TroutTrout
All docs

Benutzer mit Zugangsbildschirmen authentifizieren

Verlangen Sie von Benutzern, sich anzumelden, bevor sie auf geschützte Systeme zugreifen können.

3 min read · Last updated 2026-04-22

Wenn Ihre Benutzer bereits bei einem vorhandenen Identity Provider (OIDC-Protokoll) registriert sind, können sie diese Zugriffsmethode nutzen, um sich auch gegenüber lokalen Knoten stark zu authentifizieren.

Voraussetzungen

Access Screens basieren auf dem sicheren OIDC-Protokoll. Ein Identity Provider, der dieses Protokoll verwendet (Microsoft Entra ID in dieser Anleitung), muss konfiguriert sein.

Hier erfahren Sie, wie Sie das Benutzerverzeichnis mit Access Gate synchronisieren: https://www.trout.software/docs/configuration-guides/inventory/synchronize-user-directory-entra-id

Access Gate muss außerdem wie folgt konfiguriert sein:

  1. TLS-Zertifikate
  2. Interface 1 (eth0) muss WAN-Zugang haben. Dieses Interface wird vom Access Gate verwendet, um externe OIDC-Dienste zu erreichen und Benutzer zu authentifizieren.
  3. Erstellen Sie einen DNS-Eintrag, der auf die IP-Adresse von eth0 zeigt (häufig 100.65.0.6). Dadurch können Benutzer das Access Screen-Formular über eine benutzerfreundliche URL aufrufen, zum Beispiel: https://auth.{your-domain}/access_form?id=123456

Einen neuen Screen erstellen

Verwenden Sie im Menü Access Screens die Funktion Create template, um einen neuen Screen zu erstellen.

Erstellen eines Access Screen auf dem Access Gate
Erstellen eines Access Screen auf dem Access Gate

Klicken Sie auf den neu erstellten Eintrag, um den Texteditor zu öffnen. Hier können Sie Benutzer auf die Nutzungsbedingungen (Richtlinien) hinweisen, die für den Zugriff auf Ihr Netzwerk gelten.

Beispiel einer Richtlinie auf einem Access Screen
Beispiel einer Richtlinie auf einem Access Screen

Folgende Einstellungen können in einem Access Screen vorgenommen werden:

  1. das Security Level, für das dieser Access Screen verwendet werden soll.
  2. welches Directory zur Authentifizierung der Benutzer genutzt wird.
  3. das Preset Access Timeout – d. h. nach welcher Zeit der Benutzerzugriff entzogen wird und der Benutzer sich bei Bedarf erneut authentifizieren muss. Dieser letzte Punkt ist besonders wichtig, da er ermöglicht, dass ein Netzwerk sich nach Ablauf eines nicht mehr benötigten Zugriffs automatisch „zurücksetzt" oder „absichert".

Kopieren Sie in der Access Screens-Liste die URL des soeben erstellten Access Screens. Teilen Sie diese mit den Benutzern, die sich gegenüber Access Gate authentifizieren müssen.

Benutzerablauf

  1. Ein Benutzer öffnet seinen Browser und ruft https://auth.{your-domain}/access_form?id=123456 auf.
  2. Der Access Screen wird geladen, und der Benutzer akzeptiert die für diesen Access Screen festgelegte Richtlinie.
  3. Der Benutzer wird zum Authentifizierungsportal von Microsoft Entra ID weitergeleitet.
  4. Nach erfolgreicher Authentifizierung wird der Benutzer zur Callback-URL https://auth.{your-domain}/access_authorize weitergeleitet.
Angemeldeter Benutzer auf dem Access Gate
Angemeldeter Benutzer auf dem Access Gate

Der Zugriff wird basierend auf dem Ergebnis des Workflows gewährt oder verweigert, und ein Audit-Trail wird aufgezeichnet.

Wird die Anfrage genehmigt, wird die IP-Adresse des Benutzers automatisch dem Proxy hinzugefügt und für die im Access Screen festgelegte Dauer autorisiert. Dies geschieht im Hintergrund. Der Benutzer kann anschließend seinen normalen Arbeitsablauf fortsetzen – Verbindungen zu Anwendungen, Datenbanken und anderen Diensten herstellen –, während die Zugriffsregeln der Enklave vollständig durchgesetzt werden.

Previous
TLS-Verschlüsselung einrichten
Next
Anzeigen des Enclave-Änderungsverlaufs