Konfigurieren die Specops Authentication-Zulassungslisten
Specops Authentication (SA) ist die hybride Cloud-Plattform, die als Grundlage für uReset, Secure Service Desk, Secure Access und Key Recovery dient. Dieser Abschnitt beschreibt die Netzwerk-Anforderungen und die URLs, die über die Firewall zugänglich sein müssen, um die Verbindung zu Specops Authentication zu ermöglichen.
Hinweis
Es wird dringend empfohlen, URL- oder hostname-basierte Allowlists zu verwenden, da sich IP-Adressen im Laufe der Zeit ändern können.
Interne Kommunikation
Der Computer, auf dem das Gatekeeper Admin Tool ausgeführt wird, muss den Gatekeeper-Server erreichen können.
| Quelle | Ziel | Protokoll | Port |
|---|---|---|---|
| Gatekeeper Admin Tool(s) | Gatekeeper Server(s) | TCP | 6003 |
Nordamerika-Rechenzentrum
Gatekeeper-Server-URLs
Der Gatekeeper-Server benötigt Zugriff auf die folgenden URLs:
| URL | Protokoll | Port |
|---|---|---|
| https://login.specopssoft.com | TCP | 443 |
| https://gk.specopssoft.com | TCP | 443 |
| https://download.specopssoft.com | TCP | 443 |
Endbenutzer-URLs
Die Endbenutzer-Client-Workstations benötigen Zugriff auf die folgenden URLs:
| URL | Produkt | Protokoll | Port |
|---|---|---|---|
| https://login.specopssoft.com | Alle Specops Authentication Produkte | TCP | 443 |
| https://servicedesk.specopssoft.com | Secure Service Desk | TCP | 443 |
| https://keyrecovery.specopssoft.com | Key Recovery | TCP | 443 |
| https://mfa.specopssoft.com | Secure Access / MFA für Windows | TCP | 443 |
| https://authapi.specopssoft.com | Secure Access / MFA für Windows | TCP | 443 |
| https://onboarding.specopssoft.com | First Day Password | TCP | 443 |
| https://trust.specopsauthentication.com | Alle Specops Authentication Produkte | TCP | 443 |
| https://*.trust.specopsauthentication.com | Alle Specops Authentication Produkte | TCP | 443 |
Wenn Endbenutzer/Workstations hinter einem Proxy sind, der eine Authentifizierung erfordert, kann es notwendig sein, die Authentifizierung für diese URLs zu umgehen, damit Endbenutzer, die sich aufgrund eines Passwortproblems nicht authentifizieren können, dennoch auf die Passwort-Zurücksetzen-Webseite zugreifen können.
Zugriff auf Mobiltelefone
Wenn die Specops:ID Mobile-App über WLAN verwendet wird, benötigt sie Zugriff auf die folgenden URLs:
| URL | Protokoll | Port |
|---|---|---|
| https://specopsid.specopssoft.com | TCP | 443 |
| https://authapi.specopssoft.com | TCP | 443 |
Zertifikat-CRL-Endpunkte für Gatekeeper
Die Gatekeeper-Server benötigen Zugriff auf die folgenden URLs, um nach Upgrades zu suchen und Zertifikate gegen CRLs zu überprüfen:
| URL | Protokoll | Port |
|---|---|---|
| https://*.c.lencr.org | TCP | 443 |
| http://*.c.lencr.org | TCP | 80 |
| https://crl.godaddy.com | TCP | 443 |
| http://crl.godaddy.com | TCP | 80 |
Zertifikat-CRL-Endpunkte für Endbenutzer-Workstations
Die Client-Workstations benötigen Zugriff auf die folgenden URLs, um nach Upgrades zu suchen und Zertifikate gegen CRLs zu überprüfen:
| URL | Protokoll | Port |
|---|---|---|
| https://*.c.lencr.org | TCP | 443 |
| http://*.c.lencr.org | TCP | 80 |
Statische IP-Adressen
Wenn Sie IP-Adressregeln verwenden müssen, müssen Sie sowohl Gatekeeper als auch Endbenutzern den Zugriff auf die folgenden IP-Adressbereiche erlauben. Eine granularere Filterung wird nicht unterstützt, da sich die genauen IP-Adressen innerhalb dieser Bereiche jederzeit ändern können.
Diese IP-Adressen decken nicht die URL
- 52.180.65.88/29 (Azure US West)
- 40.71.57.208/29 (Azure US East)
EU-Rechenzentrum
Gatekeeper-Server-URLs
Der Gatekeeper-Server benötigt Zugriff auf die folgenden URLs:
| URL | Protokoll | Port |
|---|---|---|
| https://eu.login.specopssoft.com | TCP | 443 |
| https://eu.gk.specopssoft.com | TCP | 443 |
| https://download.specopssoft.com | TCP | 443 |
Endbenutzer-URLs
Die Endbenutzer-Client-Workstations benötigen Zugriff auf die folgenden URLs:
| URL | Produkt | Protokoll | Port |
|---|---|---|---|
| https://eu.login.specopssoft.com | Alle Specops Authentication Produkte | TCP | 443 |
| https://eu.servicedesk.specopssoft.com | Secure Service Desk | TCP | 443 |
| https://eu.keyrecovery.specopssoft.com | Key Recovery | TCP | 443 |
| https://eu.mfa.specopssoft.com | Secure Access / MFA für Windows | TCP | 443 |
| https://eu.authapi.specopssoft.com | Secure Access / MFA für Windows | TCP | 443 |
| https://eu.onboarding.specopssoft.com | First Day Password | TCP | 443 |
| https://eu.trust.specopsauthentication.com | Alle Specops Authentication Produkte | TCP | 443 |
| https://*.eu.trust.specopsauthentication.com | Alle Specops Authentication Produkte | TCP | 443 |
Wenn Endbenutzer/Workstations hinter einem Proxy sind, der eine Authentifizierung erfordert, kann es notwendig sein, die Authentifizierung für diese URLs zu umgehen, damit Endbenutzer, die sich aufgrund eines Passwortproblems nicht authentifizieren können, dennoch auf die Passwort-Zurücksetzen-Webseite zugreifen können.
Zugriff auf Mobiltelefone
Wenn die Specops:ID Mobile-App über WLAN verwendet wird, benötigt sie Zugriff auf die folgenden URLs:
| URL | Protokoll | Port |
|---|---|---|
| https://eu.specopsid.specopssoft.com | TCP | 443 |
| https://eu.authapi.specopssoft.com | TCP | 443 |
Zertifikat-CRL-Endpunkte für Gatekeeper
Die Gatekeeper-Server benötigen Zugriff auf die folgenden URLs, um nach Upgrades zu suchen und Zertifikate gegen CRLs zu überprüfen:
| URL | Protokoll | Port |
|---|---|---|
| https://*.c.lencr.org | TCP | 443 |
| http://*.c.lencr.org | TCP | 80 |
| https://crl.godaddy.com | TCP | 443 |
| http://crl.godaddy.com | TCP | 80 |
Zertifikat-CRL-Endpunkte für Endbenutzer-Workstations
Die Client-Workstations benötigen Zugriff auf die folgenden URLs, um nach Upgrades zu suchen und Zertifikate gegen CRLs zu überprüfen:
| URL | Protokoll | Port |
|---|---|---|
| https://*.c.lencr.org | TCP | 443 |
| http://*.c.lencr.org | TCP | 80 |
Statische IP-Adressen
Wenn Sie IP-Adressregeln verwenden müssen, müssen Sie sowohl Gatekeeper als auch Endbenutzern den Zugriff auf die folgenden IP-Adressbereiche erlauben. Eine granularere Filterung wird nicht unterstützt, da sich die genauen IP-Adressen innerhalb dieser Bereiche jederzeit ändern können.
Diese IP-Adressen decken nicht die URL
- 13.79.75.152/29 (Azure Nord Europa)
- 74.234.213.168/29 (Azure West Europa)
Proxy/SSL-Inspektionsanforderungen
Gatekeeper können einen Web-Proxy verwenden, um auf die URLs zuzugreifen. Wenn eine Proxy-Authentifizierung erforderlich ist, stellen Sie sicher, dass sowohl der Administrator, der den Gatekeeper installiert, als auch das Gatekeeper-Dienstkonto autorisiert sind und keine Captive Portale erforderlich sind.
SSL-Inspektion/MITM-Zertifikate werden nicht unterstützt. Wenn das für die URLs präsentierte Zertifikat in irgendeiner Weise geändert wurde, wird der Gatekeeper-Server die Verbindung verweigern.
Bestätigen Sie, dass Ihre Verbindung ordnungsgemäß konfiguriert ist:
- Navigieren Sie zu https://login.specopssoft.com von einem Webbrowser auf Ihrem Gatekeeper-Server.
- Die Schritte unterscheiden sich je nach Webbrowser. In Microsoft Edge klicken Sie auf das Vorhängeschloss in der Adressleiste und dann auf Verbindung ist sicher.
- Klicken Sie auf das Zertifikatsymbol, um die Zertifikatsdetails anzuzeigen.
-
Der Zertifikatsaussteller sollte mit diesem übereinstimmen:
Multi-Domain-Umgebungen
Wenn Sie eine Multi-Domain-Konfiguration haben, die hinter einer Firewall liegt, müssen Sie sicherstellen, dass die aufgelisteten Ports von den Gatekeeper(s) zu allen DCs im Zielvertrauensdomäne erlaubt sind.
| Dienst | Protokoll | Port |
|---|---|---|
| LDAP | TCP | 389, 636 |
| SMB2 | TCP | 445 |
| Kerberos | TCP | 88, 464 |
| DNS | TCP/UDP | 53 |