Zum Inhalt

Ressourcen hinzufügen

Jetzt fügen Sie die Ressourcen (Anwendungen und Webseiten) hinzu, auf die Benutzer über das Gateway zugreifen.

Wenn Sie eine Ressource hinzufügen, die den Benutzer nach der Authentifizierung zu einer anderen URL umleitet oder die mit anderen Ressourcen verknüpft ist, fügen Sie diese Ressourcen ebenfalls hinzu. Wenn Sie beispielsweise wiki.mycompany.net und die Wiki-Links zu jira-Tickets hinzufügen, fügen Sie jira.mycompany.net hinzu

Hinweis

Anweisungen zum Konfigurieren einer Ressource, auf die Benutzer über einen Windows-Domänencontroller zugreifen, wie z. B. Common Internet File System (CIFS), finden Sie unter Sophos ZTNA: Nicht nahtloser Zugriff auf Windows-Ressourcen.

Um Schritt-für-Schritt-Anleitungen für lokale Gateways und Sophos Cloud Gateways zu erhalten, klicken Sie unten auf die Registerkarte für Ihren Bereitstellungstyp.

Um Ressourcen hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu Meine Produkte > ZTNA > Ressourcen und Zugriff und klicken Sie auf Ressource hinzuzufügen.

    Seite „Ressourcen“.

  2. Verfahren Sie unter Ressource hinzuzufügen wie folgt:

    1. Geben Sie einen Namen und eine Beschreibung für die Ressource ein.
    2. Stellen Sie sicher, dass die Option Ressource im Benutzerportal anzeigen ausgewählt ist.

    Dialogfeld „Ressource hinzufügen“.

  3. Geben Sie den Zugriffstyp und die Ressourcendetails wie folgt an:

    1. Wählen Sie ein Gateway aus.
    2. Wählen Sie unter Zugriffsmethode die Option Agent, um mit dem ZTNA-Agenten auf die Ressource zuzugreifen, oder Agentenlos, um ohne Agenten auf die Ressource zuzugreifen. Wählen Sie auch die anzuwendende Richtlinie aus.
    3. Wählen Sie die Ressourcentyp ein (zum Beispiel Web-Anwendung).
    4. Geben Sie die Werte für Externer FQDN und Interner FQDN/IP-Adresse der Ressource ein.

      Warnung

      Wenn Sie agentenlosen Zugriff ausgewählt haben, muss der externe FQDN öffentlich verfügbar sein. Wenn Sie Zugriff mit Agenten ausgewählt haben, muss der externe FQDN öffentlich verfügbar sein.

      Hinweis

      Sie müssen keinen internen FQDN oder eine IP-Adresse hinzufügen. Wenn Sie das Feld Interner FQDN/IP-Adresse leer lassen, wird der externe FQDN automatisch hinzugefügt.

    5. Geben Sie Porttyp und Portnummer an (zum Beispiel für eine Web-App: HTTPS und Port 443).

      Sie können für den Zugriff auf eine Ressource bis zu 20 TCP- und UDP-Ports verwenden. Sie können einen durch Komma getrennten Portbereich hinzufügen. Beispiel: TCP 26-27, 20-24.

    6. Wenn Sie über ein AWS-Gateway verfügen, legen Sie den internen FQDN wie folgt fest:

      • Wenn die Anwendung auf der EC2-Instanz in einem anderen VPC gehostet wird, konfigurieren Sie den privaten IP für EC2.

      • Wenn die Anwendung über einen benutzerdefinierten DNS-Domänennamen verfügt, konfigurieren Sie die private gehostete Zone. Siehe Private gehostete Zonen.

      Zugriffs- und Ressourceneinstellungen.

  4. Wählen Sie unter Benutzergruppen zuweisen die verfügbaren Gruppen aus, die Zugriff auf die Ressource benötigen. Verschieben Sie sie in zugewiesene Benutzergruppen und wählen Sie sie aus.

    Benutzer-/Gruppeneinstellungen.

    Hinweis

    Wenn Sie den Namen einer zugewiesenen Microsoft Entra ID (Azure AD)-Benutzergruppe später ändern, wird die Liste nicht aktualisiert. Benutzer können nicht auf die Anwendung zugreifen und Sie müssen die Gruppe erneut zuweisen.

  5. Klicken Sie auf Speichern.

  6. Überprüfen Sie, ob Sie auf die hinzugefügte Anwendung zugreifen können.

    Sie können das SSL-Zertifikat überprüfen und sicherstellen, dass es dasselbe Wildcard-Zertifikat ist, das auf das Gateway hochgeladen wurde.

  7. Wiederholen Sie die obigen Schritte für alle anderen Ressourcen, zu denen diese Ressource den Benutzer weiterleiten könnte.

    Hinweis

    Um Ressourceninformationen zu bearbeiten oder zu entfernen, gehen Sie zu Ressourcen und Zugriff und klicken Sie auf den Namen der Ressource, um Ressourcendetails zu öffnen.

Um Ressourcen hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu Meine Produkte > ZTNA > Ressourcen und Zugriff und klicken Sie auf Ressource hinzuzufügen.

    Seite „Ressourcen“.

  2. Verfahren Sie unter Ressource hinzuzufügen wie folgt:

    1. Geben Sie einen Namen und eine Beschreibung für die Ressource ein.
    2. Stellen Sie sicher, dass die Option Ressource im Benutzerportal anzeigen ausgewählt ist.

    Dialogfeld „Ressource hinzufügen“.

  3. Geben Sie den Zugriffstyp und die Ressourcendetails wie folgt an:

    1. Wählen Sie ein Gateway aus.
    2. Wählen Sie unter Zugriffsmethode die Option Agent, um mit dem ZTNA-Agenten auf die Ressource zuzugreifen, oder Agentenlos, um ohne Agenten auf die Ressource zuzugreifen. Wählen Sie auch die anzuwendende Richtlinie aus.
    3. Wählen Sie die Ressourcentyp ein (zum Beispiel Web-Anwendung).

      ZTNA-Ressourcentypen.

    4. Geben Sie die Werte für Externer FQDN und Interner FQDN/IP-Adresse der Ressource ein.

      Warnung

      Wenn Sie agentenlosen Zugriff ausgewählt haben, muss der externe FQDN öffentlich verfügbar sein. Wenn Sie Zugriff mit Agenten ausgewählt haben, muss der externe FQDN öffentlich verfügbar sein.

    5. Geben Sie Porttyp und Portnummer an (zum Beispiel für eine Web-App: HTTPS und Port 443).

      Sie können für den Zugriff auf eine Ressource bis zu 20 TCP- und UDP-Ports verwenden. Sie können einen durch Komma getrennten Portbereich hinzufügen. Beispiel: TCP 26-27, 20-24.

  4. Wählen Sie unter Benutzergruppen zuweisen die verfügbaren Gruppen aus, die Zugriff auf die Ressource benötigen. Verschieben Sie sie in zugewiesene Benutzergruppen und wählen Sie sie aus.

    Benutzer-/Gruppeneinstellungen.

    Hinweis

    Wenn Sie den Namen einer zugewiesenen Microsoft Entra ID (Azure AD)-Benutzergruppe später ändern, wird die Liste nicht aktualisiert. Benutzer können nicht auf die Anwendung zugreifen und Sie müssen die Gruppe erneut zuweisen.

  5. Klicken Sie auf Speichern.

    Es wird ein Popup-Fenster Ressource hinzugefügt angezeigt, in dem die Alias-Domäne angezeigt wird.

  6. Stellen Sie sicher, dass die Alias-Domäne der Domäne entspricht, die beim Einrichten des Gateways generiert wurde.

    Hinweis

    Wenn Ihre Zugriffsmethode Agent lautet, wird die Alias-Domäne nicht generiert.

  7. Überprüfen Sie, ob Sie auf die hinzugefügte Anwendung zugreifen können.

    Sie können das SSL-Zertifikat überprüfen und sicherstellen, dass es dasselbe Wildcard-Zertifikat ist, das auf das Gateway hochgeladen wurde.

  8. Wiederholen Sie die obigen Schritte für alle anderen Ressourcen, zu denen diese Ressource den Benutzer weiterleiten könnte.

DNS entries

Die DNS-Einträge, die für agentenlose und agentenbasierte Ressourcen erforderlich sind, sind unterschiedlich.

Agentenlose Ressourcen

  • Wenn Sie einen FQDN für das Sophos Cloud Gateway hinzufügen, wird eine Gateway-Alias-Domäne generiert. Sie müssen diese als CNAME-Datensatz auf Ihrem öffentlichen DNS-Server hinzufügen.

  • Wenn Sie einen FQDN für die Ressource hinzufügen, wird eine Ressourcen-Alias-Domäne generiert. Sie müssen diese als CNAME-Datensatz auf Ihrem öffentlichen DNS-Server hinzufügen.

Wenn Sie über ihren FQDN auf eine Ressource zugreifen, werden Sie zur Alias-Domäne umgeleitet.

Agentenbasierte Ressourcen

  • Wenn Sie einen FQDN für das Sophos Cloud Gateway hinzufügen, wird eine Gateway-Alias-Domäne generiert. Sie müssen diese als CNAME-Datensatz auf Ihrem öffentlichen DNS-Server hinzufügen.

  • Für agentenbasierte Ressourcen wird keine Alias-Domäne generiert. Daher sollten Sie keine CNAME-Datensätze für Ressourcen hinzufügen.

  • Fügen Sie keine DNS-Einträge mit Platzhaltern hinzu.

IP-basierter Zugriff

Wenn ein Benutzer versucht, auf eine interne Ressource zuzugreifen, indem er seine IP-Adresse in den Browser eingibt, wechselt der Benutzer direkt zu der Ressource und umgeht ZTNA. Um sicherzustellen, dass Benutzer über FQDN auf die interne Ressource zugreifen, können Sie Firewallregeln hinzufügen.