Zugriffsregeln verwalten

Zugriffsregeln

Die Verwaltung von Zugriffsregeln findet sich unter Administration MOVED TO... Zugriffsregeln verwalten:
access-rules.png

Zugriffsregeln ermöglichen die Begrenzung des Portal-Zugriffs auf Partner-, Benutzer-, Gruppen- und Berechtigungs-Ebene. Generell gilt eine Regel für einen Partner und wird anhand einer IP-Adresse verifiziert. Die Prüfung erfolgt anhand eines konfigurierbaren IP-Bereichs mit Hilfe einer CIDR-Notation. Liegt die IP-Adresse einer Anmeldung innerhalb dieses Bereichs wird die Regel angewendet und der Typ der Regel bestimmt den weiteren Verlauf der Anmeldung:
  1. Erlaubt: Die Anmeldung wird erfolgreich abgeschlossen oder ein Einmal-Passwort abgefragt
  2. OPT ignoriert: Die Anmeldung wird erfolgreich abgeschlossen (ohne Einmal-Passwort - OTP)
  3. OTP erforderlich: Die Anmeldung muss mit einem Einmal-Passwort abgeschlossen werden. Ist dieses nicht eingerichtet, muss zuerst die Einrichtung erfolgen
  4. Blockiert: Die Anmeldung wird abgewiesen

Zusätzlich können Regeln neben der IP-Adresse auch über zusätzliche Filter eingegrenzt werden:
  • Benutzer: Der Benutzername muss übereinstimmen
  • Gruppe: Der Benutzer muss Mitglied der Gruppe sein
  • Berechtigung: Der Benutzer muss diese Berechtigung besitzen (Mitglied einer Grupp sein, die diese Berechtigung beinhaltet)

Beispiele verschiedener IP-Bereiche

CIDR Entsprechende Subnetz-Maske Beschreibung
212.50.1.1 oder 255.255.255.255 Es ist nur diese eine IP-Adresse zulässig
212.50.1.1/32
82.1.1.0/24 255.255.255.0 Es sind 256 IP-Adressen zulässig von 82.1.1.0 - 82.1.1.255
10.0.0.0/8 255.0.0.0 Es sind 16777216 IP-Adressen zulässig von 10.0.0.0 - 10.255.255.255
0.0.0.0/0 0.0.0.0 Es sind alle IP-Adressen zulässig von 0.0.0.0 - 255.255.255.255
Für weitere Informationen: siehe CIDR-Notation

Sinnvolle Konfigurationen

Grundsätzlich werden bei keinen vorhandenen Regeln für das Management Portal und Webservices unterschiedliche Typen zurückgeliefert:
  • Management Portal MOVED TO... Erlaubt, somit können sich alle Benutzer einloggen, die nicht durch Regeln explizit gesperrt wurden (Blacklisting)
  • Webservices MOVED TO... Blockiert, nur über Regeln erlaubte Accounts werden zugelassen (Whitelisting)

TIP Sie können dieses Standard-Verhalten ändern, indem Sie als letzte Regel (Prio: 999) einen IP-Bereich festlegen, der auf alle IP-Adressen zutrifft: 0.0.0.0/0. Blockiert diese Regel handelt es sich um ein Whitelisting. Erlaubt sie stattdessen den Zugriff wird ein Blacklisting umgesetzt.
blacklisting.png

Blacklisting

Unter einem Blacklisting versteht man eine Blockierung von einzelnen IP-Adressen. Generell sind IP-Adressen aber erlaubt, sodaß für Blockierungen Regeln existieren müssen. Sollten die Zugriffsregeln nach diesem Prinzip eingerichtet sein, ist der Zugriff auf Portal und/oder Webservices generell erlaubt. Somit ist eine Konfiguration nach diesem Muster nicht so strikt wie ein Whitelisting.

Whitelisting

Beim Whitelisting wird alles blockiert, ausser es existiert eine Regel, die den Zugriff für IP-Adressen erlaubt. Ein Whitelisting bietet generell mehr Sicherheit, allerdings ist mit einem erhöhtem Aufwand bei der Konfiguration und Pflege der Zugriffsregeln zu rechnen, da bei neuen IP-Adressbereichen erstmal Regeln hinzugefügt werden müssen, bevor ein Zugriff für Portal und/oder Webservice möglich ist.

Anlegen

Vor Änderungen oder dem Anlegen von neuen Zugriffsregeln können Sie im oberen Bereich wählen, für welchen Zweck diese Zugriffsregeln eingerichtet werden sollen:
  1. Management Portal (Standard)
  2. Webservices
    access-rules-header.png

Um neue Regeln hinzuzufügen, füllen Sie bitte alle Felder im unteren Bereich der Regelliste aus und klicken danach auf das Plus-Zeichen:
create-access-rules.png

Ändern

Zum Ändern klicken Sie auf den Stift, editieren die gewünschte Zeile und drücken auf das Häkchen zum Speichern der Änderungen:
access-rules-update.png

Neben der direkten Angabe der Priorität, können Sie auch die Pfeile nach oben und unten verwenden, um die Priorität schrittweise zu erhöhen oder zu erniedrigen. Hierbei werden bereits bestehende Prioritäten automatisch überschritten.

TIP Es darf pro Partner und Zweck (Portal oder Webservice) jede Priorität nur einmal vergeben werden. Es sind also maximal 1000 Regeln möglich (0-999).

Löschen

Zum Löschen klicken Sie in der gewünschte Zeile auf das rote Kreuz und bestätigen im Löschen-Dialog mit Löschen:
delete-access-rules.png

Regeln prüfen

Sie können automatisiert prüfen lassen, welche Regeln auf einen Benutzer-Account mit einer angegebenen IP-Adresse zutreffen und welche nicht: access-rules-validation.png

Hierbei wird die erste zutreffende Regel, welche letztendlich über die Anmeldung eines Benutzers entscheidet, grün hervorgehoben und das Ergebnis dementsprechend angezeigt. Die Hilfe zur Hervorhebung von Regeln erscheint direkt nach der Validierung. Um die normale Ansicht wiederherzustellen, klicken Sie entweder auf "Zurücksetzen" oder laden die Seite neu:
access-rules-help-reset.png