Zum Inhalt

Ressourcen hinzufügen

Jetzt fügen Sie die Ressourcen (Anwendungen und Webseiten) hinzu, auf die Benutzer über das Gateway zugreifen.

Wenn Sie eine Ressource hinzufügen, die den Benutzer nach der Authentifizierung zu einer anderen URL umleitet oder die mit anderen Ressourcen verknüpft ist, fügen Sie diese Ressourcen ebenfalls hinzu. Wenn Sie beispielsweise „wiki.mycompany.net“ und die Wiki-Links zu jira-Tickets hinzufügen, fügen Sie „jira.mycompany.net“ hinzu

Um Schritt-für-Schritt-Anleitungen für lokale Gateways und Sophos Cloud Gateways zu erhalten, klicken Sie unten auf die Registerkarte für Ihren Bereitstellungstyp.

Um Ressourcen hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu Zero Trust Network Access > Ressourcen und Zugriff und klicken Sie auf Ressource hinzufügen.

    Screenshot der Seite „Ressourcen“

  2. Verfahren Sie unter Ressource hinzuzufügen wie folgt:

    1. Geben Sie einen Namen und eine Beschreibung für die Ressource ein.
    2. Stellen Sie sicher, dass die Option Ressource im Benutzerportal anzeigen ausgewählt ist.

    Screenshot des Dialogfelds „Ressource hinzufügen“

  3. Geben Sie den Zugriffstyp und die Ressourcendetails wie folgt an:

    1. Wählen Sie ein Gateway aus.
    2. Wählen Sie unter Zugriffsmethode die Option Agent, um mit dem ZTNA-Agenten auf die Ressource zuzugreifen, oder Agentenlos, um ohne Agenten auf die Ressource zuzugreifen. Wählen Sie auch die anzuwendende Richtlinie aus.
    3. Wählen Sie die Ressourcentyp ein (zum Beispiel Web-Anwendung).
    4. Geben Sie externen FQDN und interne FQDN/IP-Adresse der Ressource sowie den Porttyp und die Portnummer (zum Beispiel HTTPS und Port 443 für eine Web-Anwendung) ein.

      Warnung

      Wenn Sie agentenlosen Zugriff ausgewählt haben, muss der externe FQDN öffentlich verfügbar sein. Wenn Sie Zugriff mit Agenten ausgewählt haben, muss der externe FQDN öffentlich verfügbar sein.

    Wenn Sie über ein AWS-Gateway verfügen, legen Sie den internen FQDN wie folgt fest:

    • Wenn die Anwendung auf der EC2-Instanz in einem anderen VPC gehostet wird, konfigurieren Sie den privaten IP für EC2.

    • Wenn die Anwendung über einen benutzerdefinierten DNS-Domänennamen verfügt, konfigurieren Sie die private gehostete Zone. Siehe Private gehostete Zonen.

    Screenshot der Zugriffs- und Ressourceneinstellungen

  4. Wählen Sie unter Benutzergruppen zuweisen die verfügbaren Gruppen aus, die Zugriff auf die Ressource benötigen. Verschieben Sie sie in zugewiesene Benutzergruppen und wählen Sie sie aus.

    Screenshot der Liste der Benutzergruppeneinstellungen

    Hinweis

    Wenn Sie den Namen einer zugewiesenen Azure AD-Benutzergruppe später ändern, wird die Liste nicht aktualisiert. Benutzer können nicht auf die Anwendung zugreifen und Sie müssen die Gruppe erneut zuweisen.

  5. Klicken Sie auf Speichern.

  6. Überprüfen Sie, ob Sie auf die hinzugefügte Anwendung zugreifen können.

    Sie können das SSL-Zertifikat überprüfen und sicherstellen, dass es dasselbe Wildcard-Zertifikat ist, das auf das Gateway hochgeladen wurde.

  7. Wiederholen Sie die obigen Schritte für alle anderen Ressourcen, zu denen diese Ressource den Benutzer weiterleiten könnte.

Um Ressourcen hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu Zero Trust Network Access > Ressourcen und Zugriff und klicken Sie auf Ressource hinzufügen.

    Screenshot der Seite „Ressourcen“

  2. Verfahren Sie unter Ressource hinzuzufügen wie folgt:

    1. Geben Sie einen Namen und eine Beschreibung für die Ressource ein.
    2. Stellen Sie sicher, dass die Option Ressource im Benutzerportal anzeigen ausgewählt ist.

    Screenshot des Dialogfelds „Ressource hinzufügen“

  3. Geben Sie den Zugriffstyp und die Ressourcendetails wie folgt an:

    1. Wählen Sie ein Gateway aus.
    2. Wählen Sie unter Zugriffsmethode die Option Agent, um mit dem ZTNA-Agenten auf die Ressource zuzugreifen, oder Agentenlos, um ohne Agenten auf die Ressource zuzugreifen. Wählen Sie auch die anzuwendende Richtlinie aus.
    3. Wählen Sie die Ressourcentyp ein (zum Beispiel Web-Anwendung).
    4. Geben Sie externen FQDN und interne FQDN/IP-Adresse der Ressource sowie den Porttyp und die Portnummer (zum Beispiel HTTPS und Port 443 für eine Web-Anwendung) ein.

      Warnung

      Wenn Sie agentenlosen Zugriff ausgewählt haben, muss der externe FQDN öffentlich verfügbar sein. Wenn Sie Zugriff mit Agenten ausgewählt haben, muss der externe FQDN öffentlich verfügbar sein.

  4. Wählen Sie unter Benutzergruppen zuweisen die verfügbaren Gruppen aus, die Zugriff auf die Ressource benötigen. Verschieben Sie sie in zugewiesene Benutzergruppen und wählen Sie sie aus.

    Screenshot der Liste der Benutzergruppeneinstellungen

    Hinweis

    Wenn Sie den Namen einer zugewiesenen Azure AD-Benutzergruppe später ändern, wird die Liste nicht aktualisiert. Benutzer können nicht auf die Anwendung zugreifen und Sie müssen die Gruppe erneut zuweisen.

  5. Klicken Sie auf Speichern.

    Es wird ein Popup-Fenster Ressource hinzugefügt angezeigt, in dem die Alias-Domäne angezeigt wird.

  6. Stellen Sie sicher, dass die Alias-Domäne der Domäne entspricht, die beim Einrichten des Gateways generiert wurde.

    Hinweis

    Wenn Ihre Zugriffsmethode Agent lautet, wird die Alias-Domäne nicht generiert.

  7. Überprüfen Sie, ob Sie auf die hinzugefügte Anwendung zugreifen können.

    Sie können das SSL-Zertifikat überprüfen und sicherstellen, dass es dasselbe Wildcard-Zertifikat ist, das auf das Gateway hochgeladen wurde.

  8. Wiederholen Sie die obigen Schritte für alle anderen Ressourcen, zu denen diese Ressource den Benutzer weiterleiten könnte.

DNS entries

Die DNS-Einträge, die für agentenlose und agentenbasierte Ressourcen erforderlich sind, sind unterschiedlich.

Agentenlose Ressourcen

  • Wenn Sie einen FQDN für das Sophos Cloud Gateway hinzufügen, wird eine Gateway-Alias-Domäne generiert. Sie müssen diese als CNAME-Datensatz auf Ihrem öffentlichen DNS-Server hinzufügen.

  • Wenn Sie einen FQDN für die Ressource hinzufügen, wird eine Ressourcen-Alias-Domäne generiert. Sie müssen diese als CNAME-Datensatz auf Ihrem öffentlichen DNS-Server hinzufügen.

Wenn Sie über ihren FQDN auf eine Ressource zugreifen, werden Sie zur Alias-Domäne umgeleitet.

Agentenbasierte Ressourcen

  • Wenn Sie einen FQDN für das Sophos Cloud Gateway hinzufügen, wird eine Gateway-Alias-Domäne generiert. Sie müssen diese als CNAME-Datensatz auf Ihrem öffentlichen DNS-Server hinzufügen.

  • Für agentenbasierte Ressourcen wird keine Alias-Domäne generiert. Daher sollten Sie keine CNAME-Datensätze für Ressourcen hinzufügen.

  • Fügen Sie keine DNS-Einträge mit Platzhaltern hinzu.