Verwenden von Web-Jump zum Zugriff auf Webdienste

Angesichts des Trends hin zu webbasierten Konfigurationsschnittstellen für Infrastrukturkomponenten stehen IT-Administratoren einer zusehends komplexeren Sicherheitsverwaltungssituation gegenüber. Der autorisierte Zugriff auf webbasierte Ressourcen ist schwierig zu kontrollieren und zu prüfen. Gleichermaßen ist eine ordnungsgemäße Authentifizierung ohne Beeinträchtigung der Geschäftsproduktivität eine Herausforderung. IT-Administratoren benötigen einen Weg, um über Webschnittstellen verwaltete Ressourcen effektiv zu kontrollieren und zu prüfen, darunter:

  • Extern gehostete IaaS-Server (Infrastructure as a Service) wie Amazon AWS, Microsoft Azure, IBM SoftLayer und Rackspace
  • Intern gehostete Server, die von Hypervisor-Software wie VMware vSphere, Citrix XenServer und Microsoft Hyper-V verwaltet werden
  • Moderne Netzwerk-Kerninfrastruktur, die webbasierte Konfigurationsschnittstellen nutzt

Die Identitäts- und Zugriffsverwaltungsfunktionen variieren unter IaaS, Hypervisor-Anbietern und Kerninfrastruktursystemen stark. Viele bieten keine native Unterstützung für Multifaktor-Authentifizierung, wodurch es an einer zusätzlichen Sicherheitsebene mangelt. Diese systemübergreifenden Inkonsistenzen sind ein Nährboden für Unternehmensschwachstellen, wie etwa Konten- und Zugriffsmissbrauch, wodurch empfindliche Daten nach außen gelangen könnten. Bei BeyondTrust Web Jump handelt es sich um einen zusätzlichen Sicherheitslayer für die Authentifizierung in solchen Systemen.

 

Flash wird von Web Jump nicht unterstützt. Beachten Sie Ihre Hypervisor-Dokumentation und aktualisieren Sie sie auf eine Version, die HTML5 unterstützt.

Beim Web Jump-Element handelt es sich um ein Add-on für Privileged Remote Access und muss separat erworben werden.

Erstellen eines symbolischen Web-Jump-Links

Stellen Sie vor der Erstellung von Web Jump-Verknüpfungen sicher, dass Ihr Benutzerkonto die Möglichkeit hat, auf Web Jumps zuzugreifen. Diese Berechtigung wird in Ihrem Benutzerkonto in der /login-Schnittstelle unter Zugriffsberechtigungen > Jump Technology festgelegt.

Symbolischen Jump-Link (Remote) erstellen

Um einen symbolischen Web-Jump-Link zu erstellen, klicken Sie in der Jump-Schnittstelle auf die Schaltfläche Erstellen. Wählen Sie aus der Dropdown-Liste Web-Jump. Symbolische Web-Jump-Links erscheinen in der Jump-Schnittstelle zusammen mit Jump-Clients und anderen Arten von symbolischen Jump-Item-Links.

Organisieren und verwalten Sie bestehende Jump-Elemente, indem Sie einen oder mehrere Jump-Clients auswählen und auf Eigenschaften klicken.

Um die Eigenschaften mehrerer Jump-Items anzuzeigen, müssen die ausgewählten Elemente vom gleichen Typ sein (alle Jump-Clients, alle Remote-Jumps usw.).Um Eigenschaften anderer Arten von Jump-Elementen zu überprüfen, schlagen Sie bitte im jeweiligen Abschnitt in diesem Handbuch nach.

Einen neuen symbolischen Web-Jump-Link erstellen

Geben Sie einen Namen für das Jump-Element ein. Dieser Name kennzeichnet das Element in den Sitzungsregisterkarten. Diese Zeichenkette kann maximal 128 Zeichen lang sein.

Wählen Sie im Dropdown-Menü Jumpoint den Windows- oder Linux-Jumpoint aus, der den Computer hostet, auf den Sie zugreifen möchten.

Die Funktion Kopieren/Einfügen wird für Linux-Jumpoints nicht unterstützt.

Geben Sie die URL für die Website ein, auf die Sie zugreifen möchten.

Aktivieren Sie Zertifikat verifizieren, wenn das Seitenzertifikat vor dem Verbindungsaufbau validiert werden soll. Ist diese Option aktiviert und es werden Probleme mit dem Zertifikat festgestellt, wird die Sitzung nicht gestartet.

 

Deaktivieren Sie Zertifikat verifizieren nur, wenn Sie einen Jump zu einer Site durchführen, der Sie vertrauen, die aber ein selbstsigniertes Zertifikat verwendet.

 

Wenn Sie das Einfügen von Anmeldedaten verwenden möchten, wählen Sie zunächst das Benutzernamenformat:

  • Standard: Dies ist der Standardwert für neue und bestehende Web-Jump-Elemente. Der Benutzername wird vor dem Einfügen in die Webseite nicht verändert und wird im gespeicherten Format verwendet. Für den Endpunkt-Anmeldeverwalter (ECM) können die Anmeldedaten entweder im UPN- oder DLLN-Format vorliegen. Für Vault ist der Benutzername immer im UPN-Format.
  • Nur Benutzername: Unabhängig vom Format, das entweder im Vault oder im ECM gespeichert ist (benutzername@domäne oder domäne\benutzername), wird die Domäne entfernt und nur der Benutzername verwendet.

Unter Erkennung des Anmeldeformulars wird empfohlen, die drei Felder leer zu lassen und dem System zu erlauben, die bereits gespeicherten Informationen für die Anmeldung automatisch zu erkennen und zu verwenden. Wenn die automatische Erkennung fehlschlägt, scheitert die Eingabe und eine Meldung besagt, dass das Feld Benutzername, das Feld Passwort und/oder die Schaltfläche Senden nicht gefunden werden konnte.

Wenn Sie die Namen der Eingabeelemente eingeben, geben Sie die HTML-id, den HTML-Namen oder den CSS-Selektor für jedes Element auf der Anmeldeseite ein.

Dies zeigt HTML-ids mit Eingabefeldern und einer Schaltfläche „Abschicken“, wie sie in der Codeansicht einer Anmeldeseite erscheinen könnten. Die HTML-ids lauten hier user, pwd und button. 
<form action="/action_page.php">
Benutzername: <input type="text" id="user"><br>
Passwort: <input type="password" id="pwd"><br>
<input type="submit" value="Submit" id="button">
</form>

Verschieben Sie Jump-Elemente von einer Jump-Gruppe in eine andere mithilfe des Dropdown-Menüs Jump-Gruppe. Die Fähigkeit, Jump-Elemente in oder aus unterschiedlichen Jump-Gruppen zu verschieben ist von Ihren Kontoberechtigungen abhängig.

Organisieren Sie Jump-Elemente eingehender, indem Sie den Namen eines neuen oder bestehenden Tags eingeben. Obwohl die ausgewählten Jump-Items unter dem Tag zusammengefasst sind, werden sie weiterhin in der Jump-Gruppe aufgeführt, in der sie fixiert wurden. Um ein Jump-Element wieder in die oberste Jump-Gruppe zu verschieben, lassen Sie dieses Feld leer.

Jump-Elemente umfassen auch ein Kommentare-Feld für einen Namen oder eine Beschreibung, wodurch die Sortierung, Suche und Identifizierung von Jump Clients schneller und einfacher wird.

Um festzulegen, wann Benutzer auf dieses Jump-Element zugreifen können, ob eine Zugriffsbenachrichtigung gesendet werden sollte oder ob eine Berechtigung oder eine Ticket-ID Ihres externen Ticketsystems zur Verwendung dieses Jump-Elements notwendig ist, wählen Sie Jump-Richtlinie. Diese Richtlinien werden von Ihrem Administrator über die /login-Schnittstelle festgelegt.

Wählen Sie eine Sitzungsrichtlinie, die diesem Jump-Element zugewiesen werden soll. Die diesem Jump-Element zugewiesene Richtlinie hat die höchste Priorität bei der Festlegung von Sitzungsberechtigungen. Die Möglichkeit zur Festlegung einer Sitzungsrichtlinie ist von Ihren Kontoberechtigungen abhängig.

Weitere Informationen zur Identifizierung von HTML-Formularfeldern finden Sie in Online-Ressourcen wie dieser Seite, die die Verwendung von CSS-Selektoren erläutert.

Symbolischen Web-Jump-Link verwenden

Um einen symbolische Jump-Link zum Starten einer Sitzung zu verwenden, wählen Sie den symbolischen Link einfach aus der Jump-Schnittstelle und klicken Sie auf die Schaltfläche Jump.

Sobald eine Verbindung zur Website aufgebaut ist, klicken Sie auf das Bildschirmfreigabe-Symbol. Die Anmeldungsschnittstelle der Webseite wird verfügbar.

Web-Jump zu Website

Wenn Sie unter Windows oder Linux eine neue Registerkarte öffnen möchten, halten Sie die Taste CTRL gedrückt und klicken Sie mit der Maustaste. Bei iOS halten Sie die Taste Command gedrückt und klicken mit der Maustaste.

Sie können Text in die und aus der Webseite kopieren und einfügen, indem Sie die Kopieren/Einfügen-Steuerung Ihres Betriebssystems verwenden.

Hochladen und Herunterladen von Dateien mit einer Web-Jump-Verknüpfung

Wenn Sie auf einen Link klicken, um eine Datei von der Website herunterzuladen, erscheint eine Aufforderung in Ihrem Chatfenster, die Sie bittet, den Download zu akzeptieren oder abzulehnen. Wenn Sie ihn akzeptieren, öffnet sich ein Fenster auf Ihrem Computer und gestattet es Ihnen, einen Download-Ort zu wählen.

Das Hochladen von Dateien auf die Webseite funktioniert auf ähnliche Art und Weise und öffnet ein Fenster, bei dem Sie die hochzuladenden Dateien wählen können.

Zugriffskonsole für Privileged Web Access unterstützt nicht das Hochladen von Dateien auf eine Webseite über einen Web-Jump. Das Hochladen von Dateien auf eine Webseite über Web-Jump wird nur von der Desktop-Anwendung zugriffskonsole unterstützt.

Verwenden der Anmeldedaten-Einfügung

 

Anmeldedaten-Einfügung wird für nicht sichere Sites (nicht-HTTPS) nicht unterstützt.

Bei der Integration von BeyondTrust PRA mit einem Passwort-Speicher (Vault) können Sie mit der Anmeldedaten-Einfügung nahtlos auf Ihre Website-Konten zugreifen, ohne den Anmeldebildschirm sehen oder Anmeldedaten eingeben zu müssen.

Web Jump unterstützt die Authentifizierung in mehreren Schritten, bei denen Benutzername und Passwort nicht auf ein und derselben Browserseite erforderlich sind. Web Jump unterstützt darüber hinaus Szenarien, in denen sich ein Benutzer mit einem nicht authentifizierten Teil einer Website verbindet, aber dann versucht, mit einfacher Authentifizierung einen Bereich aufzurufen. Darüber hinaus unterstützt Web-Jump Websites, die CAPTCHAs enthalten, indem sie Benutzern die Möglichkeit geben, das CAPTCHA durchzuführen, ohne dass der Vorgang der Anmeldedaten-Einfügung beendet wird. Sobald die Interaktion mit einem CAPTCHA abgeschlossen ist, klickt der Benutzer auf das Schlüsselsymbol in der zugriffskonsole und schließt die Anmeldedaten-Einfügung ab.

Für nahtlose Anmeldedaten-Einfügung auf einer VMware-Konsole sind bestimmte Konfigurationsaufgaben erforderlich.
  1. Gehen Sie zum Computer, der den Jumpoint hostet.
  2. Laden und installieren Sie das VMware-Client-Integrations-Plugin.
  3. Öffnen Sie mithilfe der Admin-Berechtigungen die Windows-Dienste (services.msc) auf dem Jumpoint-Host.
  4. Rechtsklicken Sie auf den BeyondTrust-Jumpoint und wählen Sie Eigenschaften.
  5. Aktivieren Sie auf der Registerkarte Anmeldung unter Lokales Systemkonto die Option Dienst die Interaktion mit Desktop gestatten.
  6. Klicken Sie auf OK.
  7. Starten Sie auf dem lokalen Benutzersystem, wo die zugriffskonsole installiert wurde, einen Web-Jump mit der obigen VMware-URL.
  8. Wählen Sie Windows-Anmeldedaten verwenden.
  9. Damit wird eine Aufforderung auf dem Jumpoint-Host-System gestartet, mit der Dienste mit einem externen Programm interagieren können. Gewähren Sie dem Dienst die Berechtigung.
  10. Eine Aufforderung für die VMware-Anmeldedateneinfügung wird angezeigt. Deaktivieren Sie die Option, die fragt, ob die Aufforderung bei jedem Programmaufruf angezeigt werden soll. Wählen Sie Akzeptieren.
  11. Sie können jetzt Web-Jumps zur VMware-Konsole mit Windows-Anmeldedaten durchführen, ohne, dass eine Aufforderung erscheint.
Weitere Informationen zum Herunterladen des entsprechenden VMware-Client-Integrations-Plugin finden Sie unter Upgrade des VMware-Client-Integrations-Plugins auf die neueste Version.