Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID

Beschreibung:

LANCOM Trusted Access (LTA) ist die vertrauenswürdige Network Access Security-Lösung für Unternehmensnetzwerke. Es ermöglicht einen sicheren und skalierenden Zugriff auf Unternehmensanwendungen für Mitarbeitende im Büro, zuhause oder unterwegs und schützt damit modernes hybrides Arbeiten von überall und jederzeit.

Die LANCOM Trusted Access-Lösung passt sich an steigende Sicherheitsanforderungen in Ihrer Organisation an und ermöglicht sowohl Cloud-managed VPN-Client-Vernetzung für den Zugriff auf ganze Netze als auch den Umstieg auf eine Zero-Trust-Sicherheitsarchitektur für eine umfassende Netzwerksicherheit. Dabei erhalten Benutzer auf Basis granularer Zugriffsrechte ausschließlich Zugangsberechtigung auf Anwendungen, die ihnen zugewiesen wurden (Zero-Trust-Prinzip). Bestehende Systeme zur Verwaltung von Benutzern und Benutzergruppen (Active Directory) lassen sich vollständig in die LANCOM Management Cloud (LMC) integrieren. Für kleinere Netzwerke bietet die LMC alternativ eine interne Benutzerverwaltung.

In diesem Artikel wird beschrieben wie der LTA-Client in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID (ehemals Azure AD) konfiguriert werden kann.

Im VPN gibt es einige Standard-Einstellungen und -Profile (z.B. Verschlüsselungs-Parameter). Diese werden bei der Einrichtung von VPN-Verbindungen herangezogen und ermöglichen eine einfachere Konfiguration anhand vorgefertigter Parameter.

Bei Verwendung von IKEv2 kommt der Gegenstelle DEFAULT in der Verbindungs-Liste eine besondere Bedeutung zu, da der initiale Verbindungsaufbau über diese erfolgt. Wenn die VPN-Verbindung erkannt wird (etwa anhand der Identitäten), erfolgt ein Schwenk auf die tatsächliche VPN-Gegenstelle.

Die Standard-Profile dürfen auf keinen Fall gelöscht oder verändert werden. Ansonsten kann es dazu kommen, dass keine VPN-Verbindung mehr aufgebaut werden kann!

Skripte zum Widerherstellen der Default-Parameter finden Sie in dem folgenden Knowledge Base Artikel:

Standard-Einstellungen im VPN wiederherstellen

Voraussetzungen:

Zugang zur LMC samt eigenem Projekt (kostenpflichtig)
LANCOM Router oder LANCOM R&S®Unified Firewall als LTA-Gateway
- LCOS ab Version 10.80 Rel (download aktuelle Version)
- LCOS FX ab Version 10.13 (download aktuelle Version)
LTA-Client (download aktuelle Version)
Bereits konfiguriertes und funktionsfähiges Netzwerk samt Internet-Verbindung
Beliebiger Web-Browser für den Zugriff auf die LMC
Bereits konfiguriertes und funktionsfähiges Adctive Directory in Microsoft Entra ID
DynDNS-Anbieter für die E-Mail-Domäne mit Unterstützung für einen "TXT Resource Record"

Der in der LMC integrierte DynDNS-Dienst unterstützt keinen "TXT Resource Record" und kann daher leider nicht verwendet werden.

Vorgehensweise:

1. Initiale Konfigurations-Schritte in der LMC:

1.1 Aktivierung der VPN-Funktionalität:

1.1.1 Wechseln Sie in der LMC in das Menü Netze und klicken auf das Netzwerk, in das sich der LTA-Client einbuchen soll (in diesem Beispiel INTRANET).

Bildschirmansicht eines technischen Dashboards zur Netzwerksicherheit mit verschiedenen Statusanzeigen wie IP-Bereich, VLAN, Internet, VPN, Hotspot und Sicherheit, sowie Standort- und Geräteinformationen.

1.1.2 Klicken Sie in der Übersicht auf Netz bearbeiten.

Screenshot einer Netzwerkmanagementschnittstelle mit Optionen für WLAN, Switches, Addins, Variablen, Statusanzeigen, SDN-Screens, IP-Bereiche und VPN-Konfigurationen.

1.1.3 Passen Sie die folgenden Parameter an und klicken auf Speichern:

Geräte über eine sichere Verbindung miteinander koppeln (VPN): Setzen Sie den Haken, um die VPN-Funktionalität zu aktivieren.
Central Site IP-Adressen oder DNS-Namen: Tragen Sie die öffentliche IP-Adresse oder den DNS-Namen des Routers ein. Diese muss angegeben werden, sobald die VPN-Funktionalität aktiviert wird.

Bild eines Netzwerk-Konfigurationsmenüs mit Optionen für Intranet, Internet, DHCP, DNS, Routing und VPN, inklusive Einstellungen für Subnetze, IP-Bereiche und Verbindungsparameter.

1.2 LTA-Funktion aktivieren:

1.2.1 Wechseln Sie im Menü Sicherheit in den Reiter LANCOM Trusted Access und klicken bei LTA aktivieren auf den Schieberegler.

Screenshot eines Sicherheits-Dashboards für Netzwerkverwaltung, das Funktionen wie LANCOM Trusted Access, Benutzerverwaltung durch Gruppenzugehörigkeit und Zugriffsrechte auf Dienste und Anwendungen anzeigt.

1.2.2 Klicken Sie auf Aktivieren.

Screenshot der Benutzeroberfläche zum Aktivieren von LANCOM Trusted Access.

1.3 Client-Konfiguration:

In der Client-Konfiguration werden grundlegende Parameter wie die Adresse des LTA-Gateways hinterlegt. Diese Einstellungen gelten global und können nicht für einzelne Benutzer konfiguriert werden.

1.3.1 Wechseln Sie in den Reiter Client-Konfiguration und passen die folgenden Parameter an:

Erreichbares Netz: Wählen Sie im Dropdown-Menü das in Schritt 1.1 bearbeite Netzwerk aus, in das sich der LTA-Client einbuchen soll (in diesem Beispiel INTRANET).
Gateway IP oder Domain: Tragen Sie die öffentliche IP-Adresse oder den DNS-Namen des Routers ein, unter der/dem der LTA-Client den Router erreichen kann (in diesem Beispiel 81.81.81.1).
Trusted Access Client IP Netzwerk: Geben Sie die Netzadresse eines Netzwerks in CIDR-Schreibweise (Classless Inter Domain Routing) an. Aus diesem Netzwerk wird dem LTA-Client eine IP-Adresse zugewiesen (in diesem Beispiel 10.0.0.0/8). In den meisten Fällen wird dazu das Erreichbare Netz verwendet werden, es ist aber auch möglich, ein anderes Netzwerk anzugeben.
Getunnelte Domains für DNS-Auflösung: Tragen Sie Domains ein, die immer über den VPN-Tunnel übertragen werden sollen (in diesem Beispiel *.intern).

Für die Getunnelten Domains für DNS-Auflösung kann die Wildcard * verwendet werden. Diese steht für beliebig viele Zeichen. Mehrere Einträge können durch ein Komma separiert werden.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von Netzwerksicherheitsparametern, einschließlich Verbindungsziele, Benutzerverwaltung und Endpoint-Sicherheitseinstellungen.

1.3.2 Passen Sie bei Bedarf die folgenden Parameter an:

AVC-Modus im LTA-Client erlauben: Wird diese Option aktiviert, kann der Benutzer zwischen LTA-Client und dem Advanced VPN Client umschalten. Dies ist z.B. sinnvoll, wenn neben dem LTA-Zugang in die Firma zusätzliche VPN-Verbindungen zu Kunden bestehen.
Autarker Weiterbetrieb im LTA-Client aktivieren: Wird der autarke Weiterbetrieb aktiviert, kann für den angegebenen Zeitraum eine VPN-Verbindung mit dem LTA-Client aufgebaut werden, auch wenn die LMC nicht erreichbar ist.

Screenshot eines technischen Konfigurationsmenüs, das Optionen für einen AVC-Modus, lokale Lizenzanforderungen und die Gültigkeitsdauer des Zertifikats im LTA Client darstellt.

1.3.3 Wählen Sie bei Split Tunnel die Option Nur Netzwerkverkehr zu konfigurierten Netzwerken durch den Tunnel (Split Tunnel) aus und klicken auf das "Plus-Zeichen", um die Ziel-Netzwerke anzugeben.

Wird die Option Gesamter Netzwerkverkehr (LANCOM Trusted Internet Access - Full Tunnel) verwendet oder bei der Option Nur Netzwerkverkehr zu konfigurierten Netzwerken durch den Tunnel (Split Tunnel) kein Ziel-Netzwerk hinterlegt, wird jeglicher Datenverkehr über den VPN-Tunnel übertragen. Dies führt dazu, dass lokale Ressourcen im Netzwerk des Benutzers bei aufgebautem VPN-Tunnel nicht erreicht werden können. Zudem kann es zu einer langsameren Übertragung des Internet-Datenverkehrs kommen, da dieser über das LTA-Gateway übertragen wird. Dafür kann der Datenverkehr aber auf dem LTA-Gateway per Content Filter und Antivirus geprüft werden.

Diagramm zur Darstellung des Tunnelmodus mit vollständig getunneltem Netzwerkverkehr über LANCOM Trusted Internet Access Full Tunnel und den getunnelten Netzwerken.

1.3.4 Tragen Sie die Ziel-Netzwerke in CIDR-Schreibweise ein und klicken auf Speichern.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von Tunnelmodi, einschließlich Optionen für Full Tunnel und Split Tunnel für Netzwerkverkehr.

1.4 Endpoint Security (optional):

Optional kann die Endpoint Security aktiviert werden. Der LTA-Client prüft dann, ob die vorgegebenen Parameter erfüllt sind und baut nur dann die VPN-Verbindung auf. Diese Einstellungen gelten global und können nicht für einzelne Benutzer konfiguriert werden.

1.4.1 Wechseln Sie in den Reiter Endpoint Security, passen die folgenden Parameter an und klicken auf Speichern:

Endpoint Verifikation aktivieren: Aktivieren Sie die Option über den Schieberegler.
Erlaubte Betriebssysteme: Wählen Sie bei Bedarf die erlaubten Betriebssysteme sowie die minimalen und maximalen Build-Versionen aus (in diesem Beispiel wird Windows 10 bzw. Windows 11 vorausgesetzt).
Anti-Virus: Aktivieren Sie bei Bedarf die Prüfung der Antivirus-Funktion auf dem Computer des Benutzers (in diesem Beispiel wird die Option Aktiviert und up-to-date verwendet).
Firewall: Aktivieren Sie bei Bedarf die Prüfung der Firewall-Funkion auf dem Computer des Benutzers (in diesem Beispiel wird die Option Aktiviert verwendet und somit geprüft, ob eine Firewall aktiv ist).

Screenshot einer Benutzeroberfläche zur Konfiguration der Endpoint-Sicherheit mit Optionen zur Aktivierung der Endpoint-Verifikation und Statusanzeigen, dass die Systeme aktiviert und auf dem neuesten Stand sind.

1.5 Benutzerverwaltung:

In der Benutzerverwaltung wird die eigene Domäne hinterlegt. Benutzer können - sofern vorhanden - über ein Active Directory angebunden oder in der LMC konfiguriert werden.

1.5.1 Wechseln Sie in den Reiter Benutzerverwaltung und aktivieren die Option IdP-verwaltet.

Screenshot einer technischen Benutzeroberfläche, die Optionen zur Benutzerverwaltung und zur Einstellung von Berechtigungsprofilen und Endpoint-Security-Client-Konfigurationen zeigt, inklusive einer Synchronisationsoption mit Microsoft Entra ID.

1.5.2 Passen Sie die folgenden Parameter an:

Name: Vergeben Sie einen aussagekräftigen Namen für den Identity Provider Eintrag in der LMC.
Domains: Tragen Sie bei Domains die von Ihnen verwendete Domäne ein (in diesem Beispiel mydomain.de).

Die Konfiguration kann an dieser Stelle noch nicht gespeichert werden, da hierfür noch die IdP-Metadaten-URL hinterlegt werden muss. Diese wird in Schritt 2.2.8 in Entra ID ausgelesen und in Schritt 3.1.1 in der LMC eingetragen.

Screenshot einer technischen Benutzeroberfläche, die die Verwaltung von Benutzerprofilen und Gruppeninformationen zeigt, einschließlich Optionen zur Synchronisation mit Microsoft Entra ID und Konfigurationen für SAML Single Sign-On (SSO).

1.5.3 Klicken Sie auf Einrichtung abschließen.

Bildschirmanzeige eines Menüs zur Einrichtung eines Single Sign-On Identitätsanbieters (IdP SSO) mit einem Hinweis auf erforderliche Aktionen in externen Komponenten zur Vollendung des Setup-Prozesses.

1.5.4 Kopieren Sie die folgenden Parameter und speichern diese in einer Text-Datei ab:

TXT Resource Record: Tragen Sie diesen in Ihrem Account bei Ihrem DynDNS-Anbieter für die Domäne als TXT Resource Record ein.
LMC Entity URL: Tragen Sie diesen in Schritt 2.2.4 als Bezeichner (Entitäts-ID) in Entra ID ein.
Antwort URL: Tragen Sie diese in Schritt 2.2.4 als Antwort-URL (Assertionsverbraucherdienst-URL) in Entra ID ein.

Screenshot einer technischen Konfigurationsseite zur Domain-Verifizierung und SAML-Einrichtung mit erforderlichen DNS TXT Resource Record und IdP SAML-Konfigurationsdaten.

2. Konfigurationsschritte in Microsoft Entra ID:

2.1 Eigene Anwendung erstellen:

2.1.1 Öffnen Sie die Konfigurationsoberfläche von Entra ID und wechseln in das Menü Unternehmensanwendungen.

Screenshot einer technischen Benutzeroberfläche, die Vorschau-Features, Benutzerprofile, externe Identitäten sowie Rollen und Administratoren zeigt.

2.1.2 Wählen Sie die unter Verwalten die Option Alle Anwendungen aus und klicken auf Neue Anwendung.

Bildschirmansicht eines Unternehmensanwendungssystems mit Filter- und Suchoptionen für Anwendungsverwaltung, Diagnose und Problembehandlung im Kontext der Nutzung eines Microsoft Entra Mandanten.

2.1.3 Klicken Sie auf Eigene Anwendung erstellen.

Benutzeroberfläche des Microsoft Entra App-Katalogs, der die Suche und Veröffentlichung von Apps zur Vereinfachung von Single Sign-On und automatisierter Benutzerbereitstellung zeigt, einschließlich Optionen zum Erstellen eigener Apps und Verwenden vordefinierter Vorlagen.

2.1.4 Passen Seie die folgenden Parameter an und klicken auf Erstellen:

Wie lautet der Name der App?: Vergeben Sie einen aussagekräftigen Namen für die App (in diesem Beispiel LTA-App).
Was haben Sie mit Ihrer Anwendung vor?: Wählen Sie die Option Beliebige andere, nicht im Katalog gefundene Anwendung integrieren aus.

Bildschirmdarstellung einer technischen Benutzeroberfläche mit Optionen zur Erstellung und Integration von eigenen Anwendungen, einschließlich der Registrierung in Microsoft Entra und der Konfiguration für sicheren Remotezugriff.

2.2 Single Sign on einrichten:

2.2.1 Klicken Sie in der soeben erstellten App auf 2. SSO einrichten.

Screenshot einer Unternehmensanwendungsoberfläche mit Übersicht über Eigenschaften, Benutzerverwaltung, Einmaliges Anmelden, Problembehandlung und Sicherheitseinstellungen.

2.2.2 Wählen Sie die Option SAML aus.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von Single Sign-On (SSO) in einer Unternehmensanwendung, die Sicherheit und Benutzerfreundlichkeit durch einmaliges Anmelden über Microsoft Entra verbessert, inklusive verschiedener Menüoptionen für Diagnose, Problembehandlung und Verwaltung.

2.2.3 Klicken Sie in dem Feld Grundlegende SAML-Konfiguration auf Bearbeiten.

Grafische Benutzeroberfläche zur Einrichtung des einmaligen Anmeldens (Single Sign-On, SSO) mit SAML, inklusive Optionen zum Hochladen einer Metadatendatei, Einstellungen für Benutzerrollen und Sicherheitsattribute, sowie Links zu weiterführenden Informationen und Feedbackmöglichkeiten.

2.2.4 Tragen Sie die in Schritt 1.5.4 kopierten Parameter ein und klicken auf Speichern:

Bezeichner (Entitäts-ID): Tragen Sie die LMC Entity URL ein.
Antwort-URL (Assertionsverbraucherdienst-URL): Tragen Sie die Antwort URL ein.

Bildschirmansicht einer technischen Konfigurationsseite für SAML (Security Assertion Markup Language), einschließlich Feldern für die Entitäts-ID, Antwort-URL und andere relevante Identifikatoren und Diensturlen zur Einrichtung einer sicheren Anmeldung.

2.2.5 Klicken Sie in dem Feld Attribute & Ansprüche auf Bearbeiten.

Screenshot einer technischen Benutzeroberfläche zur Einrichtung von Einmaligem Anmelden (SSO) mit SAML.

2.2.6 Klicken Sie auf Gruppenanspruch hinzufügen.

Screenshot einer technischen Benutzeroberfläche für Benutzeridentitätskonfiguration, die Felder zur Eingabe von Benutzeransprüchen und -identitäten wie Email, Vorname und Nachname zeigt.

2.2.7 Wählen Sie die Option Alle Gruppen aus und klicken auf Speichern.

Bildschirmfoto eines Konfigurationsmenüs für Gruppenansprüche in einer Software, mit Optionen zur Auswahl von Sicherheitsgruppen, Verzeichnisrollen und Anwendungszugewiesenen Gruppen, sowie erweiterten Optionen zur Namensausgabe für Cloudgruppen.

2.2.8 Kopieren Sie in dem Feld SAML-Zertifikate die App-Verbundmetadaten-URL und speichern diese in einer Text-Datei ab. Diese wird in Schritt 3.1.1 als IdP Metadaten-URL in der LMC hinterlegt.

Screenshot einer technischen Benutzeroberfläche mit Optionen zur Bearbeitung eines Tokensignaturzertifikats und Einstellungen für Benachrichtigungs-E-Mails.

2.3 Registrierung der Applikation:

2.3.1 Wechseln Sie in das Menü App-Registrierungen.

Bildschirmfoto einer technischen Benutzeroberfläche zur Verwaltung von Nutzern, Gruppen, externen Identitäten, Rollen und Administratoren, Verwaltungseinheiten, Unternehmensanwendungen, Geräten und Identity Governance.

2.3.2 Klicken Sie in dem Reiter Alle Anwendungen auf die in Schritt 2.1.4 erstellte App.

Bild einer technischen Benutzeroberfläche, die Optionen zur Fehlerbehebung, Aktualisierung und Herunterladen sowie Vorschaufeatures für Azure Active Directory und Graphs zeigt, mit Feldern zur Eingabe von Anzeigenamen und zum Hinzufügen von Zertifikaten.

2.3.3 Klicken Sie auf Ein Zertifikat oder Geheimnis hinzufügen.

Bildschirmaufnahme einer technischen Benutzeroberfläche zeigt verschiedene Konfigurationsmenüs und Optionen für Anwendungseinstellungen, darunter Zertifikate, Geheimnisse, sowie Anwendungs- und Clientanmeldungsdaten.

2.3.4 Klicken Sie auf Neuer geheimer Clientschlüssel.

Das Bild zeigt eine technische Benutzeroberfläche mit einer Vielzahl von Optionen und Menüpunkten zur Konfiguration von Zertifikaten, Authentifizierungseinstellungen und Integrationstools in einer Softwareanwendung.

2.3.5 Passen Sie die folgenden Parameter an und klicken auf Hinzufügen:

Beschreibung: Vergeben Sie einen aussagekräftigen Namen für das Anwendungskennwort (in diesem Beispiel LTA-Secret).
Gültig bis: Wählen Sie eine möglichst hohe Gültigkeitsdauer aus (in diesem Beispiel 24 Monate).

Nach Ablauf der Gültigkeit ist ein Abgleich der Active Directory Benutzer mit der LMC nicht mehr möglich. Dann muss ein neues Anwendungskennwort erstellt und dieses in der LMC hinterlegt werden.

Screenshot einer Benutzeroberfläche zur Hinzufügung eines geheimen Clientschlüssels in einem Konfigurationsmenü.

2.3.6 Kopieren Sie das Anwendungskennwort unter Wert und speichern dieses in einer Text-Datei ab.

Das Anwendungskennwort muss zwingend in diesem Schritt kopiert werden. Zu einem späteren Zeitpunkt wird das Kennwort unkenntlich gemacht. In diesem Fall muss das Kennwort gelöscht und neu erstellt werden.

Bildschirmansicht einer technischen Benutzeroberfläche zur Tokenanforderung, einschließlich Eingabefeldern für geheime Zeichenfolgen und Anwendungskennwörter.

2.4 Kopieren der Anwendungs-ID und der Verzeichnis-ID:

Wechseln Sie in der App in die Übersicht. Kopieren Sie die beiden folgenden Parameter und speichern diese in einer Text-Datei ab:

Anwendungs-ID (Client): Diese wird in Schritt 3.1.2 als Anwendungs-ID (Client-ID) eingetragen.
Verzeichnis-ID (Mandant): Diese wird in Schritt 3.1.2 als Verzeichnis-ID (Mandant-ID) eingetragen.

Bildschirmansicht einer technischen Benutzeroberfläche zur Konfiguration verschiedener IT-Sicherheitsmerkmale wie Zertifikate, Geheimnisse und Authentifizierungsoptionen, einschließlich Navigationsleiste für die Suche und Schnellstart-Optionen.

2.5 API-Berechtigungen:

2.5.1 Wechseln Sie in das Menü API-Berechtigungen und klicken auf Berechtigung hinzufügen.

Bildschirm einer technischen Benutzeroberfläche mit Menüoptionen zur Konfiguration von App-Berechtigungen, Benutzerzustimmungsprozessen und Sicht auf Administratoreinstellungen, inklusive Listen konfigurierter Berechtigungen und Einstellungen für Nutzerfeedback und App-Updates.

2.5.2 Wählen Sie im Reiter Microsoft-APIs die Option Microsoft Graph aus.

Screenshot einer technischen Benutzeroberfläche zur Auswahl und Anforderung von API-Berechtigungen, einschließlich Optionen für häufig verwendete Microsoft APIs wie Microsoft Graph, und Zugriffskontrolle auf verschiedene Funktionen und Datenendpunkte.

2.5.3 Wählen Sie die Option Anwendungsberechtigungen aus.

Ein Bildschirm zeigt die Anforderung von API-Berechtigungen mit Optionen für 'Delegierte Berechtigungen' und 'Anwendungsberechtigungen', wobei die Anwendung entweder als Benutzeranwendung oder als Hintergrunddienst ausgeführt wird.

2.5.4 Wählen Sie die Berechtigung Group.Read.All aus und klicken auf Berechtigung hinzufügen.

Durch Eingabe des Strings Group.Read. in der Suche ist die Berechtigung direkt zu finden.

Bildschirmansicht einer technischen Benutzeroberfläche zur Anforderung von API-Berechtigungen, einschließlich Optionen für delegierte und Anwendungsberechtigungen sowie Auswahlmöglichkeiten für spezifische Zugriffsrechte wie GroupRead und Administratoreinwilligung.

2.5.5 Klicken Sie auf Administratorzustimmung für <Active-Directory> erteilen.

Technische Benutzeroberfläche einer App mit verschiedenen Registerkarten wie Home, Suche, Aktualisieren und Feedback, die verschiedene Konfigurationsmöglichkeiten für API-Berechtigungen, Integrationsassistenz, Zertifikate und Geheimnisse anzeigt und Optionen für die Anpassung von App-Rollen und Administratorzustimmungen enthält.

2.5.6 Bestätigen Sie die Abfrage mit einem Klick auf Ja.

Screenshot eines Administrationsmenüs zur Bestätigung der Einwilligung für angeforderte Berechtigungen in einer Anwendung, mit einer Liste von aktuellen Administrator-Einwilligungen.

3. Weiterführende Konfigurationsschritte in der LMC:

3.1 Abschließende Konfiguration der Benutzerverwaltung:

3.1.1 Wechseln Sie erneut in die LTA-Benutzerverwaltung in der LMC und tragen im Feld IdP Metadaten-URL die in Schritt 2.2.8 kopierte App-Verbundmetadaten-URL ein.

Benutzeroberfläche zur Verwaltung von Benutzer- und Gruppeninformationen, mit Optionen für direkte Erstellung oder Verwaltung über Microsoft Entra ID und der Einrichtung von SAML Single Sign-On.

3.1.2 Tragen Sie unter Zugangsdaten für IdP Gruppen-Synchronisation die folgenden Parameter ein:

Anwendungs-ID (Client-ID): Tragen Sie die in Schritt 2.4 kopierte Anwendungs-ID (Client) ein.
Client Secret: Tragen Sie das in Schritt 2.3.6 kopierte Anwendungskennwort ein.
Verzeichnis-ID (Mandant-ID): Tragen Sie die in Schritt 2.4 kopierte Verzeichnis-ID (Mandant) ein.

Bildschirmfoto eines Konfigurationsmenüs für die Gruppen-Synchronisation eines Identity Providers, das Felder wie Anwendungs-ID, Client-ID, Client-Secret, Verzeichnis-ID und Mandant-ID anzeigt.

3.1.3 Wählen Sie nach der Synchronisierung mit Microsoft Entra ID die Primärgruppe aus, welche zur Freigabe von LTA verwendet werden soll und aktivieren für diese Gruppe das Berechtigungsprofil. Klicken Sie anschließend auf Speichern.

Für jeden Benutzer in dieser Gruppe wird eine LTA-Lizenz benötigt.

Screenshot einer technischen Benutzeroberfläche für die Synchronisation von Benutzergruppen, einschließlich der Auswahl einer Primärgruppe und der Optionen zur Lizenzierung und Freigabe.

3.2 Verbindungsziele:

In den Verbindungszielen werden Ressourcen angelegt, welche den Benutzern zugewiesen werden können (siehe Schritt 3.3).

3.2.1 Wechseln Sie in den Reiter Verbindungsziele und klicken auf Verbindungsziel hinzufügen.

Screenshot einer Benutzeroberfläche für Netzwerksicherheit, die ein leeres Formular zur Eingabe von Daten für Berechtigungsprofile und Verbindungsziele, wie Hostname, IP-Adresse, CIDR-Adresse, Protokoll und Port, anzeigt. Keine existierenden Verbindungsziele gefunden.

3.2.2 Passen Sie die folgenden Parameter an und klicken auf Speichern:

Name: Vergeben Sie einen aussagekräftigen Namen für das Verbindungsziel (in diesem Beispiel Web-Server).
Hostname / IPv4-Adresse / CIDR-Adresse: Tragen Sie einen DNS-Namen oder die IP-Adresse eines Verbindungsziels ein (in diesem Beispiel 10.0.0.250). Alternativ können Sie auch den Zugriff auf ein ganzes Netzwerk freigeben, indem Sie die Netz-Adresse in CIDR-Schreibweise angeben (z.B. 10.0.0.0/8).
Protokoll: Wählen Sie das Protokoll für die Kommunikation aus (in diesem Beispiel TCP).
- Die folgenden Protokolle stehen zur Verfügung:
  - TCP
  - UDP
  - ICMP
  - AH
  - ESP
  - GRE
  - TCP + UDP
  - Alle Protokolle
Port: Tragen Sie die Ports für die Kommunikation ein (in diesem Beispiel 443 und 80). Mehrere Ports können durch ein Komma separiert werden (z.B. 443,80). Port-Bereiche können durch einen Bindestrich hinterlegt werden (z.B 5060-5061).

Screenshot eines Menüs zur Erstellung eines neuen Verbindungsziels in einer technischen Benutzeroberfläche.

3.3 Berechtigungsprofile:

In den Berechtigungsprofilen werden die Benutzer mit den Verbindungszielen verknüpft. Dabei ist es möglich unterschiedlichen Benutzern individuelle Verbindungsziele zuzuweisen. Die LMC erstellt anhand der vorgenommenen Einstellungen automatisch Firewall-Regeln, welche die Kommunikation zu den Verbindungszielen erlaubt.

3.3.1 Wechseln Sie in den Reiter Berechtigungsprofile und klicken auf Berechtigungsprofil hinzufügen.

Bildschirmansicht einer technischen Benutzeroberfläche mit Optionen zum Hinzufügen eines Berechtigungsprofils und weiteren Einstellungsmöglichkeiten in unklarer Textdarstellung.

3.3.2 Aktivieren Sie das Berechtigungsprofil über den Schieberegler und passen die folgenden Parameter an:

Profilname: Vergeben Sie einen aussagekräftigen Namen für das Profil (in diesem Beispiel Administrator).
Benutzer / Gruppen: Wählen Sie im Dropdownmenü eine Gruppe aus dem Active Directory aus (in diesem Beispiel Admin). Sie können auch mehrere Benutzer auswählen und diesen die gleichen Berechtigungen zuweisen.

Das Bild zeigt ein Konfigurationsmenü für Benutzerberechtigungsprofile, in dem festgelegt wird, auf welche Dienste oder Anwendungen verschiedene Benutzergruppen zugreifen dürfen, inklusive Optionen zum Aktivieren von Berechtigungsprofilen und Verwalten von Verbindungszielen.

3.3.3 Aktivieren Sie unter Status die gewünschten Verbindungsziele für den Benutzer (siehe Schritt 3.2.2) und klicken auf Erstellen.

Screenshot einer technischen Benutzeroberfläche zur Erstellung und Aktivierung von Berechtigungsprofilen, die den Zugriff auf Dienste oder Anwendungen für bestimmte Benutzergruppen definieren.

4. Konfigurations-Schritte im LTA-Client:

4.1 Klicken Sie im LTA-Client auf Einstellungen und wählen die Option LMC Domäne aus.

Screenshot der Benutzeroberfläche von ELANCOM Trusted Access Client, der einen Fehler in der Verbindung zur Gegenstelle anzeigt.

4.2 Passen Sie die folgenden Parmeter an:

URL: Tragen Sie die URL cloud.lancom.de ein.
Domäne: Tragen Sie die E-Mail Domäne ein, welche Sie in Schritt 1.5.1 in der LMC hinterlegt haben (in diesem Beispiel mydomain.de).

Screenshot eines Einstellungsmenüs zur Konfiguration von Domain und URL-Einstellungen.

Wie hilfreich sind die Informationen in diesem Artikel?

sehr gut gut neutral hilfreich gar nicht