Den IGEL Onboarding Service (OBS) einrichten

Für das Onboarding Ihrer Benutzer und Geräte müssen die IGEL Cloud Services Ihr UMS und Ihre Benutzer kennen. Die UMS wird anhand seines vollständig qualifizierten Domänennamens (FQDN) oder seiner IP-Adresse und seines Root-Zertifikats identifiziert und authentifiziert. Die Benutzer werden durch einen externen Identitätsanbieter (IdP) authentifiziert. Dazu verwenden wir den OpenID-Standard, um Benutzerinformationen zu erhalten, und die standardisierten OAuth 2.0-Autorisierungsprotokolle. Folgen Sie unseren Anweisungen, um das OBS als App in Ihrem Microsoft Entra ID, Ping Identity, Okta oder einem anderen IdP zu registrieren.

Wenn Sie Ihre Remote-IGEL OS 12 Geräte über den IGEL Onboarding Service registrieren möchten und IGEL Cloud Gateway (ICG) verwenden, müssen Sie den IGEL Onboarding Service nicht mit der UMS sondern mit der ICG verbinden. Erforderlich ist die ICG Version 12.01 oder höher.

Die Konfiguration des Onboarding Service erfolgt in den folgenden Schritten:

1. Den Onboarding Service (OBS) aktivieren
   

2. Konfiguration des Identity Providers
   

3. Die Root-Zertifikatskette des UMS / ICG herunterladen: Die Root-Zertifikatskette wird benötigt, um die Route zu den entsprechenden UMS / ICG zu definieren.
   

4. Den Datensatzes für das OBS-Routing erstellen: Definieren Sie die Route zu den entsprechenden UMS / ICG. Dies beinhaltet die Verknüpfung unseres Microsoft Entra ID-Benutzers mit dem UMS / ICG.

Den Onboarding Service (OBS) aktivieren

Die Aktivierung des Onboarding Service (OBS) ist einmalig erforderlich und muss von einer Person des Unternehmenskontos durchgeführt werden. Nach der Aktivierung kann der OBS von jedem Benutzer mit der entsprechenden Regel verwaltet werden.

1. Melden Sie sich im IGEL Customer Portal an.

2. Wählen Sie im Menü die Option Activate IGEL OS Onboarding.

Den Identitätsanbieter einstellen

Für Informationen, wie Sie das OBS als App in Ihrer Microsoft Entra ID, Ping Identity oder Okta registrieren, siehe:

• Microsoft Entra ID

• Okta

• Ping Identity

• Andere Identitätsanbieter

Die Root-Zertifikatskette herunterladen

Wenn Ihre UMS direkt mit Ihren Endgeräten verbunden werden soll, laden Sie die Zertifikatskette der UMS herunter. Wenn Ihr UMS über ICG verbunden werden soll, laden Sie die Zertifikatskette des ICG herunter.

Die Zertifikatskette der UMS herunterladen

1. Öffnen Sie die IGEL UMS Web App, gehen Sie auf Network und öffnen Sie Settings.

   

2. Wählen Sie den Reiter IGEL OS Onboarding und kopieren Sie UMS Hostname und UMS Port.

   

3. Klicken Sie auf Download Certificate Chain.
   Die Zertifikatsdatei wird auf Ihr Dateisystem heruntergeladen. Im folgenden Schritt werden wir sie für das OBS-Routing verwenden.

Zertifikatskette des ICG herunterladen (Nur erforderlich, wenn das OBS mit dem ICG verwendet wird)

1. Öffnen Sie die IGEL UMS Web App, gehen Sie zu Network und wählen Sie unter IGEL Cloud Gateway den ICG Server aus, mit dem Sie das OBS verbinden möchten.

Wenn Sie mehrere ICG-Server haben, ist es möglich, das OBS-Routing auf nur einen Server zu richten.

2. Kopieren Sie die Daten aus den Feldern External Address und External Port.

   

3. Gehen Sie in der UMS Konsole zu UMS Administration > Global Configuration > Certificate Management > Cloud Gateway.

4. Exportieren Sie jedes Zertifikat der Kette von ICG mit Ausnahme des Endzertifikats: Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Export certificate im Kontextmenü.

   

5. Kopieren Sie den Inhalt jedes exportierten Zertifikats in eine Datei (die Reihenfolge der Zertifikate spielt keine Rolle) und speichern Sie die Datei als icg_chain.crt.
   Beispiel:
   -----BEGIN CERTIFICATE-----
MIIFPTCCAyWgAwIBAgIFAIGKvrEwDQYJKoZIhvcNAQELBQAwVzEkMCIGA1UEAwwbSUQtLTQ5NzE2
LTE2ODE5NzkyNDEwOTYtOC0wMQ0wCwYDVQQKDARJR0VMMRMwEQYDVQQHDAoxNDAxODM1MDYyMQsw
......................................
jqzhUGI+dZyTguXkzM2T4ACJUVm7G3mWDSCuMpt5laaE8kGEB2J6cbY9qV4QA5giCKFO1PgJ6mQZ
3kDHoNX9DlKSyJtAWS6CJaaGWMWX0wtuyEQ5sZ81UhGKnQ==
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFMDCCAxigAwIBAgIFAPAz/aEwDQYJKoZIhvcNAQELBQAwVzEkMCIGA1UEAwwbSUQtLTQ5NzE2
LTE2ODE5NzkyNDEwOTYtOC0wMQ0wCwYDVQQKDARJR0VMMRMwEQYDVQQHDAoxNDAxODM1MDYyMQsw
.......................................
wy/0Y3S4LVHhWtAiT1dBza97uWk9zKL65HbwPFwwZ021Pjb2NaWJPL+OEAHPpk5eamCmFzJeUQqe
0pwHv6AgvJyfEuxsMHURs98psMhW
-----END CERTIFICATE-----
   

Den Datensatz für das OBS Routing erstellen

1. Wechseln Sie zum IGEL Customer Portal und wählen Sie Configure Services > IGEL OS Onboarding.

   

2. Klicken Sie auf Register IGEL OS Onboarding, um einen neuen Routing-Datensatz zu erstellen.

   

3. Geben Sie die folgenden Daten ein:

   • Display Name: Anzeigename für das UMS, zu dem das Gerät unseres Benutzers weitergeleitet wird.

   • UMS Hostname: Hostname (Fully Qualified Domain Name) oder IP-Adresse des UMS; dies ist der Hostname oder die IP-Adresse, unter der das UMS von den Endgeräten erreicht werden kann.
     Wenn Ihre Endgeräte über die ICG verbunden sind, verwenden Sie die Externe Adresse des ICG wie oben beschrieben. Bitte beachten Sie, dass beim UMS-Hostnamen zwischen Groß- und Kleinschreibung unterschieden wird und er genau wie im UMS geschrieben werden muss.

   • UMS Port: Port, unter dem das UMS erreicht werden kann. Der Standard-Port des UMS-Webservers ist 8443. Details zu den von UMS verwendeten Ports finden Sie im UMS Referenzhandbuch.
     Wenn Ihre Endgeräte über die ICG verbunden sind, verwenden Sie den Externen Port des ICG wie oben beschrieben.

     

4. Fügen Sie einzelne Benutzer oder eine oder mehrere Domänen hinzu, die alle E-Mail-Adressen dieser Domänen enthalten.

   • Um einen einzelnen Benutzer hinzuzufügen, klicken Sie auf Add im Bereich Mapped Users.

     

   • Um eine Domäne hinzuzufügen, klicken Sie auf Add im Bereich Mapped Domains.

     

5. Im Dialog geben Sie die E-Mail-Adresse des von uns in Microsoft Entra ID angelegten Benutzers oder die entsprechende Domäne ein und klicken auf Add.

6. Klicken Sie auf Required - Upload, um die UMS Root-Zertifikatskette hochzuladen.
   Wenn Sie das OBS mit dem ICG verwenden möchten, verwenden Sie hier die Datei icg_chain.crt, die Sie bereits in Die Zertifikatskette des ICG erhalten haben.

   

7. Wählen Sie die Zertifikatsdatei auf Ihrem Dateisystem.
   Die Zertifikatsdatei wird hochgeladen.

   

8. Klicken Sie auf Submit, um den OBS-Routing-Datensatz zu erstellen.

   

   Nach ein paar Sekunden ist der neue Datensatz fertig.

9. Wenn Sie den Datensatz überprüfen oder Änderungen vornehmen möchten, klicken Sie einfach irgendwo in den Datensatz.

   

   Die Details werden angezeigt.

   

   
   Sie können das Zertifikat aktualisieren und zugehörige E-Mails aktualisieren/hinzufügen.
   
   Der Benutzer kann nun eingegliedert werden. Der Onboarding-Prozess aus Sicht des Benutzers wird im Kapitel IGEL OS 12 Geräte onboarden beschrieben.