Een Web Jump gebruiken voor toegang tot webservices

Met de verspreiding van infrastructuurcomponenten die zijn overgegaan op webgebaseerde interfaces voor configuratie, krijgen IT-beheerders te maken met een steeds complexere beveiligingsbeheersituatie. Met bevoorrechte toegang tot webgebaseerde bronnen, is het een uitdaging om goede verificatie te beheren, controleren en handhaven zonder dat de productiviteit van het bedrijf negatief beïnvloed wordt. IT-beheerders hebben een manier nodig om bronnen die worden beheerd via web-interfaces effectief te beheren en controleren, waaronder:

  • Extern gehoste IaaS-servers (Infrastructure as a Service) zoals Amazon AWS, Microsoft Azure, IBM Softlayer en Rackspace
  • Intern gehoste servers die beheerd worden met hypervisor-software zoals VMware vSphere, Citrix XenServer en Microsoft Hyper‑V
  • Moderne kern-netwerkinfrastructuur die web-based configuratie-interfaces gebruikt

De mogelijkheden voor beheer van identiteiten en toegang verschillen enorm tussen IaaS, hypervisor-leveranciers en kerninfrastructuursystemen, en veel daarvan hebben geen eigen ondersteuning voor multifactorverificatie en ze missen dus een extra beveiligingslaag. Door deze verschillen tussen systemen ontstaan mogelijke kwetsbaarheden voor het bedrijf, zoals misbruik van accounts en toegang, waardoor gevoelige informatie kan uitlekken. BeyondTrust Web Jump is de extra beveiligingslaag voor verificatie voor deze systemen.

 

Web Jump ondersteunt geen Flash. Zorg er voor dat u de hypervisor-documentatie raadpleegt en het bijwerkt naar een versie die HTML5 ondersteunt.

Het Web Jump-item is een toevoeging voor Privileged Remote Access en moet apart worden aangeschaft.

Een snelkoppeling naar een Web Jump aanmaken

Controleer voordat u snelkoppelingen naar Web Jumps aanmaakt dat uw gebruikersaccount de mogelijkheid heeft voor toegang tot Web Jumps. Deze machtiging is ingesteld op uw gebruikersaccount in de /login-interface onder Toegangsmachtigingen > Jump-technologie.



Een snelkoppeling naar een Jump aanmaken

Om een snelkoppeling naar een Web Jump aan te maken, klikt u in de Jump-interface op de knop Aanmaken. Selecteer in het vervolgkeuzemenu Web Jump. Snelkoppelingen naar Web Jumps verschijnen in de Jump-interface naast Jump-clients en andere typen Jumpitems.

Organiseer en beheer bestaande Jumpitems door een of meer Jumpitems te selecteren en op Eigenschappen te klikken.

Om de eigenschappen van meerdere Jumpitems te bekijken, moeten alle geselecteerde Jumpitems van hetzelfde type zijn (allemaal Jump-clients, allemaal externe Jumps, etc.).Zie de betreffende sectie van deze gids om de eigenschappen van andere typen Jumpitems te bekijken.

Een nieuwe snelkoppelingen naar Web Jump aanmaken

Voer een Naam in voor het Jumpitem. Het item is onder deze naam te vinden in de sessietabbladen. Deze tekenreeks mag maximaal 128 tekens lang zijn.

Selecteer vanuit de vervolgkeuzelijst Jumpoint het Windows- of Linux-Jumpoint dat als host fungeert voor de computer waar u toegang toe wilt krijgen.

Kopiëren/plakken wordt niet ondersteund voor Linux-Jumpoints.

Typ de URL van de website waar u toegang toe wilt.

Vink de optie Certificaat verifiëren aan als u het websitecertificaat wilt valideren voordat de verbinding wordt gemaakt. Als het vakje is aangevinkt en er worden problemen met het certificaat geconstateerd, begint de sessie niet.

 

U moet het vinkje alleen uit het vakje Certificaat verifiëren verwijderen als u een Jump uitvoert naar een website die u vertrouwt, maar die een zelf-ondertekend certificaat gebruikt.

 

Als u gebruik wilt maken van inloggegevensinjectie, selecteer dan eerst Opmaak gebruikersnaam:

  • Standaard: Dit is de standaard waarde voor nieuwe en bestaande Web-jumpitems. De gebruikersnaam wordt niet aangepast voorafgaand aan het invoeren op de webpagina en wordt gebruikt in de opgeslagen indeling. Voor de Endpoint Credential Manager (ECM) mogen de inloggegevens UPN- of DLLN-indeling hebben. Voor Vault moet de gebruikersnaam altijd in UPN-indeling zijn.
  • Alleen gebruikersnaam: Ongeacht of de opgeslagen opmaak in Vault of ECM (gebruikersnaam@domein of domein\gebruikersnaam), wordt het domein verwijderd en wordt alleen de gebruikersnaam gebruikt.

Onder Detectie loginformulier, geeft u de informatie voor de drie opties, waar nodig:

  • Veld Gebruikersnaam: Deze instellingen geeft de aanwijzing voor het veld gebruikersnaam op de loginpagina. Als er geen veld voor de gebruikersnaam wordt gevonden, mislukt het injecteren. De gebruiker krijgt een foutmelding te zien dat het veld gebruikersnaam niet werd gevonden.
  • Veld Wachtwoord: Deze instelling geeft de aanwijzing voor het veld wachtwoord op de inlogpagina. Als er geen veld voor het wachtwoord wordt gevonden, mislukt het injecteren. De gebruiker krijgt een foutmelding te zien dat het veld wachtwoord niet werd gevonden.
  • Knop Verzenden: Deze instelling geeft de aanwijzing voor de knop Verzenden op de inlogpagina. Als er geen dergelijke knop wordt gevonden, mislukt het injecteren. De gebruiker krijgt een foutmelding te zien dat de knop Verzenden niet werd gevonden.

Wanneer deze drie velden leeg worden gelaten, gebruikt het systeem automatische detectie en gebruikt het de vereiste informatie die al is opgeslagen voor aanmelding.

Verplaats Jumpitems van de ene Jumpgroep naar een andere met gebruik van de afrolkeuzelijst Jumpgroep. Of u Jumpitems naar of van verschillende Jumpgroepen kunt verplaatsen, hangt van de machtigingen van uw account af.

 

Organiseer Jumpitems verder door de naam van een nieuwe of bestaande Tag in te voeren. Hoewel de geselecteerde Jumpitems samen onder de tag worden gegroepeerd, staan ze nog steeds in een lijst onder de Jumpgroep waarin elk ervan is vastgespeld. Om een Jumpitem naar het hoogste niveau Jumpgroep terug te zetten, moet dit veld leeg worden gelaten.

Jumpitems bevatten een veld Opmerkingen voor een naam of omschrijving, waardoor Jumpitems sneller en eenvoudiger kunnen worden gesorteerd, opgezocht en geïdentificeerd.

U moet een Jumpbeleid kiezen om in te stellen welke gebruikers toegang tot dit Jumpitem hebben, of een kennisgeving van toegang moet worden verzonden en/of een machtiging of een ticket-ID van uw externe ticketsysteem is vereist is om dit Jumpitem te gebruiken. Deze beleidslijnen worden door uw beheerder in de /login-interface ingesteld.

Kies een Sessiebeleid om aan dit Jumpitem toe te kennen. Het aan dit Jumpitem toegekende sessiebeleid heeft de hoogste prioriteit bij het instellen van sessiemachtigingen. Of u een sessiebeleid kunt instellen hangt van uw accountmachtigingen af.

 

Een snelkoppeling naar een Web Jump gebruiken

Om een jumpsnelkoppeling te gebruiken om een sessie op te starten, moet u de snelkoppeling in de Jump-interface selecteren en op de knop Jump klikken.

Nadat de verbinding met de website tot stand is gekomen, klikt u op de knop om het scherm te delen. Daarna is de login-interface van de website beschikbaar. Als u op een koppeling klikt om een bestand van de website te downloaden, verschijnt er een prompt in uw chatvenster en wordt u gevraagd of u de download accepteert of weigert. Als u accepteert, verschijnt er een venster op uw computer om een locatie te selecteren voor uw download. Uploaden van bestanden naar de website werkt nagenoeg hetzelfde. Er verschijnt een venster om te kiezen welk bestand u wilt uploaden.

Web Jump naar een website

Als de site om een nieuw tabblad vraagt, wordt er een nieuw tabblad geopend. U kunt nieuwe tabbladen niet naar willekeur openen.

U kunt tekst kopiëren en plakken van en naar de website door gebruik te maken van de mogelijkheden van kopiëren/plakken van uw besturingssysteem.

Inloggegevensinjectie gebruiken

 

Inloggegevensinjectie wordt niet ondersteund voor niet-beveiligde sites (niet-HTTPS).

Als BeyondTrust PRA met een wachtwoordkluis wordt geïntegreerd, kunt u door middel van inloggegevensinjectie naadloos uw websiteaccounts gebruiken zonder het aanmeldscherm te bekijken of inloggegevens in te voeren.

Web Jump ondersteunt meerstaps-verificatie, waarbij niet op dezelfde browserpagina om de gebruikersnaam en het wachtwoord wordt gevraagd. Web Jump ondersteunt ook scenario's waarbij een gebruiker verbinding maakt met een niet-geverifieerd deel van een website, maar vervolgens probeert toegang te krijgen tot een gebied met gebruik van basis-verificatie. Daarnaast ondersteunt Web Jump websites die CAPTCHA's bevatten, door de gebruikers in staat te stellen de CAPTCHA af te ronden zonder het proces van inloggegevensinjectie te beëindigen. Nadat de interactie met een CAPTCHA is afgerond, klikt de gebruiker op het sleutelpictogram in de access console om de inloggegevensinjectie te voltooien.

Voor naadloze inloggegevensinjectie op een VMware-console moeten enkele configuraties worden uitgevoerd.
  1. Ga naar de hostcomputer van het Jumpoint.
  2. Ga naar VMware-URL die hierboven is weergegeven en download en installeer de clientintegratieplugin.
  3. Open met behulp van beheerdermachtigingen Windows-services (services.msc) op de Jumpoint-host.
  4. Klik met de rechtermuisknop op het BeyondTrust-Jumpoint en selecteer Eigenschappen.
  5. Vink op het tabblad Inloggen onder Lokaal systeemaccount het vakje Service toestaan op desktop te reageren aan.
  6. Klik op OK.
  7. Start op het lokale systeem van de gebruiker –het systeem waarop de access console is geïnstalleerd– een Web Jump met de hierboven weergegeven VMware-URL.
  8. Selecteer Inloggegevens voor Windows gebruiken.
  9. Een prompt verschijnt op het Jumpoint-hostsysteem voor toestemming om services te laten reageren op een extern programma. Geef de service toestemming.
  10. Er verschijnt een prompt voor VMware-inloggegevensinjectie. Verwijder het vinkje uit het vakje of deze prompt elke keer wanneer het programma wordt geopend, moet worden weergegeven. Selecteer Accepteren.
  11. U kunt nu zonder prompt Web Jumps naar de VMware-console starten met behulp van Windows-inloggegevens.