Geoblocking
Zentrale Konzepte
Erlauben: Liste von Ländern, IP-Adressen oder Bereichen, die ausdrücklich berechtigt sind, auf einen Dienst zuzugreifen.
Verweigern: Liste von Ländern, IP-Adressen oder Bereichen, die ausdrücklich vom Zugriff auf einen Dienst ausgeschlossen sind.
Beschreibung
Geoblocking ermöglicht es Ihnen, den Zugriff auf Ihr Specops Authentication-Konto für bestimmte Benutzer basierend auf dem geografischen Standort (Land) oder der spezifischen IP-Adresse, von der aus sie versuchen, auf den Dienst zuzugreifen, einzuschränken. Die Sperrung von Ländern basiert auf einer kontinuierlich aktualisierten Liste von IP-Adressen, die jedem Land zugeordnet sind.
Das Gatekeeper Admin Tool zeigt eine Übersicht über die aktuellen Geoblocking-Einstellungen, wenn Geoblocking aktiviert ist.
Wenn Benutzer versuchen, sich von einem gesperrten Land oder IP-Bereich aus anzumelden, erhalten sie eine Nachricht mit dem Hinweis: „Unbekannte Domäne oder Benutzername.“
Ein häufiges Szenario für Geoblocking ist beispielsweise eines, bei dem bestimmten Ländern der Zugriff verweigert wird, aber bestimmte IP-Bereiche innerhalb dieser Länder erlaubt sind (zum Beispiel, damit lokale Büros dort auf den Dienst zugreifen können).
Beachten Sie, dass Sie nicht beide Listen ausfüllen müssen. Sie können wählen, ob Sie nur Länder oder IP-Bereiche oder beides auflisten möchten.
Hinzufügen von Ländern und IP-Bereichen
Länder
-
Wählen Sie oben in der Länder-Liste aus, ob Sie die Länder in der Liste verweigern oder erlauben möchten, indem Sie die entsprechende Option im Dropdown-Menü auswählen. Dieser Schritt kann auch später im Prozess durchgeführt werden, wenn Sie die Liste zuerst ausfüllen möchten.
Hinweis
Sie können nur entweder Länder oder IP-Bereiche verweigern oder erlauben; es ist nicht möglich, Verweigern und Erlauben in einer Spalte zu kombinieren.
-
Wählen Sie im Dropdown-Menü Land auswählen das Land aus, das Sie der Liste hinzufügen möchten, und wählen Sie Hinzufügen.
- Wiederholen Sie dies für jedes Land, das Sie hinzufügen möchten.
IP-Bereiche
- Wählen Sie oben in der IP-Bereiche-Liste aus, ob Sie die Länder in der Liste verweigern oder erlauben möchten, indem Sie die entsprechende Option im Dropdown-Menü auswählen. Dieser Schritt kann auch später im Prozess durchgeführt werden, wenn Sie die Liste zuerst ausfüllen möchten.
- Geben Sie einen Namen im Feld IP-Bereich benennen ein, damit er in der Liste erkennbar ist, z.B. Bürozugang.
-
Geben Sie IP-Adressen in die Felder Von und Bis ein und wählen Sie Hinzufügen.
Hinweis
Verwenden Sie nicht IP-Bereichsnotationen (z.B. 192.168.0.15/24) in den Feldern Bis oder Von.
Hinweis
Um eine einzelne IP-Adresse hinzuzufügen, geben Sie sie im Feld Von ein und lassen Sie das Feld Bis leer.
-
Wiederholen Sie dies für jede IP-Adresse oder jeden Bereich, den Sie hinzufügen möchten.
Beispiele
Beispiel 1
Länderliste ist mit erlaubten Ländern gefüllt
Wenn Länder erlaubt werden, werden alle nicht aufgeführten Länder automatisch gesperrt. Sie können dann eine der folgenden Optionen wählen, wenn Sie Ihre Kriterien verfeinern müssen:
- Bestimmte IP-Bereiche innerhalb der erlaubten Länder verweigern. ODER
- Zusätzliche IP-Bereiche außerhalb der erlaubten Länder erlauben.
Beispiel 2
Länderliste ist mit verweigerten Ländern gefüllt
Wenn Länder verweigert werden, werden Anfragen aus allen nicht aufgeführten Ländern automatisch erlaubt. Sie können dann eine der folgenden Optionen wählen, wenn Sie Ihre Kriterien verfeinern müssen:
- Bestimmte IP-Bereiche innerhalb der verweigerten Länder erlauben. ODER
- Zusätzliche IP-Bereiche außerhalb der verweigerten Länder verweigern.
Allgemeine Richtlinien und Einschränkungen
Unbekannte IP-Adressen
Einige IP-Adressen sind in der Datenbank nicht mit bestimmten Ländern verknüpft und werden daher per Definition in der Länderliste weder verweigert noch erlaubt. Administratoren können wählen, diese unbekannten IP-Adressen zur Länderliste hinzuzufügen, indem sie die Option (Unbekanntes Land) im Dropdown-Menü Land auswählen auswählen.
Eigene IP-Adresse blockieren
Administratoren können die IP-Adresse, von der aus sie auf das Specops Authentication-Web zugreifen, nicht blockieren. Jedes Land oder jeder IP-Bereich, der Ihre aktuelle IP-Adresse enthält, wird nicht zur verweigerten Liste hinzugefügt. Ebenso wird jedes Land oder jeder IP-Bereich, der Ihre aktuelle IP-Adresse ausschließt, nicht zur erlaubten Liste hinzugefügt, es sei denn, Ihr eigenes Land oder Ihr eigener IP-Bereich ist ebenfalls bereits erlaubt. In diesen Fällen sehen Administratoren die folgende Fehlermeldung: Die Konfiguration, die Sie speichern möchten, wird Sie aus Specops Authentication aussperren. Bitte überprüfen Sie Ihre Einstellungen und versuchen Sie es erneut.
Doppelte IP-Bereiche
Das System erlaubt es Ihnen nicht, doppelte IP-Adressen oder Bereiche hinzuzufügen.
Protokollierung
Alle Ereignisse im Zusammenhang mit Geoblocking werden im Berichtsbereich des Specops Authentication-Webs protokolliert.
Prüfung
Hier werden alle Aktualisierungen der Geoblocking-Einstellungen protokolliert. Es werden Ereignisse im Zusammenhang mit Geoblocking unter der Kategorie GeoBlocking aufgelistet. Durch Klicken auf den Eintrag wird die ID des Benutzers angezeigt, der die Änderung vorgenommen hat, sowie welche Änderungen vorgenommen wurden (z.B. GeoBlockingCountrRemoved SE, wenn Schweden aus der Liste entfernt wurde).
Systemereignisse
Alle blockierten Anmeldeversuche werden hier aufgelistet. Ereignisse im Zusammenhang mit Geoblocking werden als Geoblocked aufgelistet. Wenn Sie die Liste nach Geoblocking-Ereignissen filtern möchten, geben Sie ipAddressBlocked im Feld Ereignis ein.