IP-Bereichsbasierte Authentifizierung

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Eine Möglichkeit, eine webbasierte Anwendung abzusichern, besteht darin, den Zugriff basierend auf der IP-Adresse einzuschränken.

    Sie können den Zugriff auf eine bestimmte Adresse oder einen bestimmten Adressbereich blockieren, von denen Sie vermuten, dass sie zu böswilligen Personen gehören. Mit der Instanz können Sie den Zugriff nach IP-Adresse steuern.

    Hinweis:
    Verwenden Sie die Vorauthentifizierungskontextrichtlinie der adaptiven Authentifizierung (AA), um IP-basierte Authentifizierungen und Einschränkungen für zusätzliche Funktionen zu erzwingen. Weitere Informationen finden Sie unter Adaptive Authentifizierung.

    Hinweise und Einschränkungen:

    • Das System lässt Sie nicht zu, dass Sie sich selbst aussperren. Wenn Sie also versuchen, eine Regel hinzuzufügen, durch die Ihre aktuelle Adresse ausgesperrt wird, warnt Sie das System und lehnt die Eingabe ab.
    • Wenn Sie sich in einem Unternehmens-Intranet befinden, gehen Sie beim Einrichten Ihrer IP-Regeln sehr vorsichtig vor. Die IP-Adresse, die Sie auf Ihrem Computer sehen (z. B. 10.10.10.25), hat in der Regel keine Beziehung zu der IP-Adresse, als die Sie im Internet angezeigt werden. Ihr Unternehmen stellt Ihre Adresse wahrscheinlich per Proxy und/oder NAT in einen vorhersehbaren Satz ausgehender Adressen um, nach denen Sie wahrscheinlich Ihr Netzwerkteam fragen müssen.
    • Ein Benutzer, dessen Zugriff basierend auf einer Zugriffsregel eingeschränkt ist, erhält in seinem Browser den Fehler 403.
    • Eingeschränkte Benutzer verwenden keine Transaktionen, Semaphore und zählen nicht für die Anzahl der Serverressourcen.
    • Diese Funktion ersetzt oder überschreibt Ihre vorhandenen Zugriffskontrollregeln nicht, wenn Sie beispielsweise ein VPN zu unserem Rechenzentrum ausführen. Dies ist eine zusätzliche Prüfung, die zusätzlich zu den Zugriffskontrollen erfüllt werden muss, die wir möglicherweise für Ihren PIX eingerichtet haben.
    • Allow-Regeln haben stets Vorrang vor Deny-Regeln. Wenn also eine Adresse sowohl zulässig (durch eine Regel) als auch abgelehnt (durch eine zweite Regel) ist, ist sie tatsächlich zulässig.
    • Sternchen und CIDR-Blöcke werden derzeit nicht unterstützt.
    • In Bezug auf weitergeleitete Proxy-Adressen werden die Allow-Regeln auf jede Adresse in der Kette angewendet und dann die Deny-Regeln auf jede Adresse in der Kette angewendet, wenn keine der Allow-Regeln übereinstimmt.
    • Die auf dem IP-Bereich basierende Authentifizierung kann sich auf die Übertragung von Update Sets auswirken. Wenn die IP-Adresszugriffssteuerung für die Quellinstanz aktiviert ist, fügen Sie die IP-Adressen aller Anwendungsknoten hinzu, die Ihre Instanz als Ausnahmen unterstützen.
      Hinweis:
      Um die IP-Informationen Ihrer Instanz zu finden, melden Sie sich bei an ServiceNow NOW-Support, und Suchen Sie nach dem Servicekatalogelement „ Meine IP-Informationen “.
    Hinweis:
    Weitere Informationen zu den Eigenschaften com.snc.ipauthenticator und glide.ip.authenticate.strict, die den Instanzzugriff auf bestimmte IP-Bereiche einschränken, finden Sie unter den folgenden Themen unter Härtungseinstellungen für Instanzsicherheit: