token zur Authentifizierung.

AuthPoint sendet Ihnen eine Benachrichtigung, wenn ein verwaltetes Konto die Anfrage auf Benutzervererbung akzeptiert oder ablehnt. Sie können den Status Ihrer Anfragen zur Benutzervererbung auch in der Liste Anfragen zur Benutzervererbung einsehen.

  • Ausstehend — Das verwaltete Konto hat nicht auf die Anfrage zur Benutzervererbung geantwortet.
  • Abgelehnt — Die Anfrage zur Benutzervererbung wurde abgelehnt und der Benutzer wurde nicht vom verwalteten Konto vererbt.
  • Akzeptiert — Die Anfrage zur Benutzervererbung wurde genehmigt und die vererbte Person wurde dem verwalteten Konto hinzugefügt.

Verwaltete Konten können sich auch dafür entscheiden, eine ausstehende Anfrage zur Benutzervererbung zu löschen. Anfragen zur Benutzervererbung und vererbte Benutzer, die gelöscht werden, erscheinen nicht in der Liste Anfrage zur Benutzervererbung.

Beenden der Benutzervererbung

So beenden Sie die Benutzervererbung und entfernen den vererbten Benutzer aus einem verwalteten Konto:

  1. Wählen Sie in der AuthPoint-Verwaltungsoberfläche Benutzervererbung.
    Die Seite Anfragen zur Benutzervererbung wird geöffnet.

Screen shot of the delete icon for a user inheritance request.

  1. Klicken und wählen Sie Home-Symbol in der Liste Anfragen zur Benutzervererbung neben dem Benutzer, für den Sie die Benutzervererbung beenden möchten, auf Löschen. Wenn der Benutzer mehrere verwaltete Konten erbt, enthält die Liste einen separaten Eintrag für jedes Konto. Stellen Sie sicher, dass Sie die Benutzervererbung für das richtige verwaltete Konto löschen.
    Das Fenster Vererbten Benutzer entfernen wird geöffnet.
  2. Um zu bestätigen, dass Sie die Benutzervererbung löschen möchten, klicken Sie auf Ja.

AuthPoint entfernt den vererbten Benutzer aus dem verwalteten Konto. AuthPoint sendet eine Benachrichtigung an das verwaltete Konto, um mitzuteilen, dass der vererbte Benutzer von seinem Konto entfernt wurde.

Ähnliche Themen

Benutzervererbung für verwaltete Konten