Beveiligingsproviders: Gebruikersnamen voor LDAP, RADIUS, Kerberos, SCIM en SAML2 inschakelen

Gebruikers en beveiliging

Beveiligingsproviders

U kunt uw BeyondTrust Appliance B Series configureren om gebruikers tegen bestaande LDAP-, RADIUS-, SCIM-, SAML2- of Kerberos-servers te verifiëren en om machtigingen toe te kennen op basis van eerdere instellingen voor hiërarchie en groepen die al in uw servers zijn gespecificeerd. Kerberos ondersteunt eenmalige aanmelding, terwijl RSA en andere tweestapsverificatiemechanismes via RADIUS een extra beveiligingsniveau bieden.

Provider toevoegen

Selecteer in het vervolgkeuzemenu Toevoegen de optie LDAP, RADIUS, Kerberos, SCIM of SAML2 om een nieuwe configuratie voor een beveiligingsprovider toe te voegen.

Volgorde veranderen

Klik op deze knop om beveiligingsproviders te slepen en neer te zetten om de prioriteiten ervan in te stellen. U kunt servers binnen een cluster slepen en neerzetten en clusters kunnen als geheel worden gesleept en neergezet. Klik op Volgorde opslaan om de wijzigingen in de prioriteiten te effectueren.

Uitschakelen

Schakel de verbinding met deze beveiligingsprovider uit. Dit is nuttig voor gepland onderhoud, als u wilt dat een server offline is maar niet verwijderd is.

Synchronisatie

Synchroniseer de gebruikers en groepen die met een externe beveiligingsprovider geassocieerd zijn. De synchronisatie wordt eenmaal per dag automatisch uitgevoerd. Als u op deze knop klikt, wordt de synchronisatie handmatig uitgevoerd.

Logboek bekijken

Bekijk de statushistorie voor een verbinding met een beveiligingsprovider.

Node dupliceren

Maak een kopie van een bestaande configuratie van een geclusterde beveiligingsprovider aan. Deze wordt als nieuwe node aan dezelfde cluster toegevoegd.

Tot cluster upgraden

Upgrade een beveiligingsprovider tot een geclusterde beveiligingsprovider. Kopieer een bestaande node om meer beveiligingsproviders aan deze cluster toe te voegen.

Kopiëren

Maak een kopie van een bestaande configuratie van een beveiligingsprovider aan. Deze wordt als een beveiligingsprovider op het hoogste niveau toegevoegd en niet als onderdeel van een cluster.

Bewerken, verwijderen

Wijzig een bestaand object of verwijder een bestaand object.

Als u de lokale beveiligingsprovider bewerkt en een standaard beleid selecteert dat geen beheerdersmachtigingen heeft, verschijnt er een waarschuwing. Zorg ervoor dat andere gebruikers beheerdersmachtigingen hebben voordat u verdergaat.

Beveiligingsprovider bewerken - LDAP

Naam

Maak een unieke naam aan om deze provider te identificeren.

Ingeschakeld

Als deze optie is ingeschakeld, kan uw B Series Appliance naar deze beveiligingsprovider zoeken als een gebruiker zich probeert aan te melden. Als deze optie niet is aangevinkt, wordt niet naar de provider gezocht.

Verificatie gebruiker

Kies of deze provider gebruikt moet worden voor gebruikersverificatie. Wanneer dit is gedeselecteerd, zijn opties specifiek voor gebruikersverificatie uitgeschakeld.

Gebruikersprovisioning

Standaard vindt gebruikersprovisionering plaats op deze provider. Als u een SCIM-provider heeft ingesteld, kunt u kiezen om gebruikers te provisioneren via die provider. Als deze provider niet wordt gebruikt voor gebruikersverificatie, is Gebruikers niet provisioneren geselecteerd.

Deze instelling kan niet worden aangepast nadat deze beveiligingsprovider de eerste keer wordt opgeslagen.

De gebruikersinformatie met de LDAP-server gesynchroniseerd houden

Met het aanvinken van deze optie blijft de schermnaam van een gebruiker ingesteld op de naam die is toegewezen op de beveiligingsprovider in plaats van toe te staan dat de schermnaam in BeyondTrust kan worden aangepast.

Autorisatie-instellingen

Synchronisatie: LDAP-objectcache inschakelen

Als deze optie is aangevinkt, dan worden LDAP-objecten die voor het B Series Appliance zichtbaar zijn, elke nacht of, indien gewenst handmatig, in de cache opgeslagen en gesynchroniseerd. Bij gebruik van deze optie worden er minder verbindingen met de LDAP-server voor beheerdoeleinden gemaakt zodat potentieel de snelheid en efficiency omhoog gaan.

Als deze optie niet is aangevinkt, dan komen wijzigingen op de LDAP-server direct beschikbaar zonder de noodzaak tot synchronisatie. Maar als u via de beheerinterface wijzigingen maakt in gebruikersbeleidslijnen, dan worden, voor zover noodzakelijk, enkele kortstondige verbindingen met de LDAP-server gemaakt.

Bij providers die voorheen de synchronisatie in hadden geschakeld en de synchronisatie uitschakelen door het vinkje bij de synchronisatie-optie weg te halen, worden alle gecachete records verwijderd die op dat moment niet in gebruik zijn.

Groep opzoeken

U kunt ervoor kiezen deze beveiligingsprovider alleen voor gebruikersverificatie te gebruiken, alleen voor het opzoeken van groepen of voor beide doeleinden. Als de optie Gebruikersverificatie hierboven niet is aangevinkt is Groepen opzoeken met deze provider geselecteerd. De optie om groepen op te zoeken met gebruik van een andere provider is alleen beschikbaar wanneer een andere provider die groepen kan opzoeken al is aangemaakt.

Standaard groepsbeleid (Alleen zichtbaar als gebruikersverificatie is toegestaan)

Elke gebruiker die tegen een externe server wordt geverifieerd, moet lid van ten minste één groepsbeleid zijn om op uw B Series Appliance te kunnen worden geverifieerd en in te kunnen loggen op ofwel de /login-interface ofwel de toegangsconsole. U kunt een standaard groepsbeleid selecteren om op alle gebruikers toe te passen die toestemming hebben om tegen de geconfigureerde server te worden geverifieerd.

Bedenk dat als er een standaard beleid is gedefinieerd, dat dan elke toegestane gebruiker die tegen deze server wordt geverifieerd, potentieel toegang heeft op het niveau van dit standaard beleid. Daarom wordt aanbevolen dat u een beleid met minimale machtigingen als standaard instelt om te voorkomen dat gebruikers machtigingen krijgen die u niet wilt.

Als voor een gebruiker een standaard groepsbeleid geldt en vervolgens speciaal aan een ander groepsbeleid wordt toegevoegd, dan hebben de instellingen voor het speciale beleid altijd voorrang boven de instellingen voor het standaard beleid, zelfs als het speciale beleid een lagere prioriteit heeft dan het standaard beleid en zelfs als de instellingen van het standaard beleid zijn ingesteld op overschrijven.

Instellingen voor verbinding

Hostnaam

Voer de hostnaam in van de server waar uw externe adreslijstarchief staat.

Als u LDAPS of LDAP met TLS gebruikt, dan moet de hostnaam overeenkomen met de in het publieke SSL-certificaat van uw LDAP-server gebruikte onderwerpnaam of met de DNS-component van de alternatieve onderwerpnaam.

Poort

Specificeer de poort voor uw LDAP-server. Dit is meestal poort 389 voor LDAP of poort 636 voor LDAPS. BeyondTrust ondersteunt ook een globale catalogus via poort 3268 voor LDAP of 3269 voor LDAPS.

Versleuteling

Selecteer het type versleuteling dat moet worden gebruikt voor communicatie met de LDAP-server. Om beveiligingsredenen wordt LDAPS of LDAP met TLS aanbevolen.

Standaard LDAP verzendt en ontvangt gegevens ongecodeerd van de LDAP-server en stelt zo mogelijk vertrouwelijke informatie over de gebruikersaccount aan packet sniffing bloot. Zowel LDAPS als LDAP met TLS versleutelen de verzonden gegevens waardoor deze methodes aanbevolen worden boven standaard LDAP. LDAP met TLS gebruikt de functie StartTLS om een verbinding met LDAP ongecodeerd op te zetten maar waardeert deze verbinding vervolgens op tot een versleutelde verbinding. LDAPS zet de verbinding over een versleutelde verbinding op zonder enige tekst ongecodeerd te verzenden.

Als u LDAPS of LDAP met TLS selecteert, dan moet u het door uw LDAP-server gebruikte SSL-basiscertificaat uploaden. Dit is nodig om de geldigheid van de server en de beveiliging van de gegevens zeker te stellen. Het basiscertificaat moet de PEM-opmaak hebben.

Als de onderwerpnaam van het openbare SSL-certificaat van de LDAP-server of de DNS-component van de alternatieve onderwerpnaam niet met de waarde in het veld Hostnaam overeenkomt, dan wordt de provider als onbereikbaar behandeld. U kunt echter een wildcardcertificaat opgeven om meerdere subdomeinen op dezelfde site te certificeren. Zo certificeert bijvoorbeeld een certificaat voor *.voorbeeld.nl zowel toegang.voorbeeld.nl als extern.voorbeeld.nl.

Verificatiegegevens binden

Specificeer een gebruikersnaam en wachtwoord waarmee uw B Series Appliance kan binden met en kan zoeken in het LDAP-adreslijstarchief.

Als uw server anonieme binding ondersteunt, dan kunt u ervoor kiezen om een binding te maken zonder een gebruikersnaam en wachtwoord te specificeren. Anonieme binding wordt geacht onveilig te zijn en is op de meeste LDAP-servers standaard uitgeschakeld.

Gebruikersnaam

Voer een gebruikersnaam in voor verificatiegegevens binden.

Wachtwoord en Wachtwoord bevestigen

Voer een wachtwoord voor verificatiegegevens binden in en bevestig dit.

Verbindingsmethode

Als u een extern adreslijstarchief gebruikt in hetzelfde lokale netwerk als uw B Series Appliance, dan kunnen de twee systemen direct met elkaar communiceren. In dat geval hoeft u de optie Proxy van apparaat via de verbindingsagent niet aan te vinken en kunt u verdergaan.

Als de twee systemen niet direct met elkaar kunnen communiceren, bijvoorbeeld als uw externe adreslijstserver achter een firewall staat of als u een klant van BeyondTrust Cloud bent, moet u een verbindingsagent gebruiken. Als u de Win32-verbindingsagent downloadt, dan kunnen uw adreslijstserver en uw B Series Appliance met elkaar communiceren via een uitgaande met SSL versleutelde verbinding zonder firewallconfiguratie. De verbindingsagent kan ofwel direct naar de adreslijstserver worden gedownload, ofwel naar een aparte server op hetzelfde netwerk als uw adreslijstserver (aanbevolen).

In het bovenstaande geval moet u Proxy van apparaat via de verbindingsagent aanvinken. (niet van toepassing op klanten van BeyondTrust Cloud). Maak een Wachtwoord verbindingsagent aan om tijdens de installatie van de verbindingsagent te gebruiken. Klik vervolgens op Verbindingsagent downloaden, voer het installatieprogramma uit en volg de instructies van de installatiewizard op. Tijdens installatie wordt u gevraagd om de naam van de beveiligingsprovider in te voeren evenals het hierboven aangemaakte wachtwoord voor de verbindingsagent.

BeyondTrust Cloud-klanten moeten de verbindingsagent uitvoeren om een extern adreslijstarchief te gebruiken.

Type adressenlijst

Om u te helpen de netwerkverbinding tussen uw B Series Appliance en uw beveiligingsprovider te configureren, kunt u een type map als sjabloon selecteren. Zo worden onderstaande te configureren velden vooraf met standaard gegevens ingevuld, maar die gegevens moeten worden gewijzigd om ze in overeenstemming te brengen met de specifieke configuratie van uw beveiligingsprovider. Active Directory LDAP is het meest gebruikte type server, maar u kunt BeyondTrust zo configureren dat met de meeste typen beveiligingsproviders kan worden gecommuniceerd.

Instellingen voor cluster (Alleen zichtbaar voor clusters)

Selectie-algoritme voor leden

Selecteer de methode waarmee in deze cluster naar nodes wordt gezocht.

Bij Van boven naar beneden wordt eerst op de server met de hoogste prioriteit gezocht. Als die server niet beschikbaar is of als de account niet is gevonden, dan wordt op de server met de daarop volgende prioriteit gezocht. Vervolgens wordt in volgorde van aflopende prioriteit op de servers uit de lijst geclusterde servers gezocht tot de account is gevonden of blijkt dat de account niet op een van de gespecificeerde en beschikbare servers bestaat.

Round-robin is bedoeld om de belasting van de verschillende servers in balans te houden. Bij dit algoritme wordt de eerste server waarop wordt gezocht willekeurig gekozen. Als die server niet beschikbaar is of als de account niet is gevonden, dan wordt op een willekeurige andere server gezocht. Vervolgens wordt in willekeurige volgorde op de overige servers uit de lijst geclusterde servers gezocht tot de account is gevonden of blijkt dat de account niet op een van de gespecificeerde en beschikbare servers bestaat.

Wachttijd voor opnieuw proberen

Stel in hoe lang moet worden gewacht nadat een lid van een cluster niet beschikbaar is geworden voordat een nieuwe poging wordt gedaan voor dat lid van die cluster.

Instellingen gebruikersschema

Clusterwaarden overschrijven (Alleen zichtbaar voor clusternodes)

Als deze optie niet is aangevinkt, dan worden voor deze clusternode dezelfde schema-instellingen gebruikt als voor de cluster. Als deze optie niet is aangevinkt, dan kunt u hieronder de schema-instellingen wijzigingen.

Basis DN opzoeken

Bepaal het niveau in uw mappenhiërarchie, gespecificeerd door een onderscheiden naam, waar het B Series Appliance moet beginnen naar gebruikers te zoeken. Afhankelijk van de grootte van uw adreslijstarchief en de gebruikers die BeyondTrust-accounts nodig hebben, kunt u de prestaties verbeteren door de specifieke organisatorische eenheid in uw adreslijstarchief aan te wijzen waar toegang toe nodig is. Als u niet zeker weet of gebruikers binnen meerdere organisatorische eenheden actief zijn, kunt u mogelijk het beste de DN-naam (Distinguished Name) van uw adreslijstarchief op het hoogste niveau gebruiken.

Gebruikersquery

Specificeer de query-informatie die het B Series Appliance moet gebruiken bij het vinden van een LDAP-gebruiker wanneer de gebruiker probeert in te loggen. In het veld Gebruikersquery kunt u een standaard LDAP-query invoeren (RFC 2254: Representatie van de tekenreeks voor LDAP-zoekfilters). U kunt de voor de query te gebruiken tekenreeks aanpassen aan de manier waarop uw gebruikers inloggen en aan de methode waarop gebruikersnamen worden geaccepteerd. Om binnen de tekenreeks de waarde te specificeren die voor de gebruikersnaam wordt gebruikt, kunt u die waarde vervangen door een *.

Query bladeren

De zoekvraag bepaalt hoe resultaten worden weergegeven als via groepsbeleidslijnen wordt gezocht. Hiermee worden de resultaten gefilterd zodat alleen bepaalde resultaten in de vervolgkeuzelijst om leden te kiezen worden weergegeven als leden aan een groepsbeleidslijn worden toegevoegd.

Objectklassen

Specificeer geldige objectklassen voor een gebruiker binnen uw adreslijstarchief. Alleen gebruikers die een of meer van deze objectklassen bezitten, mogen verifiëren. Deze objectklassen worden ook met de onderstaande attribuutnamen gebruikt om aan uw B Series Appliance het schema aan te geven dat de LDAP-server gebruikt om gebruikers te identificeren. U kunt meerdere gebruikersobjectklassen invoeren, één per regel.

Attribuutnamen

Specificeer welke velden moeten worden gebruikt als de unieke ID, schermnaam en het e-mailadres van een gebruiker.

Unieke ID

In dit veld moet een unieke identificator voor het object worden ingevoerd. Hoewel de distinguished name (DN-naam) als deze identificator kan dienen, kan de distinguished name van een gebruiker gedurende de levensduur van de gebruiker vaak wijzigen, bijvoorbeeld bij een wijziging van de naam of van de locatie of als de naam van het LDAP-archief wordt gewijzigd. De meeste LDAP-servers beschikken daarom over een veld dat per object uniek is en gedurende de levensduur van de gebruiker niet wijzigt. Als u toch de onderscheiden naam als de unieke ID gebruikt en de onderscheiden naam van een gebruiker wijzigt, dan wordt die gebruiker als een nieuwe gebruiker beschouwd en worden eventuele wijzigingen specifiek voor de BeyondTrust-gebruikersaccount van die persoon niet naar de nieuwe gebruiker overgedragen. Als uw LDAP-server niet over een unieke identificator beschikt, dan kunt u een veld gebruiken waarvan de kans zo klein mogelijk is dat de waarde hiervan voor een andere gebruiker identiek is.

E-mailadres

Deze waarde bepaalt welk veld moet worden gebruikt als het e-mailadres van de gebruiker.

Schermnaam

Deze waarde bepaalt welk veld moet worden gebruikt als de schermnaam van de gebruiker.

Instellingen groepsschema (Alleen zichtbaar tijdens het opzoeken van groepen)

Type adressenlijst

Basis DN opzoeken

Bepaal het niveau in uw mappenhiërarchie, gespecificeerd door een onderscheiden naam, waar het B Series Appliance moet beginnen naar groepen te zoeken. Afhankelijk van de grootte van het adreslijstarchief en de groepen die toegang tot het B Series Appliance nodig hebben, kunt u de prestaties verbeteren door de specifieke organisatorische eenheid in uw adreslijstarchief aan te wijzen waarvoor toegang nodig is. Als u niet zeker weet of groepen binnen meerdere organisatorische eenheden actief zijn, kunt u mogelijk het beste de DN-naam (Distinguished Name) van uw adreslijstarchief op het hoogste niveau gebruiken.

Query bladeren

Objectklassen

Specificeer geldige objectklassen voor een groep binnen uw map-archieven. Alleen groepen die een of meer van deze objectklassen bezitten, worden geretourneerd. Deze objectklassen worden ook met de onderstaande attribuutnamen gebruikt om aan uw B Series Appliance het schema aan te geven dat de LDAP-server gebruikt om groepen te identificeren. U kunt meerdere groepsobjectklassen invoeren, op elke regel één.

Attribuutnamen

Specificeer welke velden moeten worden gebruikt als de unieke ID en schermnaam van een groep.

Unieke ID

In dit veld moet een unieke identificator voor het object worden ingevoerd. Hoewel de onderscheiden naam als deze identificator kan dienen, kan de onderscheiden naam van een groep gedurende de levensduur van een groep vaak wijzigen, bijvoorbeeld bij een locatiewijziging of als de naam van het LDAP-archief wordt gewijzigd. De meeste LDAP-servers beschikken daarom over een veld dat per object uniek is en gedurende de levensduur van de groep niet wijzigt. Als u toch de onderscheiden naam als de unieke identificator gebruikt en de onderscheiden naam van een groep wijzigt, dan wordt die groep als een nieuwe groep beschouwd en worden eventuele voor die groep gedefinieerde groepsbeleidslijnen niet naar de nieuwe groep overgedragen. Als uw LDAP-server niet over een unieke identificator beschikt, dan kunt u een veld gebruiken waarvan de kans zo klein mogelijk is dat de waarde hiervan voor een andere groep identiek is.

Schermnaam

Deze waarde bepaalt welk veld moet worden gebruikt als de schermnaam van de groep.

Gebruiker naar groep relaties

U moet in dit veld een query invoeren om te bepalen welke gebruikers tot welke groepen behoren of, andersom, welke groepen welke gebruikers bevatten.

Recursieve zoekopdracht uitvoeren voor groepen

U kunt recursief naar groepen zoeken. Er wordt dan een query naar een gebruiker uitgevoerd, vervolgens queries voor alle groepen waar die gebruiker toe behoort enzovoort totdat alle mogelijke groepen die met die gebruiker geassocieerd zijn, zijn gevonden.

Het uitvoeren van een recursieve zoekopdracht kan een grote invloed op de prestaties hebben, omdat de server voortdurend zoekopdrachten uitzet tot alle informatie over alle groepen gevonden is. Als dit te lang duurt, dan kan de gebruiker mogelijk niet inloggen.

Bij niet-recursief zoeken wordt er per gebruiker maar één query uitgevoerd. Als uw LDAP-server over een speciaal veld beschikt met alle groepen waar de gebruiker toe behoort, dan is recursief zoeken niet nodig. Recursief zoeken is ook niet nodig als het ontwerp van uw mapstructuur geen groepsleden van groepen ondersteunt.

Instellingen testen

Gebruikersnaam en wachtwoord

Voer een gebruikersnaam en wachtwoord in voor een account die op de door u te testen server bestaat. Deze account moet overeenkomen met de inlog-criteria die in bovenstaande configuratie zijn gespecificeerd.

Probeer de gebruikerskenmerken en groepslidmaatschappen te krijgen als de inloggegevens worden geaccepteerd

Als deze optie is aangevinkt en het testen van inloggegevens is geslaagd, dan wordt ook geprobeerd de gebruikersattributen te controleren en de groep op te zoeken. Let op: om de test van deze functies te laten slagen, moeten ze door uw beveiligingsprovider worden ondersteund en moeten ze daar geconfigureerd zijn.

Test starten

Als uw server juist is geconfigureerd en u voor de test geldige inloggegevens hebt ingevoerd, dan ontvangt u een bericht dat de test geslaagd is. Anders ziet u een foutmelding en een logboekvermelding waarmee u het probleem kunt onderzoeken.

Beveiligingsprovider bewerken - RADIUS

Naam

Maak een unieke naam aan om deze provider te identificeren.

Ingeschakeld

Houd de schermnaam gesynchroniseerd met het systeem op afstand

Autorisatie-instellingen

Alleen de volgende gebruikers toelaten

U kunt ervoor kiezen alleen toegang toe te staan tot bepaalde gebruikers op uw RADIUS-server. Voer de gebruikersnamen op aparte regels in. Nadat de gebruikersnamen zijn toegevoegd, zijn de gebruikers beschikbaar vanaf de dialoog Beleidslid toevoegen wanneer u op de pagina /login > Gebruikers en beveiliging > Groepsbeleidslijnen groepsbeleidslijnen bewerkt.

Als u dit veld leeg laat, dan worden alle gebruikers toegestaan die tegen uw RADIUS-server worden geverifieerd. Als u iedereen toestaat, dan moet u ook een standaard groepsbeleid specificeren.

LDAP-groep opzoeken

Als u wilt dat gebruikers op deze beveiligingsprovider op een aparte LDAP-server met hun groepen worden geassocieerd, dan moet u een of meerdere LDAP-groepservers kiezen die bij het opzoeken van de groep moeten worden gebruikt.

Standaard groepsbeleid

Instellingen voor verbinding

Hostnaam

Voer de hostnaam in van de server waar uw externe adreslijstarchief staat.

Poort

Specificeer de verificatiepoort voor uw RADIUS-server. Meestal is dit poort 1812.

Time-out (seconden)

Stel in hoe lang op antwoord van de server moet worden gewacht. Let op: als het antwoord Antwoord-accepteren of Antwoord-uitdaging is, dan wacht RADIUS gedurende de totale hier gedefinieerde tijd voordat de account wordt geverifieerd. Aanbevolen wordt daarom om deze waarde zo laag mogelijk in te stellen als uw netwerkinstellingen toestaan. De beste waarde is 3-5 seconden, de maximale waarde is drie minuten.

Verbindingsmethode

Gedeeld geheim

Geef een nieuw gedeeld geheim op om uw B Series Appliance en uw RADIUS-server met elkaar te laten communiceren.

Instellingen voor cluster (Alleen zichtbaar voor clusters)

Selectie-algoritme voor leden

Selecteer de methode waarmee in deze cluster naar nodes wordt gezocht.

Wachttijd voor opnieuw proberen

Stel in hoe lang moet worden gewacht nadat een lid van een cluster niet beschikbaar is geworden voordat een nieuwe poging wordt gedaan voor dat lid van die cluster.

Instellingen testen

Gebruikersnaam en wachtwoord

Probeer de gebruikerskenmerken en groepslidmaatschappen te krijgen als de inloggegevens worden geaccepteerd

Test starten

Beveiligingsprovider bewerken - Kerberos

Naam

Maak een unieke naam aan om deze provider te identificeren.

Ingeschakeld

Houd de schermnaam gesynchroniseerd met het systeem op afstand

Ontdoe realm van principal-namen

Selecteer deze optie om bij het samenstellen van de BeyondTrust-gebruikersnaam het REALM-gedeelte van de Principal-naam van gebruiker te verwijderen.

Autorisatie-instellingen

Gebruikersafhandelingsmodus

Selecteer welke gebruikers op uw B Series Appliance kunnen worden geverifieerd. Alle gebruikers toestaan staat iedereen toe die momenteel via uw KDC wordt geverifieerd. Alleen gebruikers-principals toelaten die op de lijst zijn gespecificeerd staat alleen gebruikers-principals toe die expliciet zijn vermeld. Met Alleen gebruikers-principals toelaten die met de regex overeenkomen worden alleen gebruikers-principals toegelaten die met een Perl-compatibele reguliere expressie (PCRE) overeenkomen.

SPN-afhandelingsmodus: Alleen SPN's toelaten die op de lijst zijn gespecificeerd

Als dit veld niet is aangevinkt, dan worden alle service-principal-namen (SPN's) voor deze beveiligingsprovider toegelaten. Als dit veld is aangevinkt, dan moet u specifieke SPN's uit een lijst van momenteel geconfigureerde SPN's selecteren.

Standaard groepsbeleid

Beveiligingsprovider bewerken - SAML2

Naam

Voer een unieke naam in om u te helpen de provider te bepalen.

Ingeschakeld

Gebruikersprovisioning

Standaard vindt gebruikersprovisionering plaats op deze provider. Als u een SCIM-provider heeft ingesteld, kunt u kiezen om gebruikers te provisioneren via die provider.

Deze instelling kan niet worden aangepast nadat deze beveiligingsprovider de eerste keer wordt opgeslagen.

Gekoppelde e-maildomeinen

Deze instelling is alleen van toepassing als u meer dan één actieve SAML-provider hebt en wordt in andere gevallen genegeerd.

Voeg alle e-maildomeinen toe die aan deze SAML-provider moeten worden gekoppeld – één per regel. Gebruikers krijgen tijdens het verifiëren de vraag om hun e-mailadres in te voeren. Het domein van hun e-mailadres wordt vergeleken met deze lijst, waarna ze naar de relevante identiteitsprovider worden doorverwezen voor verificatie.

Als er meerdere SAML-providers zijn geconfigureerd en het e-mailadres niet overeenkomt met een van de gekoppelde domeinen of providers, wordt er geen toestemming gegeven om te verifiëren.

Instellingen identiteitsprovider

Metagegevens van identiteitsprovider

Het metagegevensbestand bevat alle informatie die nodig is voor de eerste instelling van uw SAML-provider en moet worden gedownload bij uw identiteitsprovider. Sla het XML-bestand op en klik daarna op Bestand kiezen om het geselecteerde bestand te kiezen en uploaden.

De velden voor Entiteit-ID, URL voor service met eenmalige aanmelding, en Certificaat worden automatisch ingevuld uit het metagegevensbestand van de identiteitsprovider. Als u geen metagegevensbestand van uw provider kunt krijgen kan deze informatie handmatig worden ingevoerd.

Entiteit-ID

Dit is de unieke identificator voor de identiteitsprovider die u gebruikt.

URL voor service voor eenmalige aanmelding

Wanneer u bij BeyondTrust wilt inloggen met gebruik van SAML is dit de URL waar u automatisch naar wordt doorgestuurd zodat u kunt inloggen.

Protocolbinding SSO URL

Dit bepaalt of er een HTTP POST plaatsvindt of dat de gebruiker wordt doorgestuurd naar de aanmeld-URL. Dit moet 'redirect' (doorsturen) zijn tenzij anders vereist door de identiteitsprovider.

Servercertificaat

Dit certificaat wordt gebruikt om de handtekening van de assertie die gestuurd is vanaf de identiteitsprovider te verifiëren.

Instellingen serviceprovider

Metagegevens van serviceprovider

Download de metagegevens van BeyondTrust, die u vervolgens moet uploaden naar uw identiteitsprovider.

Entiteit-ID

Dit is uw BeyondTrust-URL. Deze identificeert uw site bij de identiteitsprovider.

Privécode

Indien nodig kunt u berichten die gestuurd zijn door de identiteitsprovider ontsleutelen, wanneer deze versleuteling ondersteunt en vereist. Klik op Bestand kiezen om de privésleutel die nodig is voor het ontsleutelen van de berichten die gestuurd zijn door de identiteitsprovider te uploaden.

Instellingen voor kenmerken van gebruikers (Alleen zichtbaar als deze provider wordt gebruikt voor het inrichten van gebruikers)

SAML-kenmerken van gebruiker

Deze kenmerken worden gebruikt om gebruikers in BeyondTrust in te richten. De standaardwaarden komen overeen met door BeyondTrust gecertificeerde toepassingen met verschillende identiteitsproviders. Als u uw eigen SAML-connector aanmaakt, moet u mogelijk de attributen aanpassen om deze overeen te laten komen met wat er wordt verstuurd door uw identiteitsprovider.

Instellingen voor verificatie (Alleen zichtbaar als deze provider wordt gebruikt voor gebruikersprovisionering)

Groepen opzoeken die deze provider gebruiken

Als u deze functie inschakelt, kunt u sneller inrichten door automatisch groepen op te zoeken voor deze gebruiker met behulp van Attribuutnaam voor groepen opzoeken en Scheidingsteken.

Attribuutnaam voor groepen opzoeken

Voer de naam van het SAML-attribuut in dat de namen van de groepen bevat waar de gebruikers toe moeten behoren. Als de kenmerkwaarde meerdere groepsnamen bevat, moet u het scheidingsteken opgeven dat u gebruikt om de namen te scheiden.

Als dit veld leeg wordt gelaten, dan moeten SAML-gebruikers handmatig aan groepsbeleidslijnen worden toegewezen nadat de verificatie voor de eerste keer is geslaagd.

Scheidingsteken groep opzoeken

Als het scheidingsteken niet wordt ingevuld, kan de kenmerkwaarde meerdere XML-nodes bevatten die elk een andere naam bevatten.

Beschikbare groepen

Dit is een optionele lijst met SAML-groepen die altijd beschikbaar zijn om handmatig toe te wijzen aan groepsbeleidsregels. Als dit veld leeg wordt gelaten, wordt een bepaalde SAML-groep alleen beschikbaar na de eerste succesvolle verificatie van een lid van zo'n groep. Voer één groepsnaam per regel in.

Standaard groepsbeleid

Raadpleeg SAML voor verificatie met eenmalige aanmelding voor meer informatie.

Beveiligingsprovider bewerken - SCIM

Om SCIM te laten functioneren moet de SCIM-API ingeschakeld zijn op een API-account en moet de API geconfigureerd zijn op uw SCIM-provider. API-accounts worden beheerd op /login > Beheer > API-configuratie. Op dit moment kan er slechts één SCIM-provider worden aangemaakt. Nadat een SCIM-provider is aangemaakt is de optie SCIM niet langer beschikbaar in het vervolgkeuzemenu Provider aanmaken. SCIM-gebruikersprovisionering gebruikt SCIM 2.0 gebruikers en groepsobjecten. Zie https://scim.cloud/ voor meer informatie over de SCIM 2.0-standaard.

Privileged Remote Access ondersteunt nu SCIM-API's voor groepen gebruikers. Nadat u een SCIM-provider hebt geconfigureerd in /login en gebruikers en groepen hebt geconfigureerd in uw SCIM-oplossing, geeft PRA dezelfde groepen weer als de groepen die aanwezig zijn in uw SCIM-oplossing, zodat u per SCIM-groep groepsbeleidslijnen kunt selecteren.

Naam

Maak een unieke naam aan om deze provider te identificeren.

Ingeschakeld

SCIM-gebruikersquery-ID

Selecteer in het vervolgkeuzemenu de unieke ID die de SCIM moet gebruiken voor uw queries.

SCIM-groepsquery-ID

Selecteer in het vervolgkeuzemenu de unieke ID die de SCIM moet gebruiken voor uw groepsqueries.

Instellingen voor gebruikersprovisionering

Gebruikersattribuut

Deze kenmerken worden gebruikt om gebruikers in BeyondTrust in te richten. De standaardwaarden komen overeen met door BeyondTrust gecertificeerde toepassingen met verschillende identiteitsproviders.

Autorisatie-instellingen

Unieke ID

Voer het SCIM-attribuut in dat gebruikt moet worden als de unieke ID voor de gebruiker binnen BeyondTrust.

Standaard groepsbeleid

Attribuutnaam

Voer de naam van het SCIM-attribuut in dat de gebruikers uniek identificeert.

Met SCIM geprovisioneerde groepen worden altijd voor het opzoeken van groepen via hun naam uniek geïdentificeerd. Deze identificatie is niet hoofdlettergevoelig.