Eine Schritt-für-Schritt-Anleitung zur Durchsetzung erweiterter Zugriffsrichtlinien (XAP) mit OneIdP

Wie kann man risikoreiche Sessions beenden, ohne die Produktivität zu beeinträchtigen?
Das ist die Herausforderung, vor der die meisten IT- und Sicherheitsteams stehen, wenn die Arbeit außerhalb kontrollierter Büronetzwerke stattfindet. Geräte, Benutzer und Verbindungen ändern sich ständig, wodurch herkömmliche Zugriffskontrollen entweder zu starr oder zu lax sind.

Hier kommen erweiterte Zugriffsrichtlinien (XAP) ins Spiel. Sie fügen eine adaptive Sicherheitsebene hinzu, die Benutzer-, Geräte- und Umgebungskontext prüft, bevor Zugriff gewährt oder aufrechterhalten wird. Durch die kontinuierliche Überprüfung von Sicherheitsstatus und Risiko gewährleistet XAP die Sicherheit von Sitzungen – nicht nur beim Anmelden, sondern während ihres gesamten Lebenszyklus.

Dieser Leitfaden erklärt Ihnen, was XAP ist, warum es für eine Zero-Trust-Umgebung unerlässlich ist und wie Sie es mit Scalefusion OneIdP einfach konfigurieren können. Er richtet sich an Identity Engineers, Sicherheitsarchitekten und IT-Administratoren, die von statischen Regeln zu intelligenteren, kontextbezogenen Zugriffssteuerungen übergehen möchten.

Was sind erweiterte Zugriffsrichtlinien (XAP)?

Richtlinien für erweiterten Zugriff Es handelt sich um intelligente, kontextbezogene Zugriffskontrollen, die über die Basisauthentifizierung hinausgehen. Anstatt den Zugriff ausschließlich auf Basis von Anmeldeinformationen zu gewähren, wertet XAP eine Kombination von Faktoren aus, wie zum Beispiel:

• Benutzeridentität und Rolle
• Gerätehaltung (installierte Sicherheitstools, Betriebssystemversion, Verschlüsselungsstatus)
• Netzwerk- und Standortkontext
• Verhaltenssignale (ungewöhnliche Zugriffszeiten, unmögliche Reise oder neues Gerät)

Im Gegensatz zu einmaligen Verifizierungsmethoden führt XAP kontinuierliche Prüfungen während der Sitzungen durch. Dies passt perfekt zu Zero-Trust-Prinzipien - vertraue niemals, verifiziere immerDadurch wird sichergestellt, dass der Zugriff nur so lange gültig bleibt, wie die Risikosignale innerhalb akzeptabler Grenzen bleiben.

Warum sind erweiterte Zugriffsrichtlinien wichtig?

Statische Zugriffsrichtlinien wurden für eine Welt entwickelt, in der Benutzer in Firmenbüros an verwalteten Geräten arbeiteten. Diese Welt existiert nicht mehr. Heute melden sich Benutzer von Flughäfen, Heimnetzwerken, Coworking-Spaces und öffentlichen Cafés aus an – allesamt mit unterschiedlichen Risikoprofilen.

Erweiterte Zugriffsrichtlinien (XAP) unterstützen Unternehmen bei der Anpassung an diese dynamische Umgebung, indem sie Authentifizierungsentscheidungen intelligenter gestalten. Stellen Sie sich beispielsweise einen Mitarbeiter vor, der sich über das öffentliche WLAN eines Cafés mit dem Internet verbindet. Alles scheint in Ordnung, bis das System feststellt, dass das Gerät keinen Endpunktschutz bietet oder sich ungewöhnlich verhält. Anstatt uneingeschränkten Zugriff zu gewähren, kann XAP zusätzliche Überprüfungen auslösen oder den Sitzungsbereich automatisch einschränken.

Ein reales Szenario könnte folgendermaßen aussehen:

• Fernmitarbeiter verbindet sich über öffentliches WLAN
• Dem Gerät fehlen Sicherheitsfunktionen
• Verhaltensanomalie festgestellt
• Die zusätzliche Multi-Faktor-Authentifizierung wurde automatisch ausgelöst.

XAP basiert nicht auf festen Annahmen über Netzwerke oder Standorte. Es bewertet kontinuierlich Status und Kontext und hilft Unternehmen so, sowohl Produktivität als auch hohe Sicherheit zu gewährleisten.

Wie funktionieren erweiterte Zugriffsrichtlinien (XAP)?

Hier ein allgemeiner Überblick über den Ablauf:

Richtliniendefinition
Ein Administrator definiert Zugriffsbedingungen im Scalefusion-Portal mithilfe des XAP-Konfigurationsassistenten. Diese Bedingungen können den Compliance-Status, Betriebssystem-Updates und -Patches, die IP-Adresse, den Gerätestandort, installierte Anwendungen und andere Kontextinformationen umfassen.

Echtzeit-Auswertung
Scalefusion wertet diese Bedingungen in Echtzeit mithilfe seiner integrierten Regel-Engine aus und überwacht kontinuierlich den Gerätestatus und den Benutzerkontext anhand der definierten Richtlinien.

Signalübertragung an OneIdP
Basierend auf der Auswertung sendet Scalefusion ein Konformitätssignal an OneIdP, das angibt, ob das Gerät und der Benutzer die definierten Zugriffskriterien erfüllen.

Zugriffsdurchsetzung durch OneIdP
OneIdP nutzt dieses Konformitätssignal, um:

• Zugriff auf SSO-integrierte Dienste zulassen oder blockieren
  
• Automatische Abmeldung von Benutzern von Geräten, die die Compliance-Anforderungen nicht mehr erfüllen
  
• Protokolle und Prüfdaten für zukünftige Analysen und Compliance-Berichte speichern

Diese kontinuierliche Schleife zwischen Scalefusion und OneIdP stellt sicher, dass jede Zugriffsanfrage durch Echtzeitkontext validiert wird, wodurch Organisationen die Durchsetzung von Zero Trust ohne manuelles Eingreifen gewährleisten können.

Wie richte ich XAP in OneIdP ein?

Sie können erweiterte Zugriffsrichtlinien direkt in Scalefusion OneIdP unter Verwendung seiner integrierten Zero-Trust- und posture-basierten Zugriffssteuerung.

Folge diesen Schritten:

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass diese auf dem Gerät konfiguriert sind. Scalefusion-Dashboard:

• Benutzergruppen werden erstellt.
• SSO ist für die erforderlichen Anwendungen konfiguriert.
• Veltar > Compliance ist eingerichtet.
• Betriebssystemaktualisierungen und Patch-Management konfiguriert ist.

Schritt 1: Konfiguration erstellen

So erstellen oder bearbeiten Sie eine Konfiguration für eine erweiterte Zugriffsrichtlinie (XAP),

1. Navigieren Sie im Scalefusion-Dashboard zu OneIdP > Erweiterte Zugriffsrichtlinien > Zugriffsrichtlinien
   
2. Klicken Sie auf Konfiguration erstellen um den XAP-Assistenten zu öffnen.

3. Geben Sie einen Namen für Ihre Konfiguration ein.

4. Konfigurieren Sie die folgenden Registerkarten:

• Konformität und Sicherheit – Zugriffsrechte basierend auf Veltar-Konformität, Risikostufe oder ausstehenden Betriebssystem-Updates und Patches festlegen.
  
• Standort – Den Zugriff für verwaltete und nicht verwaltete Geräte mithilfe von Geofencing-basierten Regeln einschränken oder zulassen.
  
• IP Address – Anmeldungen nur aus bestimmten IP-Bereichen (öffentlich oder privat) zulassen.
  
• Bewerbungsstatus – Erfordert die Installation bestimmter Apps (und Versionen) für den Zugriff.
  
• Allgemein – Geräte mit Root-Zugriff/Jailbreak blockieren, Domänenbeitrittsprüfungen erzwingen und festlegen, wie mit nicht konformen Geräten umgegangen wird.

5 Klicken Konfiguration speichern wenn fertig.

1. Compliance- und Sicherheitseinstellungen

1. Gehen Sie zur Konformität und Sicherheit Registerkarte im XAP-Assistenten.
   
2. Zugriff konfigurieren basierend auf Veltar-Konformität , Status der Betriebssystemaktualisierung.
   
3. Wählen Sie aus, wie der Zugriff kontrolliert werden soll:
   
   • Basierend auf dem Risikostatus – Geräte mit ausgewählten Risikostufen zulassen (Niedrig, Mittel).
     
   • Basierend auf dem Konformitätsprozentsatz – Legen Sie den für den Zugang erforderlichen Mindest-Konformitätsprozentsatz (50–100 %) fest.
     
   • Nur wenn als konform gekennzeichnet – Gewähren Sie nur Geräten Zugriff, die als konform gekennzeichnet sind.
     
   • Wenn die Einhaltung nicht gemeldet wird – Optional kann der Zugriff auch für Geräte ermöglicht werden, die die Konformität noch nicht gemeldet haben (z. B. während der Ersteinrichtung oder im Offline-Modus).
     
4. Klicken Sie auf Gespeichert nach Auswahl der gewünschten Compliance-Regeln.

2. Zugriffskontrolle für Betriebssystem-Updates und Patches

3. Standorteinstellungen

1. Gehen Sie zur Standort Registerkarte zum Einrichten standortbasierter Zugriffsregeln Geofences.
   
2. Stellen Sie sicher, dass die Geofence wird auf verwalteten Geräten veröffentlicht, bevor die XAP-Richtlinie angewendet wird.
   
3. Wählen Sie aus, wie die Standortsteuerung funktionieren soll:
   
   • Basierend auf Geofencing-Ereignissen (verwaltete Geräte) – Zugriff erlauben oder einschränken, wenn sich ein verwaltetes Gerät innerhalb oder außerhalb eines Geofence bewegt. Sie können dies anwenden für Android, iOS / iPadOS, macOS und Windows.
     
   • Basierend auf Geofencing (nicht verwaltete Geräte) – Browser-Logins auf nicht verwalteten Geräten können mithilfe ausgewählter Geofences über das Dashboard gesteuert werden.
     
4. Klicken Sie auf Gespeichert Sobald Sie die gewünschten Regeln festgelegt haben.

4. IP-Adresseinstellungen

1. Gehen Sie zur IP Address Registerkarte zum Einrichten von Zugriffskontrollen basierend auf IP-Bereichen.
   
2. Wählen Sie aus, wie Sie IP-basierte Beschränkungen anwenden möchten:
   
   • Für verwaltete Geräte – Zugriff nur von bestimmten Quellen zulassen öffentliche oder private IP-Bereiche für Scalefusion-verwaltete Geräte.
     
   • Für nicht verwaltete Geräte – Browseranmeldungen auf ausgewählte beschränken öffentliche IP-Bereiche nur.
     
3. Verwenden Sie die IP-Adresstabelle um zulässige IP-Bereiche hinzuzufügen und zu definieren.

Durch einen Klick auf Bereich hinzufügen Sie können bei Bedarf mehrere IP-Bereiche hinzufügen, um verschiedene Netzwerksegmente abzudecken.

5. Anwendungsstatus-Einstellungen

1. Gehen Sie zur Bewerbungsstatus Über diese Registerkarte können Sie Regeln basierend auf installierten Apps und deren Versionen festlegen.
   
2. Ermöglichen Zugriff basierend auf dem Installationsstatus und der Version der Anwendung gewähren.
   
3. Legen Sie fest, welche Apps auf einem Gerät installiert sein müssen, um den Zugriff zu ermöglichen, und legen Sie optional fest, ob Mindestversion für jede App.
   
4. Verwenden Sie die Anwendungstabelle Diese Regeln für verschiedene Betriebssysteme hinzuzufügen und zu verwalten.

Klicken Sie ebenso auf App hinzufügen Oben rechts können Sie mehrere Apps für verschiedene Betriebssysteme hinzufügen.

6. Allgemeine Einstellungen

1. Gehen Sie zur Allgemein Registerkarte im Assistenten für erweiterte Zugriffsrichtlinien, um zusätzliche Zugriffsregeln und Ausweichoptionen zu konfigurieren.
   
2. Zugriff sperren, wenn das Gerät einen Jailbreak oder Root-Zugriff hat oder die Attestierung fehlschlägt
   
   • Verhindert den Zugriff von Geräten, die einen Jailbreak (iOS) oder Root-Zugriff (Android) haben oder die Attestierungsprüfungen nicht bestehen.
     
   • Gilt für: Android, iOS, macOS
     
3. Zugriff nur zulassen, wenn die Geräte in die Domäne eingebunden sind.
   
   • Gewährt nur Zugriff auf Geräte, die der Domäne beigetreten sind.
     
   • Gilt für: Windows
     
4. Wählen Sie die Option „Nicht konforme Behandlung“ für Scalefusion-verwaltete Geräte.
   
   • Entscheiden Sie, wie der Zugriff für als nicht konform gekennzeichnete Geräte gehandhabt werden soll:
     
     • Ermöglichen Sie es Benutzern, selbstbehebbare Compliance-Probleme zu beheben. – Die Nutzer werden aufgefordert, die Probleme selbst zu beheben.

• Details anzeigen: Zeigt alle fehlgeschlagenen Regelzusammenfassungen an.
  
• Jetzt scannen: Löst umgehend einen Compliance-Scan auf Desktop-Geräten aus.
  
• Update: Beginnt mit der Installation ausstehender Betriebssystemaktualisierungen.
  
• Falls ausstehende Betriebssystem-Updates oder Patches erkannt werden, erscheint eine separate Meldung.

• Zeigen Sie die in SSO konfigurierte Meldung „Zugriff verweigert“ an. – Blockiert den Zugriff und zeigt die in Ihrer SSO-Konfiguration definierte Meldung an.

Schritt 2: Konfiguration veröffentlichen

1. Nach der Erstellung der Konfiguration wird diese unter folgendem Menüpunkt angezeigt: Zugriffsrichtlinien Tab.
   
2. Klicken Sie auf die Veröffentlichen Symbol neben der Konfiguration.
   
3. Wählen Sie im Popup-Fenster die Option aus. Benutzergruppe(n) dort, wo Sie die Konfiguration anwenden möchten.
   
4. Klicken Sie auf Veröffentlichen um den Prozess abzuschließen.

Zusätzliche Aktionen

Sie können Ihre bestehenden Konfigurationen mit den folgenden Optionen verwalten:

• Unveröffentlicht – Entfernen Sie die Richtlinie für erweiterten Zugriff aus den Benutzergruppen, auf die sie angewendet wird.
  
• Bearbeiten – Passen Sie die Konfigurationseinstellungen nach Bedarf an.
  
• Löschen – Die Konfiguration und die zugehörigen Konformitätsdatensätze von allen verbundenen Geräten dauerhaft entfernen.

Endbenutzererfahrung

Wenn sich Benutzer auf einem Gerät mit einem Richtlinie für erweiterten Zugriff (XAP) Wenn sie sich bewerben, werden sie sehen Konformitätsprüfungsbildschirm beim Login.

Dieser Bildschirm erscheint, wenn Richtlinien wie z. B. Veltar-Konformität, IP-Einschränkungenden Anwendungsanforderungen sind aktiv.

Nutzen Sie die kontextbezogene Authentifizierung mit den XAP-Funktionen von Scalefusion OneIdP.

Eine starke, kontextbezogene Zugriffssicherheit ist in der heutigen verteilten Arbeitsumgebung unerlässlich. Traditionelle, netzwerk- oder standortbasierte Zugriffskontrollen können mit hybriden und ortsunabhängigen Arbeitsmustern nicht mehr mithalten. Unternehmen benötigen Transparenz über die Zugriffssicherheit. WER Zugriff auf Ressourcen wovon und unter welchen Bedingungen.

Genau das ist es Erweiterte Zugriffsrichtlinien (XAP) von Scalefusion OneIdP liefern.
Durch die Kombination von Gerätepositionssignalen von Scalefusion mit dem Identitätskontext in OneIdP erhalten Organisationen eine einheitliche Zugriffskontrollschicht, die Folgendes ermöglicht:

• Verringert das Risiko durch riskante Sitzungen
• Stellt sicher, dass sich nur kompatible, sichere Geräte verbinden können.
• Erkennt und reagiert sofort auf Anomalien.
• Stärkt die Grundlage eines Zero-Trust-Frameworks

Mit OneIdPZugriffsentscheidungen werden intelligenter, schneller und zuverlässiger – das gibt IT-Teams die Sicherheit, die sie benötigen, um die Sicherheit durchzusetzen, ohne den Geschäftsbetrieb zu verlangsamen.