Sie konfigurieren den Benutzerauthentifizierungsdienst im Workspace ONE Access Connector für die Verwendung der Connector-basierten RADIUS-Authentifizierungsmethode (Cloud-Bereitstellung), wenn sich Benutzer bei Workspace ONE anmelden. Sie aktivieren die RADIUS-Authentifizierungsmethode und konfigurieren die RADIUS-Einstellungen in der Workspace ONE Access-Konsole.

Voraussetzungen

  • Installieren und konfigurieren Sie die RADIUS-Software auf einem Authentifizierungsmanager-Server. Da RADIUS-Zwei-Faktor-Authentifizierungslösungen mit Authentifizierungsmanagern arbeiten, die auf separaten Servern installiert sind, muss der RADIUS-Server konfiguriert und für den Workspace ONE Access-Dienst zugänglich sein. Folgen Sie der Konfigurationsdokumentation des Lieferanten für die RADIUS-Authentifizierung.

    Die folgenden RADIUS-Serverinformationen sind erforderlich, um RADIUS für den Workspace ONE Access-Dienst zu konfigurieren.

    • IP-Adresse oder DNS-Name des RADIUS-Servers.
    • Portnummern der Authentifizierung. Der Authentifizierungsport ist normalerweise 1812.
    • Authentifizierungstyp. Zu den Authentifizierungstypen zählen PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, Version 1 und 2).
    • Der gemeinsame geheime Schlüssel von RADIUS, der für die Verschlüsselung und Entschlüsselung in RADIUS-Protokollmeldungen verwendet wird.
    • Spezielle Zeitüberschreitungs- und Wiederholungswerte, die für die RADIUS-Authentifizierung erforderlich sind.
  • Der Benutzerauthentifizierungsdienst wird als Komponente des Workspace ONE Access Connector installiert.

Prozedur

  1. Klicken Sie in der Workspace ONE Access-Konsole auf der Seite Integrationen > Methode für Konnektor-Authentifizierung auf NEU und wählen Sie RADIUS (Cloud-Bereitstellung) aus.
  2. Um mit dieser Authentifizierungsmethode zu konfigurieren, wählen Sie das Verzeichnis und den Diensthost aus und klicken Sie auf WEITER.
  3. Konfigurieren Sie die Einstellungen für die RADIUS-Authentifizierungsmethode.
    Option Aktion
    Anzahl der zulässigen Authentifizierungsversuche Geben Sie die maximale Anzahl fehlgeschlagener Anmeldeversuche ein, bei denen Sie RADIUS für die Anmeldung verwendet haben. Die Standardeinstellung ist fünf Versuche.
    Kennphrasenhinweis der Anmeldeseite Geben Sie den Textstring ein, der in der Meldung auf der Anmeldeseite des Benutzers angezeigt werden soll und die Benutzer auffordert, die richtige RADIUS-Kennung einzugeben. Der Standardtextstring ist RADIUS-Kennung. Die Standardmeldung lautet Geben Sie die RADIUS-Kennung ein.
    Benutzerdefinierter Hinweis auf die Passphrase für die Anmeldeseite Wenn Sie in diesem Textfeld einen benutzerdefinierten Hinweis auf die Passphrase eingeben, wird dieser Hinweis als Meldung auf der Benutzeranmeldeseite anstelle des Hinweises auf die Passphrase zur Anmeldung angezeigt. Wenn dieses Textfeld z. B. mit Geben Sie zuerst Ihr AD-Kennwort und dann die SMS-Kennung ein konfiguriert ist, lautet die Meldung auf der Anmeldeseite Geben Sie zuerst Ihr AD-Kennwort und dann die SMS-Kennung ein..
    Direkte Authentifizierung bei RADIUS-Server aktivieren Ändern Sie NEIN in JA, um die direkte Benutzerauthentifizierung zu aktivieren. Benutzer müssen ihre Zugangsdaten nicht erneut eingeben. In diesem Fall wird derselbe Benutzername für das Kennwort verwendet.

    Aktivieren Sie diese Option nur, wenn Access-Challenge im RADIUS-Server konfiguriert ist.

    Um die direkte Authentifizierung beim RADIUS-Server zu verwenden, muss der Benutzername auf dem RADIUS-Server und in Active Directory auf dieselbe Weise konfiguriert werden. Beachten Sie, dass z. B. der Benutzername JSmith in Active Directory nicht mit jsmith im RADIUS-Server übereinstimmt.
    Anzahl der Versuche für den RADIUS-Server Geben Sie die Gesamtanzahl der Wiederholungsversuche ein. Wenn der primäre Server nicht antwortet, wartet der Dienst die konfigurierte Zeit, bevor er es erneut versucht.
    Server-Timeout in Sekunden

    Geben Sie den Timeout des RADIUS-Servers in Sekunden ein, nach dem eine Wiederholung gesendet wird, wenn der RADIUS-Server nicht antwortet.

    Hostname/-adresse des RADIUS-Servers (Optional) Geben Sie den Hostnamen oder die IP-Adresse des RADIUS-Servers ein.
    Authentifizierungsport Geben Sie die Portnummer für die RADIUS-Authentifizierung ein. Dies ist normalerweise Port 1812.
    Accounting-Port Geben Sie für die Portnummer 0 ein. Der Accounting-Port wird derzeit nicht verwendet.
    Authentifizierungstyp Geben Sie das vom RADIUS-Server unterstützte Authentifizierungsprotokoll ein. Entweder PAP, CHAP, MSCHAP1 ODER MSCHAP2.
    Gemeinsamer geheimer Schlüssel Geben Sie den gemeinsamen geheimen Schlüssel ein, der zwischen dem RADIUS-Server und dem Workspace ONE Access-Dienst verwendet wird.
    Bereichspräfix (Optional) Die Position des Benutzerkontos wird „Realm“ genannt. Geben Sie das zu verwendende Bereichspräfix ein.

    Wenn Sie einen Bereichspräfix-String eingeben, wird der String am Anfang des Benutzernamens platziert, wenn der Name an den RADIUS-Server gesendet wird. Wenn der Benutzername beispielsweise mit „jdoe“ angegeben wird und das Realm-Präfix DOMAIN-A\ angegeben wird, wird der Benutzername DOMAIN-A\jdoe an den RADIUS-Server gesendet. Wenn Sie diese Bereichstextfelder nicht konfigurieren, wird nur der eingegebene Benutzername gesendet.

    Bereichssuffix (Optional) Wenn Sie ein Bereichssuffix angeben, wird dieser String am Ende des Benutzernamens platziert. Wenn das Suffix z. B. @myco.com ist, wird der Benutzername [email protected] an den RADIUS-Server gesendet.
    Grundlegende MSCHAPv2-Validierung aktivieren Ändern Sie NEIN in JA, um die grundlegende MS-CHAPv2-Validierung zu aktivieren. Wenn diese Option auf JA festgelegt ist, wird die zusätzliche Validierung der Antwort vom RADIUS-Server übersprungen. Standardmäßig wird die vollständige Validierung durchgeführt.
  4. Sie können für die Hochverfügbarkeit einen zweiten RADIUS-Server aktivieren.
    Konfigurieren Sie den sekundären Server wie in Schritt 4 beschrieben.
  5. Klicken Sie auf WEITER, um die Konfiguration zu überprüfen, und klicken Sie dann auf SPEICHERN.
    Screenshot der Seite „Serverkonfiguration“

Nächste Maßnahme

Fügen Sie auf der Konfigurationsseite des integrierten Identitätsanbieters RADIUS als Authentifizierungsmethode hinzu.

Fügen Sie der Standardzugriffsrichtlinie die RADIUS-Authentifizierungsmethode hinzu. Wechseln Sie in der Konsole zur Seite Ressourcen > Richtlinien und bearbeiten Sie die Standardrichtlinienregeln, um der Regel die RADIUS-Authentifizierungsmethode hinzuzufügen. Siehe Verwalten von Zugriffsrichtlinien im Workspace ONE Access-Dienst.

Um Hochverfügbarkeit zu gewährleisten, weisen Sie diese RADIUS-Authentifizierungsmethode anderen registrierten Workspace ONE Access Connectors zu, auf denen die Benutzerauthentifizierungskomponente des Enterprise-Diensts installiert ist.