Benutzer mit Access Screens authentifizieren

Wenn Ihre Benutzer bereits bei einem vorhandenen Identity Provider (OIDC-Protokoll) registriert sind, können sie diese Zugriffsmethode nutzen, um sich auch gegenüber lokalen Knoten stark zu authentifizieren.

Voraussetzungen

Access Screens basieren auf dem sicheren OIDC-Protokoll. Ein Identity Provider, der dieses Protokoll verwendet (Microsoft Entra ID in dieser Anleitung), muss konfiguriert sein.

Hier erfahren Sie, wie Sie das Benutzerverzeichnis mit Access Gate synchronisieren: https://www.trout.software/docs/configuration-guides/inventory/synchronize-user-directory-entra-id

Access Gate muss außerdem wie folgt konfiguriert sein:

1. TLS-Zertifikate
2. Die Secure-Twin-Schnittstelle verbindet das Access Gate mit Ihrem Authentifizierungssystem. Läuft Ihr Authentifizierungsdienst im LAN (zum Beispiel ein On-Premise-OIDC- oder LDAP-Server), benötigt diese Schnittstelle nur LAN-Erreichbarkeit zu diesem Server. Wenn Sie einen cloud-gehosteten Identity Provider verwenden, muss die Secure-Twin-Schnittstelle WAN-Zugang haben.
3. Erstellen Sie einen DNS-Eintrag, der auf die IP-Adresse der Secure-Twin-Schnittstelle zeigt (häufig 100.65.0.6). Dadurch können Benutzer das Access Screen-Formular über eine benutzerfreundliche URL aufrufen, zum Beispiel: https://auth.{your-domain}/access_form?id=123456

Einen neuen Screen erstellen

Verwenden Sie im Menü Access Screens die Funktion Create template, um einen neuen Screen zu erstellen.

Klicken Sie auf den neu erstellten Eintrag, um den Texteditor zu öffnen. Hier können Sie Benutzer auf die Nutzungsbedingungen (Richtlinien) hinweisen, die für den Zugriff auf Ihr Netzwerk gelten.

Folgende Einstellungen können in einem Access Screen vorgenommen werden:

1. das Security Level, für das dieser Access Screen verwendet werden soll.
2. welches Directory zur Authentifizierung der Benutzer genutzt wird.
3. das Preset Access Timeout, d. h. nach welcher Zeit der Benutzerzugriff entzogen wird und der Benutzer sich bei Bedarf erneut authentifizieren muss. Dieser letzte Punkt ist besonders wichtig, da er ermöglicht, dass ein Netzwerk sich nach Ablauf eines nicht mehr benötigten Zugriffs automatisch "zurücksetzt" oder "absichert".

Kopieren Sie in der Access Screens-Liste die URL des soeben erstellten Access Screens. Teilen Sie diese mit den Benutzern, die sich gegenüber Access Gate authentifizieren müssen.

Benutzerablauf

1. Ein Benutzer öffnet seinen Browser und ruft https://auth.{your-domain}/access_form?id=123456 auf.
2. Der Access Screen wird geladen, und der Benutzer akzeptiert die für diesen Access Screen festgelegte Richtlinie.
3. Der Benutzer wird zum Authentifizierungsportal von Microsoft Entra ID weitergeleitet.
4. Nach erfolgreicher Authentifizierung wird der Benutzer zur Callback-URL https://auth.{your-domain}/access_authorize weitergeleitet.

Der Zugriff wird basierend auf dem Ergebnis des Workflows gewährt oder verweigert, und ein Audit-Trail wird aufgezeichnet.

Wird die Anfrage genehmigt, wird die IP-Adresse des Benutzers automatisch dem Proxy hinzugefügt und für die im Access Screen festgelegte Dauer autorisiert. Dies geschieht im Hintergrund. Der Benutzer kann anschließend seinen normalen Arbeitsablauf fortsetzen: Verbindungen zu Anwendungen, Datenbanken und anderen Diensten herstellen, während die Zugriffsregeln der Enklave vollständig durchgesetzt werden.

Beispiel-Log

Zusammenfassung

Wir haben einen Access Screen erstellt, der an Ihren OIDC-Identitätsanbieter gebunden ist: Benutzer authentifizieren sich über den Browser, bevor ihre IP für ein voreingestelltes Timeout Zugriff auf die Enclave erhält.

Greifen Sie hierzu, wenn Sie eine benutzerbezogene, identitätsgestützte Authentifizierung und einen Audit-Trail vor Ihren geschützten Systemen benötigen, statt einer IP oder einem geteilten Zugangsdaten zu vertrauen.