Een Web Jump gebruiken voor toegang tot webservices

Met de verspreiding van infrastructuurcomponenten die zijn overgegaan op webgebaseerde interfaces voor configuratie, krijgen IT-beheerders te maken met een steeds complexere beveiligingsbeheersituatie. Met bevoorrechte toegang tot webgebaseerde bronnen is het een uitdaging om goede verificatie te beheren, controleren en handhaven zonder dat de productiviteit van het bedrijf negatief beïnvloed wordt. IT-beheerders hebben een manier nodig om bronnen die worden beheerd via web-interfaces effectief te beheren en controleren, waaronder:

  • Extern gehoste IaaS-servers (Infrastructure as a Service) zoals Amazon AWS, Microsoft Azure, IBM Softlayer en Rackspace
  • Intern gehoste servers die beheerd worden met hypervisor-software zoals VMware vSphere, Citrix XenServer en Microsoft Hyper-V
  • Moderne kern-netwerkinfrastructuur die web-based configuratie-interfaces gebruikt

De mogelijkheden voor beheer van identiteiten en toegang verschillen enorm tussen IaaS, hypervisor-leveranciers en kerninfrastructuursystemen, en veel daarvan hebben geen eigen ondersteuning voor multifactorverificatie en ze missen dus een extra beveiligingslaag. Door deze verschillen tussen systemen ontstaan mogelijke kwetsbaarheden voor het bedrijf, zoals misbruik van accounts en toegang, waardoor gevoelige informatie kan uitlekken. BeyondTrust Web Jump is de extra beveiligingslaag voor verificatie voor deze systemen.

 

Web Jump ondersteunt geen Flash. Zorg ervoor dat u de hypervisor-documentatie raadpleegt en het bijwerkt naar een versie die HTML5 ondersteunt.

Het Web Jumpitem is een toevoeging voor Privileged Remote Access en moet apart worden aangeschaft.

Een snelkoppeling naar een Web Jump aanmaken

Controleer voordat u snelkoppelingen naar Web Jumps aanmaakt dat uw gebruikersaccount de mogelijkheid heeft voor toegang tot Web Jumps. Deze machtiging is ingesteld op uw gebruikersaccount in de /login-interface onder Toegangsmachtigingen > Jump-technologie.

Een snelkoppeling naar een Jump aanmaken

Om een snelkoppeling naar een Web Jump aan te maken, klikt u in de Jump-interface op de knop Aanmaken. Selecteer in het vervolgkeuzemenu Web Jump. Snelkoppelingen naar Web Jumps worden in de Jump-interface weergegeven naast Jump-clients en andere soorten snelkoppelingen naar Jumpitems.

Organiseer en beheer bestaande Jumpitems door een of meer Jumpitems te selecteren en op Eigenschappen te klikken.

Om de eigenschappen van meerdere Jumpitems te bekijken, moeten de geselecteerde items van hetzelfde type zijn (allemaal Jump-clients, allemaal externe Jumps, enz.). Zie de betreffende sectie van deze gids om de eigenschappen van andere typen Jumpitems te bekijken.

Een nieuwe snelkoppeling naar Web Jump aanmaken

Voer een Naam in voor het Jumpitem. Het item is onder deze naam te vinden in de sessietabbladen. Deze tekenreeks mag maximaal 128 tekens lang zijn.

Selecteer vanuit de vervolgkeuzelijst Jumpoint het Windows- of Linux-Jumpoint dat als host fungeert voor de computer waar u toegang toe wilt krijgen.

Kopiëren/plakken wordt niet ondersteund voor Linux-Jumpoints.

Typ de URL van de website waar u toegang toe wilt.

Vink de optie Certificaat verifiëren aan als u het websitecertificaat wilt valideren voordat de verbinding wordt gemaakt. Als het vakje is aangevinkt en er worden problemen met het certificaat geconstateerd, begint de sessie niet.

 

U moet het vinkje alleen uit het vakje Certificaat verifiëren verwijderen als u een Jump uitvoert naar een website die u vertrouwt, maar die een zelf-ondertekend certificaat gebruikt.

 

Als u gebruik wilt maken van inloggegevensinjectie, moet u eerst Opmaak gebruikersnaam: selecteren.

  • Standaard: Dit is de standaard waarde voor nieuwe en bestaande Web-jumpitems. De gebruikersnaam wordt niet aangepast voorafgaand aan het invoeren op de webpagina en wordt gebruikt in de opgeslagen indeling. Voor de Endpoint Credential Manager (ECM) mogen de inloggegevens UPN- of DLLN-indeling hebben. Voor Vault moet de gebruikersnaam altijd in UPN-indeling zijn.
  • Alleen gebruikersnaam: Ongeacht de opgeslagen opmaak in Vault of ECM (gebruikersnaam@domein of domein\gebruikersnaam), wordt het domein verwijderd en wordt alleen de gebruikersnaam gebruikt.

Het is aan te bevelen om de drie velden onder Detectie inlogformulier leeg te laten, en het systeem de opgeslagen inloggegevens automatisch te laten detecteren en gebruiken. Als de automatische detectie mislukt, mislukt ook de injectie en wordt er een bericht weergegeven dat het veld Gebruikersnaam, het veld Wachtwoord en/of de knop Verzenden niet kon worden gevonden.

Voer bij het invoeren van de namen van de invoerelementen de HTML-ID, de HTML-naam of CSS-selector in voor elk element van de aanmeldpagina.

Er worden dan HTML-ID's met invoervelden en een verzendknop weergegeven, zoals deze kunnen worden weergegeven in de codeweergave van een aanmeldpagina. De HTML-ID's hier zijn user, pwd en button.
<form action="/action_page.php">
Gebruikersnaam: <input type="text" id="user"><br>
Wachtwoord: <input type="password" id="pwd"><br>
<input type="submit" value=”Verzenden" id="button">
</form>

Verplaats Jumpitems van de ene Jumpgroep naar een andere met gebruik van de afrolkeuzelijst Jumpgroep. Of u Jumpitems naar of van verschillende Jumpgroepen kunt verplaatsen, hangt van de machtigingen van uw account af.

Organiseer Jumpitems verder door de naam van een nieuwe of bestaande Tag in te voeren. Hoewel de geselecteerde Jumpitems samen onder de tag worden gegroepeerd, staan ze nog steeds in een lijst onder de Jumpgroep waarin elk Jumpitem is vastgemaakt. Om een Jumpitem naar het hoogste niveau Jumpgroep terug te zetten, moet dit veld leeg worden gelaten.

Jumpitems bevatten een veld Opmerkingen voor een naam of omschrijving, waardoor Jumpitems sneller en eenvoudiger kunnen worden gesorteerd, opgezocht en geïdentificeerd.

U moet een Jump-beleid kiezen om in te stellen welke gebruikers toegang tot dit Jumpitem hebben, of een kennisgeving van toegang moet worden verzonden en/of een machtiging of een ticket-ID van uw externe ticketsysteem is vereist om dit Jumpitem te gebruiken. Deze beleidslijnen worden door uw beheerder in de /login-interface ingesteld.

Kies een Sessiebeleid om aan dit Jumpitem toe te kennen. Het aan dit Jumpitem toegekende sessiebeleid heeft de hoogste prioriteit bij het instellen van sessiemachtigingen. Of u een sessiebeleid kunt instellen hangt van uw accountmachtigingen af.

Raadpleeg de online hulpbronnen, zoals deze pagina met daarop uitleg over het gebruik van CSS-selectors voor meer informatie over het identificeren van HTML-formuliervelden.

Een snelkoppeling naar een Web Jump gebruiken

Om een Jumpsnelkoppeling te gebruiken om een sessie te starten, moet u de snelkoppeling in de Jump-interface selecteren en op de knop Jump klikken.

Nadat de verbinding met de website tot stand is gekomen, klikt u op de knop om het scherm te delen. Daarna is de login-interface van de website beschikbaar.

Web Jump naar een website

U kunt een nieuw tabblad in Windows of Linux openen door de CTRL-toets ingedrukt te houden en op de muisknop te klikken. In iOS houdt u de Command-toets ingedrukt en klikt u op de muisknop.

U kunt tekst kopiëren en plakken van en naar de website door gebruik te maken van de mogelijkheden van kopiëren/plakken van uw besturingssysteem.

Bestanden uploaden en downloaden met behulp van een snelkoppeling naar Web Jump

Als u op een koppeling klikt om een bestand van de website te downloaden, verschijnt er een prompt in uw chatvenster en wordt u gevraagd of u de download accepteert of weigert. Als u accepteert, verschijnt er een venster op uw computer om een locatie te selecteren voor uw download.

Uploaden van bestanden naar de website werkt nagenoeg hetzelfde. Er verschijnt een venster om te kiezen welk bestand u wilt uploaden.

De privileged web-toegangsconsole ondersteunt niet het uploaden van bestanden naar een webpagina via een Web Jump. Het uploaden van bestanden naar een webpagina via een Web Jump wordt alleen ondersteund door de bureaubladtoepassing van de toegangsconsole.

Inloggegevensinjectie gebruiken

 

Inloggegevensinjectie wordt niet ondersteund voor niet-beveiligde sites (niet-HTTPS).

Als BeyondTrust PRA met een wachtwoordkluis wordt geïntegreerd, kunt u door middel van inloggegevensinjectie naadloos uw websiteaccounts gebruiken zonder het aanmeldscherm te bekijken of inloggegevens in te voeren.

Web Jump ondersteunt meerstaps-verificatie, waarbij niet op dezelfde browserpagina om de gebruikersnaam en het wachtwoord wordt gevraagd. Web Jump ondersteunt ook scenario's waarbij een gebruiker verbinding maakt met een niet-geverifieerd deel van een website, maar vervolgens probeert toegang te krijgen tot een gebied met gebruik van basis-verificatie. Daarnaast ondersteunt Web Jump websites die CAPTCHA's bevatten, door de gebruikers in staat te stellen de CAPTCHA af te ronden zonder het proces van inloggegevensinjectie te beëindigen. Nadat de interactie met een CAPTCHA is afgerond, klikt de gebruiker op het sleutelpictogram in de toegangsconsole om de inloggegevensinjectie te voltooien.

Voor naadloze inloggegevensinjectie op een VMware-console moeten enkele configuraties worden uitgevoerd.
  1. Ga naar de hostcomputer van het Jumpoint.
  2. Download en installeer de clientintegratieplugin voor VMware.
  3. Open met behulp van beheerdermachtigingen Windows-services (services.msc) op de Jumpoint-host.
  4. Klik met de rechtermuisknop op het BeyondTrust-Jumpoint en selecteer Eigenschappen.
  5. Vink op het tabblad Inloggen onder Lokaal systeemaccount het vakje Service toestaan op desktop te reageren aan.
  6. Klik op OK.
  7. Start op het lokale systeem van de gebruiker, waarop de toegangsconsole is geïnstalleerd, een Web Jump met de hierboven weergegeven VMware-URL.
  8. Selecteer Inloggegevens voor Windows gebruiken.
  9. Een prompt verschijnt op het Jumpoint-hostsysteem voor toestemming om services te laten reageren op een extern programma. Geef de service toestemming.
  10. Er verschijnt een prompt voor VMware-inloggegevensinjectie. Verwijder het vinkje uit het vakje of deze prompt elke keer wanneer het programma wordt geopend, moet worden weergegeven. Selecteer Accepteren.
  11. U kunt nu zonder prompt Web Jumps naar de VMware-console starten met behulp van Windows-inloggegevens.
Raadpleeg Upgrading VMware Client Integration Plug-in to the latest version (De integratieplug-in voor de VMware-client upgraden naar de meest recente versie) voor meer informatie over het downloaden van de juiste integratieplug-in voor de VMware-client.