Sicherheitsanbieter: Aktivieren von LDAP-, RADIUS-, Kerberos-, SCIM- und SAML2-Anmeldungen

Benutzer und Sicherheit

Sicherheitsanbieter

Sicherheitsanbieter

Sie können Ihr BeyondTrust Appliance B Series für die Authentifizierung von Benutzern anhand bestehender LDAP-, RADIUS-, SCIM-, SAML2- oder Kerberos-Server konfigurieren und Berechtigungen anhand der bereits vorhandenen Hierarchie und Gruppeneinstellungen zuweisen, die bereits auf Ihren Servern angegeben wurden. Kerberos ermöglicht die Einzelanmeldung, während RSA und andere Zwei-Faktor-Authentifizierungsmechanismen über RADIUS eine zusätzliche Sicherheitsstufe bieten.

Anbieter hinzufügen

Wählen Sie über das Dropdown-Menü Hinzufügen LDAP, RADIUS, Kerberos, SCIM oder SAML2, um eine neue Sicherheitsanbieter-Konfiguration hinzuzufügen.

Reihenfolge ändern

Klicken Sie auf diese Schaltfläche, um die Priorität von Sicherheitsanbietern per Drag and Drop festzulegen. Verschieben Sie Server innerhalb eines Clusters. Cluster können auch als Ganzes durch Ziehen verschoben werden. Klicken Sie auf Reihenfolge speichern. Dadurch treten die Priorisierungsänderungen in Kraft.

Deaktivieren

Diese Sicherheitsanbieter-Verbindung deaktivieren. Dies ist für Routinewartungen hilfreich, bei denen ein Server offline genommen, aber nicht gelöscht werden soll.

Synchronisieren

Synchronisieren Sie die Benutzer und Gruppen, die einem externen Sicherheitsanbieter zugewiesen wurden. Die Synchronisierung erfolgt automatisch einmal pro Tag. Mit Klick auf diese Schaltfläche erzwingen Sie eine manuelle Synchronisierung.

Protokoll anzeigen

Sehen Sie sich den Statusverlauf für die Verbindung zu einem Sicherheitsanbieter an.

Knoten duplizieren

Erstellen Sie eine Kopie einer bestehenden, in einem Cluster befindlichen Sicherheitsanbieter-Konfiguration. Diese wird als neuer Knoten im gleichen Cluster hinzugefügt.

Auf einen Cluster upgraden

Stufen Sie einen Sicherheitsanbieter auf einen Sicherheitsanbieter-Cluster auf. Um diesem Cluster mehr Sicherheitsanbieter hinzuzufügen, kopieren Sie einen bestehenden Knoten.

Kopieren

Erstellen Sie eine Kopie einer bestehenden Sicherheitsanbieter-Konfiguration. Diese wird als Sicherheitsanbieter auf oberster Ebene und nicht als Teil eines Clusters hinzugefügt.

Bearbeiten, löschen

Bearbeiten oder entfernen Sie ein bestehendes Objekt.

Wenn Sie den lokalen Sicherheitsanbieter bearbeiten und eine Standardrichtlinie auswählen, die nicht über Administratorberechtigungen verfügt, wird eine Warnmeldung angezeigt. Vergewissern Sie sich, dass andere Benutzer über Administratorrechte verfügen, ehe Sie fortfahren.

Bearbeiten des Sicherheitsanbieters – LDAP

Name

Erstellen Sie einen eindeutigen Namen, um diesen Anbieter leichter zu identifizieren.

Aktiviert

Falls aktiviert, kann Ihr B Series Appliance diesen Sicherheitsanbieter durchsuchen, wenn sich ein Benutzer anmeldet. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

Benutzerauthentifizierung

Geben Sie an, ob dieser Anbieter für die Authentifizierung von Benutzern verwendet werden soll. Ist diese Option nicht ausgewählt, sind die für die Benutzerauthentifizierung spezifischen Optionen deaktiviert.

Benutzerbereitstellung

Die Benutzerbereitstellung erfolgt standardmäßig über diesen Anbieter. Wenn Sie einen SCIM-Anbieter eingerichtet haben, können Sie es einrichten, dass Benutzer stattdessen über diesen Anbieter bereitgestellt werden. Wird dieser Anbieter nicht für die Benutzerauthentifizierung verwendet, ist Benutzer nicht bereitstellen ausgewählt.

Diese Einstellung kann nach dem Speichern dieses Sicherheitsanbieters nicht mehr geändert werden.

Benutzerinformationen mit LDAP-Server synchronisiert lassen

Ist diese Option aktiviert, ist der Anzeigename eines Benutzers der vom Sicherheitsanbieter festgelegte Name, und der Anzeigename kann in BeyondTrust nicht geändert werden.

Autorisierungseinstellungen

Synchronisierung: LDAP-Objektzwischenspeicher aktivieren

Falls aktiviert, werden für das B Series Appliance sichtbare LDAP-Objekte nächtlich oder ggf. manuell synchronisiert. Bei der Verwendung dieser Option werden weniger Verbindungen zum LDAP-Server zu Verwaltungszwecken vorgenommen, was Geschwindigkeit und Effizienz zu Gute kommt.

Falls nicht aktiviert, sind Änderungen am LDAP-Server sofort verfügbar. Es ist keine Synchronisierung notwendig. Wenn Sie jedoch über die Verwaltungsschnittstelle Änderungen an Benutzerrichtlinien vornehmen, kann es zu kurzen LDAP-Verbindungen kommen.

Für Anbieter, die die Synchronisierungseinstellung zuvor aktiviert hatten, führt das Deaktivieren der Synchronisierungsoption zur Löschung aller zwischengespeicherter Einträge, die aktuell nicht verwendet werden.

Gruppen suchen

Wählen Sie, ob Sie diesen Sicherheitsanbieter nur für die Benutzerauthentifizierung, nur für Gruppensuchen oder für beides verwenden möchten. Ist die Option Benutzerauthentifizierung oben nicht aktiviert, ist Gruppen mit diesem Anbieter suchen ausgewählt. Die Option zur Suche nach Gruppen mit einem anderen Anbieter ist nur dann verfügbar, wenn bereits ein anderer Anbieter für die Gruppensuche erstellt worden ist.

Standardmäßige Gruppenrichtlinie (nur sichtbar, wenn die Benutzerauthentifizierung gestattet wurde)

Jeder Benutzer, der sich an einem externen Server authentifiziert, muss Mitglied mindestens einer Gruppenrichtlinie sein, damit er sich an Ihrem B Series Appliance authentifizieren, sich an der /login-Schnittstelle oder in der zugriffskonsole anmelden kann. Sie können eine standardmäßige Gruppenrichtlinie wählen, die für alle Benutzer gelten soll, die sich am konfigurierten Server authentifizieren können.

Beachten Sie: Wird eine Standardrichtlinie definiert, hat potenziell jeder gestattete Benutzer, der sich an diesem Server authentifiziert, auf der Ebene dieser Standardrichtlinie Zugriff. Daher wird empfohlen, als Standardrichtlinie eine Richtlinie mit minimalen Berechtigungen festzulegen, damit Benutzer nicht Berechtigungen erhalten, die sie nicht besitzen sollen.

Wenn sich ein Benutzer in einer standardmäßigen Gruppenrichtlinie befindet und dann zu einer anderen, spezifischen Gruppenrichtlinie hinzugefügt wird, gelten die Einstellungen für die spezifische Gruppenrichtlinie stets vor den Einstellungen der standardmäßigen Gruppenrichtlinie, auch dann, wenn die spezifische Richtlinie eine geringere Priorität hat als die standardmäßige Richtlinie und auch wenn die Einstellungen der standardmäßigen Gruppenrichtlinie kein Überschreiben von Einstellungen gestatten.

Verbindungseinstellungen

Hostname

Geben Sie den Hostnamen des Servers ein, der Ihren externen Verzeichnisspeicher beinhaltet.

Wenn Sie LDAPS oder LDAP mit TLS verwenden, muss der Hostname mit dem Hostnamen im Betreffnamen des öffentlichen SSL-Zertifikats, das Ihr LDAP-Server verwendet, übereinstimmen, oder mit der DNS-Komponente des alternativen Betreffnamens.

Port

Geben Sie den Port für Ihren LDAP-Server an. Dabei handelt es sich in der Regel um Port 389 für LDAP oder Port 636 für LDAPS. BeyondTrust unterstützt zudem Global Catalog über Port 3268 für LDAP oder 3269 für LDAPS.

Verschlüsselung

Wählen Sie den Verschlüsselungstyp zur Kommunikation mit dem LDAP-Server aus. Aus Sicherheitsgründen wird LDAPS oder LDAP mit TLS empfohlen.

Reguläres LDAP sendet und empfängt Daten in Klartext zum und vom LDAP-Server. Damit werden möglicherweise empfindliche Benutzerkontoinformationen gegenüber Packet-Sniffern anfällig. Sowohl LDAPS und LDAP mit TLS verschlüsseln Benutzerdaten bei der Übertragung. Diese Methoden werden daher anstelle des regulären LDAP empfohlen. LDAP mit TLS verwendet die StartTLS-Funktion, um eine Verbindung über Klartext-LDAP zu initiieren, setzt diese Verbindung dann jedoch zu einer verschlüsselten Verbindung herauf. LDAPS initiiert die Verbindung verschlüsselt und sendet keinerlei Daten in Klartext.

Wenn Sie LDAPS oder LDAP mit TLS wählen, müssen Sie das oberste SSL-Zertifikat hochladen, das von Ihrem LDAP-Server verwendet wird. Dies ist nötig, um die Gültigkeit des Servers und die Sicherheit der Daten sicherzustellen. Das oberste Zertifikat muss im PEM-Format vorliegen.

Wenn der Betreffname oder die DNS-Komponente des alternativen Betreffnamens des öffentlichen SSL-Zertifikats für den LDAP-Server nicht mit dem Wert im Feld Hostname übereinstimmt, wird der Anbieter als unerreichbar behandelt. Sie können jedoch ein Wildcard-Zertifikat verwenden, um mehrere Subdomänen der gleichen Site zu zertifizieren. Zum Beispiel zertifiziert ein Zertifikat für *.example.com sowohl access.example.com und remote.example.com.

Anmeldedaten binden

Geben Sie einen Benutzernamen und ein Passwort an, das Ihr B Series Appliance an den LDAP-Verzeichnisspeicher binden kann, um diesen zu durchsuchen.

Wenn Ihr Server anonyme Bindungen gestattet, können Sie die Bindung auch ohne Angabe von Benutzername und Passwort durchführen. Anonyme Bindungen gelten als unsicher und sind standardmäßig an den meisten LDAP-Servern deaktiviert.

Benutzername

Geben Sie einen Benutzernamen für die Anmeldedatenbindung ein.

Passwort und Bestätigung des Passworts

Geben Sie ein Passwort für die Anmeldedatenbindung ein und bestätigen Sie es.

Verbindungsmethode

Wenn Sie einen externen Verzeichnisspeicher im gleichen lokalen Netzwerk wie Ihr B Series Appliance verwenden, können die beiden Systeme möglicherweise direkt kommunizieren. In diesem Fall können Sie die Option Proxy vom Gerät über den Connection Agent deaktiviert lassen und mit der Einrichtung fortfahren.

Wenn die beiden Systeme nicht direkt miteinander kommunizieren können, z. B. wenn sich Ihr externer Verzeichnisserver hinter einer Firewall befindet oder wenn Sie ein BeyondTrust Cloud-Kunde sind, müssen Sie einen Connection Agent verwenden. Mit dem Herunterladen des Win32 Connection Agent ermöglichen Sie Ihrem Verzeichnisserver und Ihrem B Series Appliance, über eine SSL-verschlüsselte, ausgehende Verbindung auch ohne Firewall-Konfiguration zu kommunizieren. Der Connection Agent kann entweder auf den Verzeichnisserver oder einen separaten Server im Netzwerk (empfohlen) heruntergeladen werden.

Aktivieren Sie im obigen Fall Proxy vom Gerät über den Connection Agent (dies gilt nicht für BeyondTrust Cloud-Kunden). Erstellen Sie ein Passwort für Connection Agent zur Verwendung im Installationsprozess für den Connection Agent. Klicken Sie dann auf Connection Agent herunterladen, führen Sie das Installationsprogramm aus und folgen Sie dem Installationsassistenten. Während der Installation werden Sie aufgefordert, den Namen des Sicherheitsanbieters und das Passwort für den Connection Agent einzugeben, das Sie oben erstellt haben.

BeyondTrust Cloud-Kunden müssen den Verbindungsagenten ausführen, um einen externen Verzeichnisspeicher nutzen zu können.

Verzeichnistyp

Um die Konfiguration der Netzwerkverbindung zwischen Ihrem B Series Appliance und Ihrem Sicherheitsanbieter zu vereinfachen, können Sie einen Verzeichnistyp als Vorlage auswählen. Damit werden die untenstehenden Konfigurationsfelder mit Standarddaten vorausgefüllt. Diese müssen jedoch angepasst werden, um der spezifischen Konfiguration Ihres Sicherheitsanbieters zu entsprechen. Active Directory LDAP ist der am weitesten verbreitete Servertyp, aber Sie können BeyondTrust auch auf die Kommunikation mit den meisten Sicherheitsanbietern konfigurieren.

Cluster-Einstellungen (nur für Cluster sichtbar)

Mitgliederauswahl-Algorithmus

Wählen Sie die Methode zum Suchen der Knoten in diesem Cluster.

Von oben nach unten versucht zunächst, eine Verbindung zum Server mit der höchsten Priorität im Cluster herzustellen. Wenn dieser Server nicht verfügbar ist oder das Konto nicht gefunden wird, wird die Verbindung zum Server mit der nächsthöheren Priorität aufgebaut. So läuft die Suche durch die Liste der Cluster-Server, bis das Konto entweder gefunden oder festgestellt wird, dass das Konto auf keinem der angegebenen und verfügbaren Server existiert.

Round-Robin ist darauf ausgelegt, die Arbeitslast zwischen mehreren Servern auszugleichen. Der Algorithmus wählt zufällig einen ersten Server zum Verbindungsaufbau aus. Ist dieser Server nicht verfügbar oder das Konto wird nicht gefunden, wird auf Zufallsbasis ein anderer Server ausgewählt. Die Suche wird so durch die weiteren Server im Cluster zufällig fortgesetzt, bis das Konto entweder gefunden oder festgestellt wird, dass das Konto auf keinem der angegebenen und verfügbaren Server existiert.

Verzögerung Wiederholter Versuch

Legen Sie fest, wie lange mit dem nächsten Versuch gewartet werden soll, nachdem ein Cluster-Mitglied nicht mehr verfügbar ist.

Benutzerschema-Einstellungen

Cluster-Werte überschreiben (nur für Cluster-Knoten sichtbar)

Wenn diese Option deaktiviert bleibt, verwendet dieser Cluster-Knoten die gleichen Schemaeinstellungen wie der Cluster. Wird die Option nicht aktiviert, können Sie die untenstehenden Schemaeinstellungen ändern.

Basis-DN suchen

Legen Sie die Ebene in Ihrer Verzeichnishierarchie fest (angegeben durch einen repräsentativen Namen), auf der das B Series Appliance mit der Benutzersuche beginnen soll. Abhängig von der Größe Ihres Verzeichnisspeichers und der Benutzer, die BeyondTrust-Konten erfordern, können Sie die Leistung verbessern, indem Sie die genaue Geschäftseinheit innerhalb Ihres Verzeichnisspeichers angeben, die den Zugriff erfordert. Wenn Sie sich nicht sicher sind oder wenn Benutzer mehrere Geschäftseinheiten umspannen, können Sie auch den obersten repräsentativen Namen Ihres Verzeichnisspeichers angeben.

Benutzerabfrage

Geben Sie die Abfrageinformationen an, welche das B Series Appliance verwenden soll, um einen LDAP-Benutzer ausfindig zu machen, wenn dieser Benutzer versucht sich anzumelden. Das Feld Benutzerabfrage akzeptiert eine standardmäßige LDAP-Abfrage (RFC 2254 – „String Representation of LDAP Search Filters“). Sie können die Abfrage-Zeichenfolge ändern und so bestimmen, wie sich Ihre Benutzer anmelden und welche Arten von Benutzernamen akzeptiert werden. Um den Wert innerhalb der Zeichenfolge anzugeben, der als Benutzername dienen soll, ersetzen Sie diesen Wert mit *.

Navigationsanfrage

Beim Durchsuchen über Gruppenrichtlinien beeinflusst die Durchsuchen-Abfrage, wie Ergebnisse angezeigt werden. Damit werden Ergebnisse so gefiltert, dass nur bestimmte Ergebnisse im Dropdown-Menü der Mitgliedsauswahl angezeigt werden, wenn Sie Mitglieder zu einer Gruppenrichtlinie hinzufügen.

Objektklassen

Geben Sie gültige Objektklassen für einen Benutzer in Ihrem Verzeichnisspeicher an. Nur Benutzern mit mindestens einer dieser Objektklassen ist die Authentifizierung gestattet. Diese Objektklassen werden auch mit den untenstehenden Attributnamen verwendet, um für Ihr B Series Appliance das Schema zu kennzeichnen, das der LDAP-Server zur Identifizierung von Benutzern verwendet. Sie können mehrere Objektklassen eingeben, eine pro Zeile.

Attributnamen

Geben Sie an, welche Felder für die eindeutige Benutzerkennung, den Anzeigenamen und die E-Mail-Adresse eines Benutzers verwendet werden sollen.

Eindeutige ID

Dieses Feld benötigt eine eindeutige Kennung für das Objekt. Auch wenn der repräsentative Name als diese ID dienen kann, kann sich der repräsentative Name eines Benutzers im Laufe der Zeit häufig ändern, etwa aufgrund von Namens- oder Standortänderungen oder durch die Umbenennung des LDAP-Speichers. Daher verwenden die meisten LDAP-Server ein Feld, das pro Objekt einzigartig ist und sich für die gesamte Lebenszeit des Benutzers nicht ändert. Wenn Sie den repräsentativen Namen als einzigartige ID verwenden und sich der repräsentative Name eines Benutzers ändert, wird dieser Benutzer als neuer Benutzer angesehen und jegliche Änderungen, die am BeyondTrust-Benutzerkonto dieser Person vorgenommen werden, werden nicht auf den neuen Benutzer übernommen. Wenn Ihr LDAP-Server keine einzigartige Kennung verwendet, verwenden Sie ein Feld, das nicht zu einem identischen Eintrag bei einem anderen Benutzer führen wird.

E-Mail

Dies legt fest, welches Feld als E-Mail-Adresse des Benutzers verwendet werden soll.

Anzeigename

Dies legt fest, welches Feld als Anzeigename des Benutzers verwendet werden soll.

Gruppenschemaeinstellungen (Nur bei der Durchführung von Gruppensuchen sichtbar)

Verzeichnistyp

Um die Konfiguration der Netzwerkverbindung zwischen Ihrem B Series Appliance und Ihrem Sicherheitsanbieter zu vereinfachen, können Sie einen Verzeichnistyp als Vorlage auswählen. Damit werden die untenstehenden Konfigurationsfelder mit Standarddaten vorausgefüllt. Diese müssen jedoch angepasst werden, um der spezifischen Konfiguration Ihres Sicherheitsanbieters zu entsprechen. Active Directory LDAP ist der am weitesten verbreitete Servertyp, aber Sie können BeyondTrust auch auf die Kommunikation mit den meisten Sicherheitsanbietern konfigurieren.

Basis-DN suchen

Legen Sie die Ebene in Ihrer Verzeichnishierarchie fest (angegeben durch einen repräsentativen Namen), auf der das B Series Appliance mit der Gruppensuche beginnen soll. Abhängig von der Größe Ihres Verzeichnisspeichers und der Gruppen, welche Zugriff auf das B Series Appliance erfordern, können Sie die Leistung verbessern, indem Sie die genaue Geschäftseinheit innerhalb Ihres Verzeichnisspeichers angeben, welche den Zugriff erfordert. Wenn Sie sich nicht sicher sind oder wenn Gruppen mehrere Geschäftseinheiten beinhalten, können Sie auch den obersten repräsentativen Namen Ihres Verzeichnisspeichers angeben.

Navigationsanfrage

Beim Durchsuchen über Gruppenrichtlinien beeinflusst die Durchsuchen-Abfrage, wie Ergebnisse angezeigt werden. Damit werden Ergebnisse so gefiltert, dass nur bestimmte Ergebnisse im Dropdown-Menü der Mitgliedsauswahl angezeigt werden, wenn Sie Mitglieder zu einer Gruppenrichtlinie hinzufügen.

Objektklassen

Geben Sie gültige Objektklassen für eine Gruppe innerhalb Ihres Verzeichnisspeichers an. Nur Gruppen mit mindestens einer dieser Objektklassen werden zurückgegeben. Diese Objektklassen werden auch mit den untenstehenden Attributnamen verwendet, um für Ihr B Series Appliance zu kennzeichnen, welches Schema der LDAP-Server zum Identifizieren von Gruppen verwendet. Sie können mehrere Gruppenobjektklassen eingeben, eine pro Zeile.

Attributnamen

Geben Sie an, welche Felder für die eindeutige ID und den Anzeigenamen einer Gruppe verwendet werden sollten.

Eindeutige ID

Dieses Feld benötigt eine eindeutige Kennung für das Objekt. Auch wenn der repräsentative Name als diese ID dienen kann, kann sich der repräsentative Name einer Gruppe im Laufe der Zeit häufig ändern, etwa aufgrund von Standortänderungen oder durch die Umbenennung des LDAP-Speichers. Daher verwenden die meisten LDAP-Server ein Feld, das pro Objekt einzigartig ist und sich für die gesamte Lebenszeit der Gruppe nicht ändert. Wenn Sie den repräsentativen Namen als einzigartige ID verwenden und sich der repräsentative Name eine Gruppe ändert, wird diese Gruppe als neue Gruppe angesehen und jegliche Gruppenrichtlinien, die für diese Gruppe definiert wurden, werden nicht für die neue Gruppe übernommen. Wenn Ihr LDAP-Server keine einzigartige Kennung verwendet, verwenden Sie ein Feld, das nicht zu einem identischen Eintrag bei einer anderen Gruppe führen wird.

Anzeigename

Dieser Wert legt fest, welches Feld als Anzeigename der Gruppe verwendet werden soll.

Benutzer-zu-Gruppen-Beziehungen

Dieses Feld fordert eine Abfrage an, um festzustellen, welche Benutzer welchen Gruppen zugehören oder welche Gruppen welche Benutzer enthalten.

Rekursive Gruppensuche durchführen

Sie können eine rekursive Suche für Gruppen durchführen. Damit wird eine Abfrage für einen Benutzer durchgeführt; daraufhin werden alle Gruppen abgefragt, zu denen dieser Benutzer gehört; daraufhin werden alle Gruppen abgefragt, zu denen diese Gruppen gehören und so weiter, bis alle möglichen mit diesem Benutzer assoziierten Gruppen gefunden wurden.

Die Ausführung einer rekursiven Suche kann sich beträchtlich auf die Leistung auswirken, da der Server weiter Abfragen durchführt, bis Informationen zu allen Gruppen gefunden wurden. Dauert dies zu lange, können sich Benutzer möglicherweise nicht anmelden.

Eine nichtrekursive Suche führt nur eine Abfrage pro Benutzer durch. Wenn Ihr LDAP-Server ein spezielles Feld besitzt, das alle Gruppen enthält, zu denen der Benutzer gehört, ist die rekursive Suche nicht nötig. Die rekursive Suche ist ebenfalls nicht nötig, wenn Ihr Verzeichnis-Design Gruppenmitglieder von Gruppen nicht berücksichtigt.

Einstellungen testen

Benutzername und Passwort

Geben Sie einen Benutzernamen und ein Passwort für ein Konto ein, das auf dem zu testenden Server existiert. Dieses Konto muss die in der obigen Konfiguration angegebenen Anmeldungskriterien erfüllen.

Es wird versucht, Benutzerattribute und Gruppenmitgliedschaften abzurufen, wenn die Anmeldedaten angenommen werden.

Wird diese Option aktiviert, versucht der erfolgreiche Anmeldedatentest auch, die Benutzerattribute und Gruppensuche zu prüfen. Beachten Sie, dass für den erfolgreichen Test dieser Funktionen diese in Ihrem Sicherheitsanbieter unterstützt und konfiguriert sein müssen.

Test starten

Wenn Ihr Server ordnungsgemäß konfiguriert ist und Sie einen gültigen Benutzernamen und ein Passwort zum Testen eingegeben haben, erhalten Sie eine positive Meldung. Andernfalls sehen Sie eine Fehlermeldung und ein Protokoll, das bei der Fehlerbehebung helfen kann.

Bearbeiten des Sicherheitsanbieters – RADIUS

Name

Erstellen Sie einen eindeutigen Namen, um diesen Anbieter leichter zu identifizieren.

Aktiviert

Falls aktiviert, kann Ihr B Series Appliance diesen Sicherheitsanbieter durchsuchen, wenn sich ein Benutzer anmeldet. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

Anzeigenamen mit Remote-System synchronisiert lassen

Ist diese Option aktiviert, ist der Anzeigename eines Benutzers der vom Sicherheitsanbieter festgelegte Name, und der Anzeigename kann in BeyondTrust nicht geändert werden.

Autorisierungseinstellungen

Nur die folgenden Benutzer zulassen

Sie können den Zugriff nur bestimmten Benutzern auf Ihrem RADIUS-Server gewähren. Jeder Benutzername sollte dabei durch einen Zeilenumbruch getrennt werden. Nach der Eingabe stehen diese Benutzer über das Dialogfeld Richtlinienmitglied hinzufügen bei der Bearbeitung von Gruppenrichtlinien auf der Seite /login > Benutzer und Sicherheit > Gruppenrichtlinien zur Verfügung.

Wenn Sie dieses Feld leer lassen, werden alle Benutzer zugelassen, die sich über Ihren RADIUS-Server authentifizieren. Wenn Sie alle Benutzer zulassen, müssen Sie außerdem eine standardmäßige Gruppenrichtlinie angeben.

LDAP-Gruppensuche

Wenn Benutzer dieses Sicherheitsanbieters ihren Gruppen auf einem separaten LDAP-Server zugewiesen werden sollen, wählen Sie einen oder mehrere LDAP-Gruppenserver, die zur Gruppensuche verwendet werden sollen.

Standardmäßige Gruppenrichtlinie

Jeder Benutzer, der sich an einem externen Server authentifiziert, muss Mitglied mindestens einer Gruppenrichtlinie sein, damit er sich an Ihrem B Series Appliance authentifizieren, sich an der /login-Schnittstelle oder in der zugriffskonsole anmelden kann. Sie können eine standardmäßige Gruppenrichtlinie wählen, die für alle Benutzer gelten soll, die sich am konfigurierten Server authentifizieren können.

Beachten Sie: Wird eine Standardrichtlinie definiert, hat potenziell jeder gestattete Benutzer, der sich an diesem Server authentifiziert, auf der Ebene dieser Standardrichtlinie Zugriff. Daher wird empfohlen, als Standardrichtlinie eine Richtlinie mit minimalen Berechtigungen festzulegen, damit Benutzer nicht Berechtigungen erhalten, die sie nicht besitzen sollen.

Wenn sich ein Benutzer in einer standardmäßigen Gruppenrichtlinie befindet und dann zu einer anderen, spezifischen Gruppenrichtlinie hinzugefügt wird, gelten die Einstellungen für die spezifische Gruppenrichtlinie stets vor den Einstellungen der standardmäßigen Gruppenrichtlinie, auch dann, wenn die spezifische Richtlinie eine geringere Priorität hat als die standardmäßige Richtlinie und auch wenn die Einstellungen der standardmäßigen Gruppenrichtlinie kein Überschreiben von Einstellungen gestatten.

Verbindungseinstellungen

Hostname

Geben Sie den Hostnamen des Servers ein, der Ihren externen Verzeichnisspeicher beinhaltet.

Port

Geben Sie den Authentifizierungsport für Ihren RADIUS-Server an. Dies ist in der Regel 1812.

Zeitüberschreitung (Sekunden)

Maximale Wartezeit, für die auf eine Antwort vom Server gewartet werden soll. Beachten Sie: Bei einer Antwort vom Typ Response-Accept oder Response-Challenge wird RADIUS den gesamten hier angegebenen Zeitraum über warten, bevor das Konto authentifiziert wird. Daher empfehlen wir, diesen Wert abhängig von Ihren Netzwerkeinstellungen so gering wie möglich zu halten. Ein idealer Wert ist 3-5 Sekunden, mit einem Maximalwert von drei Minuten.

Verbindungsmethode

Wenn Sie einen externen Verzeichnisspeicher im gleichen lokalen Netzwerk wie Ihr B Series Appliance verwenden, können die beiden Systeme möglicherweise direkt kommunizieren. In diesem Fall können Sie die Option Proxy vom Gerät über den Connection Agent deaktiviert lassen und mit der Einrichtung fortfahren.

Wenn die beiden Systeme nicht direkt miteinander kommunizieren können, z. B. wenn sich Ihr externer Verzeichnisserver hinter einer Firewall befindet oder wenn Sie ein BeyondTrust Cloud-Kunde sind, müssen Sie einen Connection Agent verwenden. Mit dem Herunterladen des Win32 Connection Agent ermöglichen Sie Ihrem Verzeichnisserver und Ihrem B Series Appliance, über eine SSL-verschlüsselte, ausgehende Verbindung auch ohne Firewall-Konfiguration zu kommunizieren. Der Connection Agent kann entweder auf den Verzeichnisserver oder einen separaten Server im Netzwerk (empfohlen) heruntergeladen werden.

Aktivieren Sie im obigen Fall Proxy vom Gerät über den Connection Agent (dies gilt nicht für BeyondTrust Cloud-Kunden). Erstellen Sie ein Passwort für Connection Agent zur Verwendung im Installationsprozess für den Connection Agent. Klicken Sie dann auf Connection Agent herunterladen, führen Sie das Installationsprogramm aus und folgen Sie dem Installationsassistenten. Während der Installation werden Sie aufgefordert, den Namen des Sicherheitsanbieters und das Passwort für den Connection Agent einzugeben, das Sie oben erstellt haben.

Gemeinsamer geheimer Schlüssel

Geben Sie einen neuen gemeinsamen geheimen Schlüssel an, damit Ihr B Series Appliance mit Ihrem RADIUS-Server kommunizieren kann.

Cluster-Einstellungen (nur für Cluster sichtbar)

Mitgliederauswahl-Algorithmus

Wählen Sie die Methode zum Suchen der Knoten in diesem Cluster.

Von oben nach unten versucht zunächst, eine Verbindung zum Server mit der höchsten Priorität im Cluster herzustellen. Wenn dieser Server nicht verfügbar ist oder das Konto nicht gefunden wird, wird die Verbindung zum Server mit der nächsthöheren Priorität aufgebaut. So läuft die Suche durch die Liste der Cluster-Server, bis das Konto entweder gefunden oder festgestellt wird, dass das Konto auf keinem der angegebenen und verfügbaren Server existiert.

Round-Robin ist darauf ausgelegt, die Arbeitslast zwischen mehreren Servern auszugleichen. Der Algorithmus wählt zufällig einen ersten Server zum Verbindungsaufbau aus. Ist dieser Server nicht verfügbar oder das Konto wird nicht gefunden, wird auf Zufallsbasis ein anderer Server ausgewählt. Die Suche wird so durch die weiteren Server im Cluster zufällig fortgesetzt, bis das Konto entweder gefunden oder festgestellt wird, dass das Konto auf keinem der angegebenen und verfügbaren Server existiert.

Verzögerung Wiederholter Versuch

Legen Sie fest, wie lange mit dem nächsten Versuch gewartet werden soll, nachdem ein Cluster-Mitglied nicht mehr verfügbar ist.

Einstellungen testen

Benutzername und Passwort

Geben Sie einen Benutzernamen und ein Passwort für ein Konto ein, das auf dem zu testenden Server existiert. Dieses Konto muss die in der obigen Konfiguration angegebenen Anmeldungskriterien erfüllen.

Es wird versucht, Benutzerattribute und Gruppenmitgliedschaften abzurufen, wenn die Anmeldedaten angenommen werden.

Wird diese Option aktiviert, versucht der erfolgreiche Anmeldedatentest auch, die Benutzerattribute und Gruppensuche zu prüfen. Beachten Sie, dass für den erfolgreichen Test dieser Funktionen diese in Ihrem Sicherheitsanbieter unterstützt und konfiguriert sein müssen.

Test starten

Wenn Ihr Server ordnungsgemäß konfiguriert ist und Sie einen gültigen Benutzernamen und ein Passwort zum Testen eingegeben haben, erhalten Sie eine positive Meldung. Andernfalls sehen Sie eine Fehlermeldung und ein Protokoll, das bei der Fehlerbehebung helfen kann.

Bearbeiten des Sicherheitsanbieters – Kerberos

Name

Erstellen Sie einen eindeutigen Namen, um diesen Anbieter leichter zu identifizieren.

Aktiviert

Falls aktiviert, kann Ihr B Series Appliance diesen Sicherheitsanbieter durchsuchen, wenn sich ein Benutzer anmeldet. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

Anzeigenamen mit Remote-System synchronisiert lassen

Ist diese Option aktiviert, ist der Anzeigename eines Benutzers der vom Sicherheitsanbieter festgelegte Name, und der Anzeigename kann in BeyondTrust nicht geändert werden.

Realm aus Principal-Namen entfernen

Wählen Sie diese Option, um den REALM-Teil aus dem Benutzer-Principal-Namen zu entfernen, wenn Sie den BeyondTrust-Benutzernamen erstellen.

Autorisierungseinstellungen

Benutzer-Bearbeitungsmodus

Wählen Sie, welche Benutzer sich an Ihrem B Series Appliance authentifizieren können. Alle Benutzer zulassen gestattet es allen, die sich aktuell über Ihr KDC authentifizieren. Nur in der Liste angegebene Benutzer-Principals zulassen gestattet nur ausdrücklich angegebene Benutzer-Principals. Nur Benutzer-Principals, die mit der Regex übereinstimmen, zulassen gestattet nur Benutzer-Principals, die mit einem Perl-kompatiblen regulären Ausdruck (PCRE) übereinstimmen.

SPN-Bearbeitungsmodus: Nur in der Liste angegebene SPNs zulassen

Falls deaktiviert, sind alle konfigurierten Service Principal Names (SPNs) für diesen Sicherheitsanbieter gestattet. Falls aktiviert, wählen Sie bestimmte SPNs aus einer Liste aktuell konfigurierter SPNs.

Wenn Benutzer dieses Sicherheitsanbieters ihren Gruppen auf einem separaten LDAP-Server zugewiesen werden sollen, wählen Sie einen oder mehrere LDAP-Gruppenserver, die zur Gruppensuche verwendet werden sollen.

Standardmäßige Gruppenrichtlinie

Jeder Benutzer, der sich an einem externen Server authentifiziert, muss Mitglied mindestens einer Gruppenrichtlinie sein, damit er sich an Ihrem B Series Appliance authentifizieren, sich an der /login-Schnittstelle oder in der zugriffskonsole anmelden kann. Sie können eine standardmäßige Gruppenrichtlinie wählen, die für alle Benutzer gelten soll, die sich am konfigurierten Server authentifizieren können.

Beachten Sie: Wird eine Standardrichtlinie definiert, hat potenziell jeder gestattete Benutzer, der sich an diesem Server authentifiziert, auf der Ebene dieser Standardrichtlinie Zugriff. Daher wird empfohlen, als Standardrichtlinie eine Richtlinie mit minimalen Berechtigungen festzulegen, damit Benutzer nicht Berechtigungen erhalten, die sie nicht besitzen sollen.

Wenn sich ein Benutzer in einer standardmäßigen Gruppenrichtlinie befindet und dann zu einer anderen, spezifischen Gruppenrichtlinie hinzugefügt wird, gelten die Einstellungen für die spezifische Gruppenrichtlinie stets vor den Einstellungen der standardmäßigen Gruppenrichtlinie, auch dann, wenn die spezifische Richtlinie eine geringere Priorität hat als die standardmäßige Richtlinie und auch wenn die Einstellungen der standardmäßigen Gruppenrichtlinie kein Überschreiben von Einstellungen gestatten.

Bearbeiten des Sicherheitsanbieters – SAML2

Name

Geben Sie einen eindeutigen Namen ein, um Ihren Anbieter leichter zu identifizieren.

Aktiviert

Falls aktiviert, kann Ihr B Series Appliance diesen Sicherheitsanbieter durchsuchen, wenn sich ein Benutzer anmeldet. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

Benutzerbereitstellung

Die Benutzerbereitstellung erfolgt standardmäßig über diesen Anbieter. Wenn Sie einen SCIM-Anbieter eingerichtet haben, können Sie es einrichten, dass Benutzer stattdessen über diesen Anbieter bereitgestellt werden.

Diese Einstellung kann nach dem Speichern dieses Sicherheitsanbieters nicht mehr geändert werden.

Verknüpfte E-Mail-Domänen

Diese Einstellung ist nur dann gültig, wenn Sie über mehr als einen aktiven SAML-Anbieter verfügen und wird andernfalls ignoriert.

Fügen Sie alle E-Mail-Domänen hinzu, die mit diesem SAML-Anbieter verknüpft werden sollen, eine pro Zeile. Bei der Authentifizierung werden die Benutzer aufgefordert, ihre E-Mail-Adresse einzugeben. Die Domäne ihrer E-Mail-Adresse wird mit dieser Liste abgeglichen, und sie werden zur Authentifizierung an den entsprechenden Identitätsanbieter weitergeleitet.

Sind mehrere SAML-Anbieter konfiguriert, und die E-Mail-Adresse des Benutzers stimmt nicht mit einer der bei einem Anbieter verknüpften Domänen überein, kann die Authentifizierung nicht durchgeführt werden.

Identitätsanbieter-Einstellungen

Identitätsanbieter-Metadaten

Die Metadatendatei enthält alle Informationen, die für die anfängliche Einrichtung Ihres SAML-Anbieters erforderlich sind, und muss von Ihrem Identitätsanbieter heruntergeladen werden. Speichern Sie die XML-Datei und klicken Sie dann auf Datei wählen, um die ausgewählte Datei auszuwählen und hochzuladen.

Die Felder für Entitäts-ID, Einzelanmeldungsdienst-URL und Zertifikat werden automatisch über die Metadatendatei des Identitätsanbieters ausgefüllt. Wenn Sie keine Metadaten-Datei von Ihrem Anbieter erhalten, können diese Angaben auch manuell gemacht werden.

Entitäts-ID

Hierbei handelt es sich um die eindeutige Kennung für den Identitätsanbieter, den Sie verwenden.

Einzelanmeldungsdienst-URL

Wenn Sie sich mit SAML auf BeyondTrust anmelden möchten, werden Sie mit dieser URL automatisch weitergeleitet, damit Sie sich anmelden können.

SSO-URL-Protokoll-Bindung

So wird festgelegt, ob ein HTTP-POST erfolgt oder oder der Benutzer an die Anmelde-URL weitergeleitet wird. Dies sollte, sofern vom Identitätsanbieter nicht anderweitig erfordert, als Weiterleitung belassen werden.

Server-Zertifikat

Dieses Zertifikat dient dazu, die vom Identitätsanbieter gesendete Signatur der Assertion zu verifizieren.

Serviceanbieter-Einstellungen

Serviceanbieter-Metadaten

Laden Sie die BeyondTrust-Metadaten herunter. Diese müssen Sie dann bei Ihrem Identitätsanbieter hochladen.

Entitäts-ID

Dies ist Ihre BeyondTrust-URL. Diese bietet eine eindeutige Kennung Ihrer Website gegenüber dem Identitätsanbieter.

Privater Schlüssel

Falls nötig, können Sie vom Identitätsanbieter gesendete Nachrichten entschlüsseln, falls diese die Verschlüsselung unterstützen und erfordern. Klicken Sie auf Datei wählen, um den privaten Schlüssel hochzuladen, der für die Entschlüsselung der Nachrichten vom Identitätsanbieter erforderlich ist.

Einstellungen der Benutzerattribute (nur sichtbar, wenn dieser Anbieter für die Benutzerbereitstellung verwendet wird)

SAML-Benutzerattribute

Diese Attribute werden verwendet, um Benutzer innerhalb von BeyondTrust bereitzustellen. Die Standardwerte entsprechen von BeyondTrust zertifizierten Anwendungen mit verschiedenen Identitätsanbietern. Wenn Sie Ihren eigenen SAML-Connector erstellen, müssen Sie möglicherweise die Attribute an die Angaben Ihres Identitätsanbieters anpassen.

Authorisierungseinstellungen (nur sichtbar, wenn dieser Anbieter für die Benutzerbereitstellung verwendet wird)

Gruppen mit diesem Anbieter suchen

Die Aktivierung dieser Funktion ermöglicht eine schnellere Bereitstellung durch automatische Suche nach Gruppen für diesen Benutzer unter Verwendung von Gruppensuche nach Attributname und Trennzeichen.

Gruppensuche nach Attributname

Geben Sie den Namen des SAML-Attributs ein, das die Namen der Gruppen enthält, zu denen Benutzer gehören sollten. Wenn der Attributwert mehrere Gruppennamen enthält, geben Sie das Trennzeichen zur Trennung der Namen ein.

Falls leer gelassen, müssen SAML-Benutzer nach der ersten erfolgreichen Authentifizierung manuell zugewiesen werden.

Gruppensuch-Trennzeichen

Wenn das Trennzeichen leer gelassen wird, kann der Attributwert mehrere XML-Knoten mit jeweils unterschiedlichen Namen enthalten.

Verfügbare Gruppen

Hierbei handelt es sich um eine optionale Liste mit SAML-Gruppen, die immer für eine manuelle Zuweisung zu Gruppenrichtlinien verfügbar sind. Wird dieses Feld leer gelassen, wird eine SAML-Gruppe erst nach der ersten erfolgreichen Authentifizierung eines Benutzermitglieds einer solchen Gruppe verfügbar gemacht. Bitte geben Sie einen Gruppennamen pro Zeile ein.

Standardmäßige Gruppenrichtlinie

Jeder Benutzer, der sich an einem externen Server authentifiziert, muss Mitglied mindestens einer Gruppenrichtlinie sein, damit er sich an Ihrem B Series Appliance authentifizieren, sich an der /login-Schnittstelle oder in der zugriffskonsole anmelden kann. Sie können eine standardmäßige Gruppenrichtlinie wählen, die für alle Benutzer gelten soll, die sich am konfigurierten Server authentifizieren können.

Beachten Sie: Wird eine Standardrichtlinie definiert, hat potenziell jeder gestattete Benutzer, der sich an diesem Server authentifiziert, auf der Ebene dieser Standardrichtlinie Zugriff. Daher wird empfohlen, als Standardrichtlinie eine Richtlinie mit minimalen Berechtigungen festzulegen, damit Benutzer nicht Berechtigungen erhalten, die sie nicht besitzen sollen.

Wenn sich ein Benutzer in einer standardmäßigen Gruppenrichtlinie befindet und dann zu einer anderen, spezifischen Gruppenrichtlinie hinzugefügt wird, gelten die Einstellungen für die spezifische Gruppenrichtlinie stets vor den Einstellungen der standardmäßigen Gruppenrichtlinie, auch dann, wenn die spezifische Richtlinie eine geringere Priorität hat als die standardmäßige Richtlinie und auch wenn die Einstellungen der standardmäßigen Gruppenrichtlinie kein Überschreiben von Einstellungen gestatten.

Weitere Informationen siehe SAML für die Einzelanmeldung.

Bearbeiten des Sicherheitsanbieters – SCIM

Damit SCIM verwendet werden kann, muss die SCIM-API in einem API-Konto aktiviert sein, und die API muss bei Ihrem SCIM-Anbieter konfiguriert sein. API-Konten werden unter /login > Verwaltung > API-Konfiguration verwaltet. Zu diesem Zeitpunkt kann nur ein SCIM-Anbieter erstellt werden. Sobald ein SCIM-Anbieter erstellt worden ist, ist die SCIM-Option in der Dropdown-Liste Anbieter erstellen nicht mehr verfügbar. Die SCIM-Benutzerbereitstellung verwendet SCIM 2.0-Benutzer und -Gruppenobjekte. Weitere Informationen zum SCIM 2.0-Standard finden Sie unter https://scim.cloud/.

Privileged Remote Access unterstützt nun SCIM-APIs für Benutzergruppen. Sobald Sie in /login einen SCIM-Anbieter und Benutzer und Benutzergruppen in Ihrer SCIM-Lösung konfiguriert haben, übernimmt PRA die Gruppen aus Ihrer SCIM-Lösung, so dass Sie Gruppenrichtlinien nach SCIM-Gruppe auswählen können.

Name

Erstellen Sie einen eindeutigen Namen, um diesen Anbieter leichter zu identifizieren.

Aktiviert

Falls aktiviert, kann Ihr B Series Appliance diesen Sicherheitsanbieter durchsuchen, wenn sich ein Benutzer anmeldet. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

SCIM-Benutzerabfrage-ID

Wählen Sie aus der Dropdown-Liste die eindeutige Kennung aus, die SCIM für Benutzerabfragen verwenden sollte.

SCIM-Gruppenabfrage-ID

Wählen Sie aus der Dropdown-Liste die eindeutige Kennung aus, die SCIM für Gruppenabfragen verwenden sollte.

Benutzerbereitstellungseinstellungen

Benutzerattribut

Diese Attribute werden verwendet, um Benutzer innerhalb von BeyondTrust bereitzustellen. Die Standardwerte entsprechen von BeyondTrust zertifizierten Anwendungen mit verschiedenen Identitätsanbietern.

Autorisierungseinstellungen

Eindeutige ID

Geben Sie das SCIM-Attribut ein, das als eindeutige Kennung des Benutzers in BeyondTrust verwendet werden soll.

Standardmäßige Gruppenrichtlinie

Jeder Benutzer, der sich an einem externen Server authentifiziert, muss Mitglied mindestens einer Gruppenrichtlinie sein, damit er sich an Ihrem B Series Appliance authentifizieren, sich an der /login-Schnittstelle oder in der zugriffskonsole anmelden kann. Sie können eine standardmäßige Gruppenrichtlinie wählen, die für alle Benutzer gelten soll, die sich am konfigurierten Server authentifizieren können.

Beachten Sie: Wird eine Standardrichtlinie definiert, hat potenziell jeder gestattete Benutzer, der sich an diesem Server authentifiziert, auf der Ebene dieser Standardrichtlinie Zugriff. Daher wird empfohlen, als Standardrichtlinie eine Richtlinie mit minimalen Berechtigungen festzulegen, damit Benutzer nicht Berechtigungen erhalten, die sie nicht besitzen sollen.

Wenn sich ein Benutzer in einer standardmäßigen Gruppenrichtlinie befindet und dann zu einer anderen, spezifischen Gruppenrichtlinie hinzugefügt wird, gelten die Einstellungen für die spezifische Gruppenrichtlinie stets vor den Einstellungen der standardmäßigen Gruppenrichtlinie, auch dann, wenn die spezifische Richtlinie eine geringere Priorität hat als die standardmäßige Richtlinie und auch wenn die Einstellungen der standardmäßigen Gruppenrichtlinie kein Überschreiben von Einstellungen gestatten.

Attributname

Geben Sie den Namen des SCIM-Attributs ein, das die Benutzer eindeutig identifiziert.

Die mit SCIM bereitgestellten Gruppen werden stets ohne Beachtung von Groß-/Kleinschreibung anhand ihres Namens für Gruppensuchzwecke eindeutig identifiziert.