Vertrauenswürdige Netzwerkstandorte
Vertrauenswürdige Netzwerkstandorte ist ein Identitätsdienst, der Administratoren ermöglicht, bestimmte IP-Bereiche als vertrauenswürdige Netzwerkstandorte zu kennzeichnen. Diese vertrauenswürdigen Netzwerkstandorte können dann in Richtlinien verwendet werden, um automatisch das konfigurierte Gewicht dieses Identitätsdienstes Benutzern zuzuweisen, die sich authentifizieren, während sie sich von einer vertrauenswürdigen IP aus verbinden. Sie können diesen Identitätsdienst auch verwenden, um nur Anfragen von vertrauenswürdigen Standorten zuzulassen. In einigen Fällen kann es beispielsweise eine gute Praxis sein, nur Benutzern zu erlauben, sich aus dem eigenen Netzwerk des Unternehmens zu authentifizieren und Authentifizierungsversuche von allen anderen Standorten auszuschließen.
Konfigurieren von Bereichen für vertrauenswürdige Netzwerkstandorte
Bevor vertrauenswürdige Netzwerkstandorte als Identitätsdienst in einer Richtlinie verwendet werden können, müssen die vertrauenswürdigen IP-Bereiche definiert werden.
Beachten Sie, dass, wenn keine IP-Bereiche konfiguriert wurden, alle IP-Adressen als nicht vertrauenswürdig gelten. Wenn IP-Bereiche konfiguriert wurden, gelten alle IP-Adressen außerhalb der konfigurierten Bereiche als nicht vertrauenswürdig.
- Gehen Sie in Authentication Web zu Vertrauenswürdige Netzwerkstandorte in der Seitennavigation.
- Füllen Sie im Feld Name IP-Bereich einen Namen für den Bereich aus.
- Füllen Sie die Felder Von IP-Adresse und Bis IP-Adresse aus. Um eine einzelne IP-Adresse (keinen Bereich) hinzuzufügen, füllen Sie nur das Feld Von IP-Adresse aus.
- Klicken Sie auf Hinzufügen.
Hinweis
Sobald ein IP-Bereich konfiguriert wurde, kann er nicht mehr geändert werden. Wenn Sie aus irgendeinem Grund einen bestehenden IP-Bereich ändern müssen, müssen Sie einen neuen IP-Bereich erstellen und den alten löschen.
Um einen konfigurierten IP-Bereich zu entfernen, klicken Sie auf das Papierkorbsymbol neben dem Bereich, den Sie löschen möchten, und bestätigen Sie mit einem Klick auf OK.
Massenimport von IP-Bereichen aus einer Datei
Wenn Sie eine Liste vertrauenswürdiger IPs oder IP-Bereiche im CSV-Format haben, können Sie diese Datei hochladen, um die IPs/Bereiche zur Liste der vertrauenswürdigen Netzwerkstandorte hinzuzufügen.
Hinweis
Die CSV-Datei sollte Zeilen im folgenden Format enthalten: Name, niedrige IP-Adresse, hohe IP-Adresse (diese entsprechen verschiedenen Spalten, wenn Sie Excel oder ein ähnliches Programm verwenden, um die Liste zu erstellen). Beachten Sie, dass die hohe IP-Adresse leer gelassen werden kann, wenn Sie eine einzelne IP-Adresse einbeziehen möchten.
- Klicken Sie auf die Schaltfläche Durchsuchen und navigieren Sie zu der Datei, die Sie hochladen möchten. Klicken Sie auf Öffnen.
- Optional: Aktivieren Sie das Kontrollkästchen Bereits vorhandene IP-Bereiche ignorieren, wenn Ihre Liste IP-Bereiche enthält, die bereits in der Liste der vertrauenswürdigen Netzwerkstandorte vorhanden sind.
- Klicken Sie auf Hochladen.
Entfernen aller IP-Bereiche
Klicken Sie oben in der Liste auf die Schaltfläche Alle entfernen, um alle IP-Bereiche aus der Liste zu entfernen.
Warnung
Diese Aktion kann nicht rückgängig gemacht werden.
Konfigurieren von vertrauenswürdigen Netzwerkstandorten als Identitätsdienst
Das Hinzufügen von vertrauenswürdigen Netzwerkstandorten als Identitätsdienst erfolgt auf die gleiche Weise wie bei allen anderen Identitätsdiensten.
- Verschieben Sie im Richtlinienbildschirm für die Anwendung die vertrauenswürdigen Netzwerkstandorte von der Box Nicht ausgewählte Identitätsdienste zur Box Ausgewählte Identitätsdienste.
- Legen Sie das Gewicht des Dienstes fest, indem Sie auf die Anzahl der Sterne klicken, die Sie zuweisen möchten.
- Klicken Sie auf Speichern.
Wenn vertrauenswürdige Netzwerkstandorte zu einer Richtlinie hinzugefügt werden, erhalten Benutzer, die sich von einer vertrauenswürdigen IP-Adresse aus authentifizieren, automatisch die Anzahl der dem Dienst zugewiesenen Sterne, während Personen außerhalb der vertrauenswürdigen IP-Bereiche diese Sterne nicht erhalten.
Ausschluss nicht vertrauenswürdiger IPs
In einigen Fällen ist der beste Weg, die Sicherheit des Authentifizierungsprozesses zu gewährleisten, alle Authentifizierungsanfragen von außerhalb vertrauenswürdiger IP-Bereiche auszuschließen und nur Anfragen von vertrauenswürdigen Netzwerken zuzulassen.
Um nicht vertrauenswürdige IP-Adressen auszuschließen, aktivieren Sie das Kontrollkästchen Erforderlich im Identitätsdienst für vertrauenswürdige Netzwerkstandorte in der Richtlinie.
Wenn der Identitätsdienst für vertrauenswürdige Netzwerkstandorte auf Erforderlich gesetzt ist, erhalten Benutzer, die versuchen, sich von außerhalb der vertrauenswürdigen IP-Bereiche zu authentifizieren, eine Nachricht, die sie darüber informiert, dass sie die Authentifizierungsanfrage aus dem vertrauenswürdigen Netzwerk heraus initiieren müssen.
Registrierung und Captcha
Der Identitätsdienst für vertrauenswürdige Netzwerkstandorte kann auch verwendet werden, um das Registrierungsverfahren weiter abzusichern oder Captcha zu umgehen, wenn sich der Benutzer von einer vertrauenswürdigen IP-Adresse aus authentifiziert.
Konfigurieren der Registrierung mit vertrauenswürdigen Netzwerkstandorten
- Gehen Sie in Authentication Web zu Richtlinien.
- Markieren Sie im Abschnitt Registrierungssicherheitsmodus das Kontrollkästchen Nur von vertrauenswürdiger IP.
Wenn diese Einstellung aktiviert ist, können sich Benutzer nur registrieren, wenn sie sich von einer vertrauenswürdigen IP-Adresse aus authentifizieren.
Konfigurieren von Captcha mit vertrauenswürdigen Netzwerkstandorten
- Gehen Sie in Authentication Web zu Konto.
- Wählen Sie im Tab CAPTCHA die Optionsschaltfläche Captcha für nicht vertrauenswürdige IP-Adressen aktivieren.
Wenn diese Einstellung aktiviert ist, wird Benutzern nur ein Captcha angezeigt, wenn sie sich von einer IP-Adresse außerhalb der konfigurierten vertrauenswürdigen IP-Bereiche aus authentifizieren.