Verwenden von Web-Jump zum Zugriff auf Webdienste

Angesichts des Trends hin zu webbasierten Konfigurationsschnittstellen für Infrastrukturkomponenten stehen IT-Administratoren einer zusehends komplexeren Sicherheitsverwaltungssituation gegenüber. Der autorisierte Zugriff auf webbasierte Ressourcen ist schwierig zu kontrollieren und zu prüfen. Gleichermaßen ist eine ordnungsgemäße Authentifizierung ohne Beeinträchtigung der Geschäftsproduktivität eine Herausforderung. IT-Administratoren benötigen einen Weg, um über Webschnittstellen verwaltete Ressourcen effektiv zu kontrollieren und zu prüfen, darunter:

  • Extern gehostete IaaS-Server (Infrastructure as a Service) wie Amazon AWS, Microsoft Azure, IBM SoftLayer und Rackspace
  • Intern gehostete Server, die von Hypervisor-Software wie VMware vSphere, Citrix XenServer und Microsoft Hyper-V verwaltet werden
  • Moderne Netzwerk-Kerninfrastruktur, die webbasierte Konfigurationsschnittstellen nutzt

Die Identitäts- und Zugriffsverwaltungsfunktionen variieren unter IaaS, Hypervisor-Anbietern und Kerninfrastruktursystemen stark. Viele bieten keine native Unterstützung für Multifaktor-Authentifizierung, wodurch es an einer zusätzlichen Sicherheitsebene mangelt. Diese systemübergreifenden Inkonsistenzen sind ein Nährboden für Unternehmensschwachstellen, wie etwa Konten- und Zugriffsmissbrauch, wodurch empfindliche Daten nach außen gelangen könnten. Bei BeyondTrust Web Jump handelt es sich um einen zusätzlichen Sicherheitslayer für die Authentifizierung in solchen Systemen.

 

Flash wird von Web Jump nicht unterstützt. Beachten Sie Ihre Hypervisor-Dokumentation und aktualisieren Sie sie auf eine Version, die HTML5 unterstützt.

Beim Web Jump-Element handelt es sich um ein Add-on für Privileged Remote Access und muss separat erworben werden.

Erstellen eines symbolischen Web-Jump-Links

Stellen Sie vor der Erstellung von Web Jump-Verknüpfungen sicher, dass Ihr Benutzerkonto die Möglichkeit hat, auf Web Jumps zuzugreifen. Diese Berechtigung wird in Ihrem Benutzerkonto in der /login-Schnittstelle unter Zugriffsberechtigungen > Jump Technology festgelegt.



Symbolischen Jump-Link (Remote) erstellen

Um einen symbolischen Web-Jump-Link zu erstellen, klicken Sie in der Jump-Schnittstelle auf die Schaltfläche Erstellen. Wählen Sie aus der Dropdown-Liste Web-Jump. Symbolische Web-Jump-Links erscheinen in der Jump-Schnittstelle zusammen mit Jump Clients und anderen Arten von symbolischen Jump-Element-Links.

Organisieren und verwalten Sie bestehende Jump-Elemente, indem Sie einen oder mehrere Jump-Clients auswählen und auf Eigenschaften klicken.

Um die Eigenschaften mehrerer Jump-Elemente anzuzeigen, müssen alle ausgewählten Elemente vom gleichen Typ sein (alle Jump-Clients, alle Remote-Jumps usw.).Um Eigenschaften anderer Arten von Jump-Elementen zu überprüfen, schlagen Sie bitte im jeweiligen Abschnitt in diesem Handbuch nach.

Einen neuen symbolischen Web-Jump-Link erstellen

Geben Sie einen Namen für das Jump-Element ein. Dieser Name kennzeichnet das Element in den Sitzungsregisterkarten. Diese Zeichenkette kann maximal 128 Zeichen lang sein.

Wählen Sie im Dropdown-Menü Jumpoint den Windows- oder Linux-Jumpoint aus, der den Computer hostet, auf den Sie zugreifen möchten.

Die Funktion Kopieren/Einfügen wird für Linux-Jumpoints nicht unterstützt.

Geben Sie die URL für die Website ein, auf die Sie zugreifen möchten.

Aktivieren Sie Zertifikat verifizieren, wenn das Seitenzertifikat vor dem Verbindungsaufbau validiert werden soll. Ist diese Option aktiviert und es werden Probleme mit dem Zertifikat festgestellt, wird die Sitzung nicht gestartet.

 

Deaktivieren Sie Zertifikat verifizieren nur, wenn Sie einen Jump zu einer Site durchführen, der Sie vertrauen, die aber ein selbstsigniertes Zertifikat verwendet.

 

Wenn Sie das Einfügen von Anmeldedaten verwenden möchten, wählen Sie zunächst das Benutzernamenformat:

  • Standard: Dies ist der Standardwert für neue und bestehende Web-Jump-Elemente. Der Benutzername wird vor dem Einfügen in die Webseite nicht verändert und wird im gespeicherten Format verwendet. Für den Endpunkt-Anmeldeverwalter (ECM) können die Anmeldedaten entweder im UPN- oder DLLN-Format vorliegen. Für Vault ist der Benutzername immer im UPN-Format.
  • Nur Benutzername: Unabhängig vom Format, das entweder im Vault oder im ECM gespeichert ist (benutzername@domäne oder domäne\benutzername), wird die Domäne entfernt und nur der Benutzername verwendet.

Geben Sie unter Erkennung des Anmeldeformulars je nach Bedarf Informationen zu den drei Optionen an:

  • Benutzername-Feld: Diese Einstellung gibt den Hinweis für das Benutzername-Feld auf der Anmeldeseite an. Wenn kein Feld für den Benutzernamen gefunden wird, schlägt die Eingabe fehl. Dem Benutzer wird eine Fehlermeldung angezeigt, die besagt, dass das Feld Benutzername nicht gefunden werden konnte.
  • Passwortfeld: Diese Einstellung gibt den Hinweis für das Passwortfeld auf der Anmeldeseite an. Wenn kein Passwortfeld gefunden wird, schlägt die Eingabe fehl. Dem Benutzer wird eine Fehlermeldung angezeigt, die besagt, dass das Passwortfeld nicht gefunden werden konnte.
  • Schaltfläche "Abschicken": Diese Einstellung gibt den Hinweis für die Schaltfläche "Abschicken" auf der Anmeldeseite an. Wenn keine solche Schaltfläche gefunden wird, schlägt die Eingabe fehl. Dem Benutzer wird eine Fehlermeldung angezeigt, die besagt, dass die Schaltfläche nicht gefunden werden konnte.

Wenn diese drei Felder leer gelassen werden, erkennt das System automatisch die notwendigen Informationen, die bereits für die Anmeldung gespeichert sind, und verwendet sie.

Verschieben Sie Jump-Elemente von einer Jump-Gruppe in eine andere mithilfe des Dropdown-Menüs Jump-Gruppe. Die Fähigkeit, Jump-Elemente in oder aus unterschiedlichen Jump-Gruppen zu verschieben ist von Ihren Kontoberechtigungen abhängig.

 

Organisieren Sie Jump-Elemente eingehender, indem Sie den Namen eines neuen oder bestehenden Tags eingeben. Obwohl die ausgewählten Jump-Elemente unter dem Tag zusammengefasst sind, werden sie weiterhin in der Jump-Gruppe aufgeführt, in der sie fixiert wurden. Um ein Jump-Element wieder in die oberste Jump-Gruppe zu verschieben, lassen Sie dieses Feld leer.

Jump-Elemente umfassen auch ein Kommentare-Feld für einen Namen oder eine Beschreibung, wodurch die Sortierung, Suche und Identifizierung von Jump Clients schneller und einfacher wird.

Um festzulegen, wann Benutzer auf dieses Jump-Element zugreifen können, ob eine Zugriffsbenachrichtigung gesendet werden sollte oder ob eine Berechtigung oder eine Ticket-ID Ihres externen Ticketsystems zur Verwendung dieses Jump-Elements notwendig ist, wählen Sie Jump-Richtlinie. Diese Richtlinien werden von Ihrem Administrator über die /login-Schnittstelle festgelegt.

Wählen Sie eine Sitzungsrichtlinie, die diesem Jump-Element zugewiesen werden soll. Die diesem Jump-Element zugewiesene Richtlinie hat die höchste Priorität bei der Festlegung von Sitzungsberechtigungen. Die Möglichkeit zur Festlegung einer Sitzungsrichtlinie ist von Ihren Kontoberechtigungen abhängig.

 

Symbolischen Web-Jump-Link verwenden

Um eine symbolische Jump-Verknüpfung zum Starten einer Sitzung zu verwenden, wählen Sie die Verknüpfung einfach aus der Jump-Schnittstelle und klicken Sie auf die Taste Jump.

Sobald eine Verbindung zur Website aufgebaut ist, klicken Sie auf das Bildschirmfreigabe-Symbol. Die Anmeldungsschnittstelle der Webseite wird verfügbar. Wenn Sie auf einen Link klicken, um eine Datei von der Website herunterzuladen, erscheint eine Aufforderung in Ihrem Chatfenster, die Sie bittet, den Download zu akzeptieren oder abzulehnen. Wenn Sie ihn akzeptieren, öffnet sich ein Fenster auf Ihrem Computer und gestattet es Ihnen, einen Download-Ort zu wählen. Das Hochladen von Dateien auf die Webseite funktioniert auf ähnliche Art und Weise und öffnet ein Fenster, bei dem Sie die hochzuladenden Dateien wählen können.

Web-Jump zu Website

Wenn die Webseite eine neue Registerkarte erfordert, öffnet sich eine neue Registerkarte. Sie können neue Registerkarten nicht willkürlich öffnen.

Sie können Text in die und aus der Webseite kopieren und einfügen, indem Sie die Kopieren/Einfügen-Steuerung Ihres Betriebssystems verwenden.

Verwenden der Anmeldedaten-Einfügung

 

Anmeldedaten-Einfügung wird für nicht sichere Sites (nicht-HTTPS) nicht unterstützt.

Bei der Integration von BeyondTrust PRA mit einem Passwort-Speicher (Vault) können Sie mit der Anmeldedaten-Einfügung nahtlos auf Ihre Website-Konten zugreifen, ohne den Anmeldebildschirm sehen oder Anmeldedaten eingeben zu müssen.

Web Jump unterstützt die Authentifizierung in mehreren Schritten, bei denen Benutzername und Passwort nicht auf ein und derselben Browserseite erforderlich sind. Web Jump unterstützt darüber hinaus Szenarien, in denen sich ein Benutzer mit einem nicht authentifizierten Teil einer Website verbindet, aber dann versucht, mit einfacher Authentifizierung einen Bereich aufzurufen. Darüber hinaus unterstützt Web-Jump Websites, die CAPTCHAs enthalten, indem sie Benutzern die Möglichkeit geben, das CAPTCHA durchzuführen, ohne dass der Vorgang der Anmeldedaten-Einfügung beendet wird. Sobald die Interaktion mit einem CAPTCHA abgeschlossen ist, klickt der Benutzer auf das Schlüsselsymbol in der access console und schließt die Anmeldedaten-Einfügung ab.

Für nahtlose Anmeldedaten-Einfügung auf einer VMware-Konsole sind bestimmte Konfigurationsaufgaben erforderlich.
  1. Gehen Sie zum Computer, der den Jumpoint hostet.
  2. Laden Sie das Client-Integrations-Plugin von der oben angegebenen VMware-URL herunter und installieren Sie es.
  3. Öffnen Sie mithilfe der Admin-Berechtigungen die Windows-Dienste (services.msc) auf dem Jumpoint-Host.
  4. Rechtsklicken Sie auf den BeyondTrust-Jumpoint und wählen Sie Eigenschaften.
  5. Aktivieren Sie auf der Registerkarte Anmeldung unter Lokales Systemkonto die Option Dienst die Interaktion mit Desktop gestatten.
  6. Klicken Sie auf OK.
  7. Starten Sie auf dem lokalen Benutzersystem, wo die access console installiert wurde, einen Web-Jump mit der obigen VMware-URL.
  8. Wählen Sie Windows-Anmeldedaten verwenden.
  9. Damit wird eine Aufforderung auf dem Jumpoint-Host-System gestartet, mit der Dienste mit einem externen Programm interagieren können. Gewähren Sie dem Dienst die Berechtigung.
  10. Eine Aufforderung für die VMware-Anmeldedateneinfügung wird angezeigt. Deaktivieren Sie die Option, die fragt, ob die Aufforderung bei jedem Programmaufruf angezeigt werden soll. Wählen Sie Akzeptieren.
  11. Sie können jetzt Web-Jumps zur VMware-Konsole mit Windows-Anmeldedaten durchführen, ohne, dass eine Aufforderung erscheint.