Vertrauenswürdige Netzwerkstandorte
Vertrauenswürdige Netzwerkstandorte ist ein Identitätsdienst, der Administratoren ermöglicht, bestimmte IP-Bereiche als Vertrauenswürdige Netzwerkstandorte zu kennzeichnen. Diese Vertrauenswürdigen Netzwerkstandorte können dann in Richtlinien verwendet werden, um automatisch das konfigurierte Gewicht dieses Identitätsdienstes Benutzern zuzuweisen, die sich authentifizieren, während sie sich von einer vertrauenswürdigen IP verbinden. Sie können diesen Identitätsdienst auch verwenden, um nur Anfragen von vertrauenswürdigen Standorten zuzulassen. In einigen Fällen kann es beispielsweise eine gute Praxis sein, nur Benutzern zu erlauben, sich aus dem eigenen Netzwerk des Unternehmens zu authentifizieren und Authentifizierungsversuche von allen anderen Standorten auszuschließen.
Konfigurieren von Bereichen für Vertrauenswürdige Netzwerkstandorte
Bevor Vertrauenswürdige Netzwerkstandorte als Identitätsdienst in einer Richtlinie verwendet werden können, müssen die vertrauenswürdigen IP-Bereiche definiert werden.
Beachten Sie, dass, wenn keine IP-Bereiche konfiguriert wurden, alle IP-Adressen als nicht vertrauenswürdig gelten. Wenn IP-Bereiche konfiguriert wurden, gelten alle IP-Adressen außerhalb der konfigurierten Bereiche als nicht vertrauenswürdig.
- Gehen Sie in Authentication Web zu Vertrauenswürdige Netzwerkstandorte in der Seitennavigation.
- Füllen Sie einen Namen für den Bereich im Feld Name IP-Bereich aus.
- Füllen Sie die Felder Von IP-Adresse und Bis IP-Adresse aus. Um eine einzelne IP-Adresse (keinen Bereich) hinzuzufügen, füllen Sie nur das Feld Von IP-Adresse aus.
- Klicken Sie auf Hinzufügen.
Hinweis
Sobald ein IP-Bereich konfiguriert wurde, kann er nicht mehr geändert werden. Wenn Sie aus irgendeinem Grund einen bestehenden IP-Bereich ändern müssen, müssen Sie einen neuen IP-Bereich erstellen und den alten löschen.
Um einen konfigurierten IP-Bereich zu entfernen, klicken Sie auf das Papierkorb-Symbol neben dem Bereich, den Sie löschen möchten, und bestätigen Sie mit einem Klick auf OK.
Massenimport von IP-Bereichen aus Datei
Wenn Sie eine Liste vertrauenswürdiger IPs oder IP-Bereiche im CSV-Format haben, können Sie diese Datei hochladen, um die IPs/Bereiche zur Liste der Vertrauenswürdigen Netzwerkstandorte hinzuzufügen.
Hinweis
Die CSV-Datei sollte Zeilen im folgenden Format haben: Name, niedrige IP-Adresse, hohe IP-Adresse (diese entsprechen verschiedenen Spalten, wenn Sie Excel oder ein ähnliches Programm verwenden, um die Liste zu erstellen). Beachten Sie, dass die hohe IP-Adresse leer gelassen werden kann, wenn Sie eine einzelne IP-Adresse einschließen möchten.
- Klicken Sie auf die Schaltfläche Durchsuchen und navigieren Sie zu der Datei, die Sie hochladen möchten. Klicken Sie auf Öffnen.
- Optional: Aktivieren Sie das Kontrollkästchen IP-Bereiche ignorieren, die bereits existieren, wenn Ihre Liste IP-Bereiche enthält, die bereits in der Liste der Vertrauenswürdigen Netzwerkstandorte vorhanden sind.
- Klicken Sie auf Hochladen.
Entfernen aller IP-Bereiche
Klicken Sie oben in der Liste auf die Schaltfläche Alle entfernen, um alle IP-Bereiche aus der Liste zu entfernen.
Warnung
Diese Aktion kann nicht rückgängig gemacht werden.
Konfigurieren von Vertrauenswürdigen Netzwerkstandorten als Identitätsdienst
Das Hinzufügen von Vertrauenswürdigen Netzwerkstandorten als Identitätsdienst erfolgt auf die gleiche Weise wie bei allen anderen Identitätsdiensten.
- Verschieben Sie im Richtlinienbildschirm für die Anwendung Vertrauenswürdige Netzwerkstandorte von der Box Nicht ausgewählte Identitätsdienste in die Box Ausgewählte Identitätsdienste.
- Legen Sie das Gewicht des Dienstes fest, indem Sie auf die Anzahl der Sterne klicken, die Sie zuweisen möchten.
- Klicken Sie auf Speichern.
Wenn Vertrauenswürdige Netzwerkstandorte zu einer Richtlinie hinzugefügt werden, erhalten Benutzer, die sich von einer vertrauenswürdigen IP-Adresse aus authentifizieren, automatisch die Anzahl der dem Dienst zugewiesenen Sterne, während jeder außerhalb der vertrauenswürdigen IP-Bereiche diese Sterne nicht erhält.
Ausschluss nicht vertrauenswürdiger IPs
In einigen Fällen ist der beste Weg, um die Sicherheit des Authentifizierungsprozesses zu gewährleisten, jeden Authentifizierungsantrag auszuschließen, der von außerhalb vertrauenswürdiger IP-Bereiche kommt, und nur Anfragen von vertrauenswürdigen Netzwerken zuzulassen.
Um nicht vertrauenswürdige IP-Adressen auszuschließen, aktivieren Sie das Kontrollkästchen Erforderlich im Identitätsdienst Vertrauenswürdige Netzwerkstandorte in der Richtlinie.
Wenn der Identitätsdienst Vertrauenswürdige Netzwerkstandorte auf Erforderlich gesetzt ist, erhalten Benutzer, die versuchen, sich von außerhalb der vertrauenswürdigen IP-Bereiche zu authentifizieren, eine Nachricht, die sie darüber informiert, dass sie den Authentifizierungsantrag aus dem vertrauenswürdigen Netzwerk heraus starten müssen.
Registrierung und Captcha
Der Identitätsdienst Vertrauenswürdige Netzwerkstandorte kann auch verwendet werden, um das Registrierungsverfahren weiter abzusichern oder um Captcha zu umgehen, wenn sich der Benutzer von einer vertrauenswürdigen IP-Adresse aus authentifiziert.
Konfigurieren der Registrierung mit Vertrauenswürdigen Netzwerkstandorten
- Gehen Sie in Authentication Web zu Richtlinien.
- Markieren Sie im Abschnitt Registrierungssicherheitsmodus das Kontrollkästchen Nur von vertrauenswürdiger IP.
Wenn diese Einstellung aktiviert ist, können sich Benutzer nur registrieren, wenn sie sich von einer vertrauenswürdigen IP-Adresse aus authentifizieren.
Konfigurieren von Captcha mit Vertrauenswürdigen Netzwerkstandorten
- Gehen Sie in Authentication Web zu Konto.
- Wählen Sie im Tab CAPTCHA die Optionsschaltfläche Captcha für nicht vertrauenswürdige IP-Adressen aktivieren.
Wenn diese Einstellung aktiviert ist, wird Benutzern nur ein Captcha angezeigt, wenn sie sich von einer IP-Adresse außerhalb der konfigurierten vertrauenswürdigen IP-Bereiche aus authentifizieren.