Die Multifaktor-Authentifizierung (MFA) kann für alle Benutzerverbindungen aktiviert oder deaktiviert werden, aber Sie können für bestimmte Verbindungen auch komplexe Regeln konfigurieren. Mit dieser Funktion können Sie verschiedene MFA für denselben Benutzer oder Computer erstellen, aktivieren oder deaktivieren, die je nachdem gelten, von wo und über welches Gerät sich der Benutzer angemeldet hat. Jeder MFA-Anbieter hat eine Regel, die aus einem oder mehreren Kriterien für den Abgleich mit Benutzer-Verbindungen besteht. Jedes Kriterium besteht wiederum aus einem oder mehreren spezifischen Objekten, die abgeglichen werden können.
Sie können die folgenden Objekte abgleichen:
Benutzer, eine Gruppe, zu der der Benutzer gehört, oder der Computer, von dem aus der Benutzer eine Verbindung herstellt
Das Secure Gateway, mit dem sich der Benutzer verbindet
Name des Client-Geräts
Betriebssystem des Client-Geräts
IP-Adresse
MAC-Adresse
Beachten Sie bitte folgende Hinweise zu den Regeln:
Die Kriterien werden mit dem AND-Operator verknüpft. Wenn eine Regel beispielsweise ein Kriterium enthält, das auf bestimmte IP-Adressen zutrifft, und ein Kriterium, das auf die Betriebssysteme der Client-Geräte zutrifft, wird die Regel angewendet, wenn eine Benutzer-Verbindung mit einer der IP-Adressen UND einem der Client-Betriebssysteme übereinstimmt.
Die Kriterien werden mit dem OR-Operator verknüpft. Wenn Sie z. B. nur ein Kriterium für passende Client-Geräte-Betriebssysteme erstellen, wird die Regel angewendet, wenn eines der Betriebssysteme mit der Client-Verbindung übereinstimmt.
So konfigurieren Sie eine Regel:
Navigieren Sie zu Site-Einstellungen > Verbindung > Multi-Faktor-Authentifizierung.
Doppelklicken Sie auf den Google Authenticator, den Sie konfigurieren möchten.
Klicken Sie auf den Link Beschränkungen.
Klicken Sie auf die Schaltfläche Bearbeiten.
Deaktivieren Sie die Option Standardeinstellungen erben.
Geben Sie die Kriterien für die Regel an. Folgende Steuerelemente sind verfügbar:
Erlauben: gibt an, dass der MFA-Anbieter aktiviert werden muss, wenn eine Benutzer-Verbindung den Kriterien entspricht. Klicken Sie auf Erlauben, um die Option auf Ablehnen zu ändern.
Ablehnen: legt fest, dass die Richtlinie des MFA-Anbieters nicht aktiviert werden darf, wenn eine Benutzer-Verbindung den Kriterien entspricht. Klicken Sie auf Ablehnen, um die Option auf Erlauben zu ändern.
(+): fügt ein neues Kriterium hinzu. Wenn Sie ein Secure Gateway, einen Client-Gerätenamen, ein Client-Gerätebetriebssystem, eine IP-Adresse oder eine MAC-Adresse abgleichen möchten, klicken Sie auf (+).
Ist: gibt an, dass der MFA-Anbieter aktiviert sein muss (oder deaktiviert, durch Erlauben und Ablehnen) wenn eine Benutzer-Verbindung den Kriterien entspricht. Klicken Sie auf Ist“, um dieses Steuerungselement auf Ist nicht zu ändern. Dieses Steuerungselement wird angezeigt, wenn mindestens ein Objekt hinzugefügt wurde.
Ist nicht: gibt an, dass der MFA-Anbieter aktiviert sein muss (oder deaktiviert, durch Erlauben und Ablehnen) wenn eine Benutzer-Verbindung den Kriterien nicht entspricht. Klicken Sie auf Ist nicht“, um dieses Steuerungselement auf Ist zu ändern. Dieses Steuerungselement wird angezeigt, wenn mindestens ein Objekt hinzugefügt wurde.
Sie können die Kriterien auch aktivieren/deaktivieren, indem Sie links daneben auf den Schalter klicken.
Klicken Sie zum Abschluss auf Speichern.
In diesem Abschnitt erklären wir, wie Sie den Google Authenticator konfigurieren.
So konfigurieren Sie Google Authenticator:
Navigieren Sie zu Site-Einstellungen > Verbindung > Multi-Faktor-Authentifizierung.
Doppelklicken Sie auf den Google Authenticator, den Sie konfigurieren möchten.
Klicken Sie auf die Schaltfläche Bearbeiten.
Geben Sie Folgendes an:
Name: Name des Anbieters.
Beschreibung: Beschreibung des Anbieters.
Wählen Sie in der Tabelle Design die Designs aus, die diesen MFA-Anbieter verwenden sollen.
Anzeigename: Der Standardname ist hier „Google Authenticator“. Der Name wird im Registrierungsdialog im Parallels Client im folgenden Satz angezeigt: „Installieren Sie die Google Authenticator-App auf Ihrem iOS- oder Android-Gerät“. Wenn Sie den Namen ändern, enthält der Satz den von Ihnen angegebenen Namen, wie z. B. „Installieren Sie \neuer Name\ auf Ihrem iOS- oder Android-Gerät“. Technisch gesehen können Sie jede beliebige Authentifizierer-Anwendung verwenden (daher die Möglichkeit, den Namen zu ändern), aber zum Zeitpunkt dieses Artikels wird ausschließlich die Google Authenticator-Anwendung offiziell unterstützt.
Eingabeaufforderung: Geben Sie den Text an, den der Benutzer sieht, wenn er zu einem OTP-Dialog aufgefordert wird.
Ändern Sie, falls erforderlich, die standardmäßig vorgegebene TOTP-Toleranz.
Im Abschnitt Registrierung können Sie die Benutzerregistrierung über Google Authenticator bei Bedarf einschränken. Sie können allen Benutzern die Registrierung ohne Einschränkungen erlauben (Option Zulassen), die Registrierung bis zum angegebenen Datum und zur angegebenen Zeit erlauben (Option Zulassen bis) oder die Registrierung vollständig deaktivieren (Option Nicht zulassen). Wenn die Registrierung aufgrund eines abgelaufenen Zeitraums oder der aktivierten Option Nicht zulassen deaktiviert wurde, wird einem Benutzer, der versucht, sich anzumelden, eine Fehlermeldung angezeigt, die besagt, dass die Registrierung deaktiviert ist, und dem Benutzer rät, sich an den Systemadministrator zu wenden. Wenn Sie die Registrierung einschränken oder deaktivieren, kann Google Authenticator oder ein anderer TOTP-Anbieter weiterhin verwendet werden, jedoch mit zusätzlicher Sicherheit, durch die keine weitere Benutzerregistrierung zugelassen wird. Hierbei handelt es sich um eine Sicherheitsmaßnahme, um Benutzer mit kompromittierten Anmeldeinformationen davon abzuhalten, sich bei MFA zu registrieren.
Informationen für nicht registrierte Benutzer anzeigen: Wählen Sie aus, ob nicht registrierten Benutzern der Fehler Der Benutzername oder das Kennwort ist falsch angezeigt werden soll, wenn sie falsche Anmeldeinformationen eingeben:
Nie (sicherste Option): Nicht registrierten Benutzern wird statt des Fehlers eine TOTP-Aufforderung angezeigt.
Falls Registrierung erlaubt ist: Nicht registrierten Benutzern wird der Fehler angezeigt, wenn Benutzerregistrierung erlaubt ist. Falls nicht, wird die TOTP-Aufforderung angezeigt.
Immer: Nicht registrierten Benutzern wird der Fehler immer angezeigt.
Das Feld Benutzer zurücksetzen im Abschnitt Benutzerverwaltung wird verwendet, um den Token zurückzusetzen, den ein Benutzer erhalten hat, als er versucht hat, sich zum ersten Mal mit Google Authenticator bei Parallels RAS anzumelden. Wenn Sie einen Benutzer zurücksetzen, muss er das Registrierungsverfahren erneut durchlaufen (siehe Verwendung von Google Authenticator im Parallels Client unten). Sie können nach bestimmten Benutzern suchen, alle Benutzer zurücksetzen oder die Liste der Benutzer aus einer CSV-Datei importieren.
Beschränkungen: Weitere Informationen finden Sie unter Konfigurieren Sie MFA-Regeln.
Klicken Sie zum Abschluss auf Speichern.
Wichtig: Um Google Authenticator oder andere TOTP-Anbieter verwenden zu können, muss die Zeit auf einem Benutzergerät mit der Zeit auf dem RAS Connection Broker-Server synchronisiert sein. Andernfalls schlägt die Google-Authentifizierung fehl.
Google Authenticator wird im Parallels Client unterstützt und läuft auf allen unterstützten Plattformen (mobil, Desktop und Web Client).
Um Google Authenticator zu verwenden, muss ein Nutzer die Authenticator-App auf seinem iOS- oder Android-Gerät installieren. Besuchen Sie einfach Google Play oder den App Store und installieren Sie die App. Sobald die Authenticator-App installiert ist, kann der Benutzer eine Verbindung zu Parallels RAS mit Zwei-Faktor-Authentifizierung herstellen.
So wird die Verbindung mit Parallels RAS hergestellt:
Der Benutzer öffnet den Parallels Client oder das Nutzerportal und meldet sich mit seinen Zugangsdaten an.
Das Multi-Faktor-Authentifizierungsdialogfeld wird geöffnet und zeigt einen Barcode (auch bekannt als QR-Code) und einen geheimen Schlüssel an.
Der Nutzer öffnet die Google Authenticator-App auf seinem mobilen Gerät:
Wenn er es zum ersten Mal benutzt, tippt er auf Beginnen und dann auf Barcode scannen.
Wenn ein Nutzer bereits ein anderes Konto in Google Authenticator hat, tippt er auf das Plus-Zeichen-Symbol und wählt Barcode scannen.
Der Benutzer scannt dann den Barcode, der im Anmeldedialog des Parallels Clients angezeigt wird.
Wenn das Scannen aus irgendeinem Grund nicht funktioniert, wechselt der Benutzer zurück zur App, wählt Enter a provided key (Bereitgestellten Schlüssel eingeben) und gibt dann den Kontonamen und den Schlüssel ein, der im Anmeldedialogfeld des Parallels Clients angezeigt wird.
Der Benutzer tippt dann auf Add account (Konto hinzufügen) in der App, dadurch wird ein Konto erstellt und ein Einmal-Passwort angezeigt.
Der Benutzer geht zurück zum Parallels Client, klickt auf Weiter und gibt das Einmal-Passwort in das Feld OTP ein.
Bei jeder weiteren Anmeldung muss der Nutzer nur seine Zugangsdaten (oder gar nichts, wenn die Option Passwort speichern ausgewählt wurde) und ein einmaliges Passwort eingeben, das er von der Google Authenticator-App erhält (die Anwendung generiert ständig ein neues Passwort). Wenn ein RAS-Administrator einen Benutzer zurücksetzt (siehe Feldbeschreibung Benutzer zurücksetzen am Anfang dieses Abschnitts), muss der Benutzer den oben beschriebenen Registrierungsvorgang wiederholen.
Um die Multi-Faktor-Authentifizierung (MFA) zu konfigurieren, navigieren Sie zu Site-Einstellungen > Verbindung > Multi-Faktor-Authentifizierung.
Wenn die Multifaktor-Authentifizierung verwendet wird, müssen die Benutzer in zwei aufeinanderfolgenden Phasen authentifiziert werden, um Zugriff auf die Liste der Anwendungen zu erhalten: Native Authentifizierung (Active Directory / LDAP) und eine der folgenden MFA:
Azure MFA (RADIUS)
Duo (RADIUS)
FortiAuthenticator (RADIUS)
TekRADIUS
RADIUS
TOTP
Microsoft Authenticator
TOTP (Einmalpasswort)
Deepnet
SafeNet
Bitte beachten Sie, dass das RAS-Verwaltungsportal zum Zeitpunkt der Erstellung dieses Dokuments nur verwendet werden kann, um RADIUS oder TOTP MFA-Anbieter hinzuzufügen und zu konfigurieren. Um andere Anbieter zu konfigurieren, müssen Sie die Desktop-basierte Parallels RAS-Konsole verwenden.
RADIUS MFA-Anbieter hinzufügen:
Navigieren Sie zu Site-Einstellungen > Verbindung > Multi-Faktor-Authentifizierung.
Klicken Sie auf das Plus-Symbol und wählen Sie dann den Anbieter aus, den Sie hinzufügen möchten.
Geben Sie Folgendes an:
Name: Name des Anbieters.
Beschreibung: Beschreibung des Anbieters.
Wählen Sie in der Tabelle Design die Designs aus, die diesen MFA-Anbieter verwenden sollen.
Klicken Sie auf Weiter.
Geben Sie Folgendes an:
Anzeigename: Geben Sie den Namen des Verbindungstyps ein, der auf dem Anmeldebildschirm auf dem Client angezeigt wird. Dies sollte der Name sein, den Ihre Benutzer eindeutig verstehen.
Primärer Server und Sekundärer Server: Mit diesem beiden Feldern können Sie angeben, ob in der Konfiguration ein oder zwei RADIUS-Server enthalten sein sollen. Wenn Sie zwei Server angeben, können Sie Hochverfügbarkeit für RADIUS-Hosts konfigurieren (siehe unten). Geben Sie einen Server ein, indem Sie seinen Hostnamen oder die IP-Adresse eingeben oder klicken Sie auf die Schaltfläche [...], um einen Server über Active Directory auszuwählen.
Wenn zwei RADIUS-Server angegeben sind, wählen Sie aus der Dropdownliste HA-Modus einen der folgenden Hochverfügbarkeitsmodi aus. Aktiv-aktiv (parallel) bedeutet, dass der Befehl an beide Server zugleich geschickt wird. Es wird der verwendet, der zuerst antwortet. Aktiv-passiv (Failover) bedeutet, dass Failover und Zeitlimit verdoppelt werden und Parallels RAS auf Antwort beider Hosts wartet.
HA-Modus: Weitere Informationen finden Sie unter Primärer Server und Sekundärer Server oben: Wenn nur der Primäre Server angegeben ist, ist dieses Feld deaktiviert.
Port: Geben Sie die Portnummer für den RADIUS-Server ein. Klicken Sie auf die Schaltfläche Standard, um den Standardwert zu verwenden.
Zeitlimit: Geben Sie das Zeitlimit für das Paket in Sekunden an.
Erneute Versuche: Geben Sie die Anzahl der erneuten Versuche für die Herstellung einer Verbindung an.
Geheimer Schlüssel: Geben Sie den geheimen Schlüssel ein.
Passwortverschlüsselung: Wählen Sie PAP (Password Authentication Protocol) oder CHAP (Challenge Handshake Authentication Protocol), je nach den Einstellungen auf Ihrem RADIUS-Server.
Eingabeaufforderung: Geben Sie den Text an, den der Benutzer sieht, wenn er zu einem OTP-Dialog aufgefordert wird.
Benutzernamen nur an RADIUS-Server weiterleiten: Wählen Sie ggf. diese Option.
Leiten Sie das erste Passwort an den Windows-Authentifizierungsanbieter weiter: Wählen Sie diese Option, um eine zweimalige Aufforderung zur Eingabe des Passworts (RADIUS und Windows AD) zu vermeiden. Beachten Sie, dass diese Option für den Azure MFA-Server immer aktiviert ist und nicht ausgeschaltet werden kann.
Klicken Sie zum Abschluss auf Erstellen.
Einen RADIUS MFA-Anbieter konfigurieren:
Navigieren Sie zu Site-Einstellungen > Verbindung > Multi-Faktor-Authentifizierung.
Doppelklicken Sie auf den Anbieter, den Sie konfigurieren möchten.
Klicken Sie auf die Schaltfläche Bearbeiten.
Folgende Kategorien können konfiguriert werden:
Kategorien Algemein und Verbindung: Siehe oben.
Attribute: Weitere Informationen finden Sie unter https://docs.parallels.com/parallels-ras-administrators-guide-19/parallels-ras-19-administrators-guide/connection-and-authentication-settings/multi-factor-authentication/using-radius/attributes.
Hinweis: Einmal erstellte Attribute können im RAS-Verwaltungsportal nicht mehr bearbeitet werden. Um Attribute zu bearbeiten, verwenden Sie die desktopbasierte Parallels RAS-Konsole.
Automatisierung: Weitere Informationen finden Sie unter https://docs.parallels.com/parallels-ras-administrators-guide-19/parallels-ras-19-administrators-guide/connection-and-authentication-settings/multi-factor-authentication/using-radius/automation.
Beschränkungen: Weitere Informationen finden Sie unter MFA-Regeln konfigurieren.
Klicken Sie zum Abschluss auf Speichern.