Allgemeine Informationen
Das baramundi Ticketing System (bTS) verfügt über zwei sichere Verbindungsmöglichkeiten zwischen der Cloud-Anwendung und der lokalen baramundi Management Suite (bMS):
•Standard Hybrid Connection Service von MS Azure (weiterführende Informationen zur verwendeten Technologie z.B. unter: https://docs.microsoft.com/de-de/azure/app-service/app-service-hybrid-connections)
•bConnect baramunid Gateway (weiterführenden Informationen zur verwendeten Technologie z.B. unter : https://www.baramundi.com/de-de/management-suite/baramundi-schnittstellen/)
Beide Optionen können gleichzeitig konfiguriert werden, allerdings wird das aktivierte bConnect baramundi Gateway vom System bevorzugt verwendet.
Voraussetzung für die Schnittstelle
•bMS Installation mit einer verfügbaren bConnect Schnittstelle Version 2.0 (https Aufruf möglich)
•Bei der Verwendung von Azure Hybrid Connection - Installation MS Standardtool "Azure Hybrid Connection Manager" (HCM) für die lokale sichere Verwaltung der Verbindung.
| Downloadlink HCM: <DOWNLOAD-LINK> |
•Bei der Verwendung von bConnect baramundi Gateway - entsprechende Installation bConnect baramundi Gateway
Sicherheitsaspekte der Schnittstelle
Bei der Verwendung von Azure Hybrid Connection:
•Der Azure Hybrid Connection Manager (HCM) ermöglicht den sicheren Zugriff auf lokale Systeme und Dienste.
•Für das Feature ist kein Endpunkt im Kundennetzwerk erforderlich, der über das Internet zugänglich ist.
•Die Connection wird nicht aus dem www aufgerufen, sondern das lokale Tool verbindet sich gegen Azure
•Jede Hybridverbindung entspricht einer einzelnen Host-Port-Kombination
oEs sind nur https Aufrufe gegen den angegebenen Hostnamen möglich (Port 443)
•HCM führt ausschließlich https Aufrufe gegen Azure durch
oEs wird eine mit TLS 1.2 verschlüsselte WebSocket Verbindung aufgebaut
•Zusätzlich wird Ticketing-System –seitig ein individueller Sicherheitsschlüssel je Kundeninstanz generiert, welcher für die Verbindung mit Azure verwendet wird
•Optional kann zusätzlich das Server-Zertifikat der bConnect Schnittstelle angegeben werden. Das Ticketing-System überprüft dann bei jedem Aufruf gegen die bConnect Schnittstelle, ob die Zertifikate übereinstimmen.
Bei der Verwendung von bConnect baramundi Gatway:
•Gateway-Server muss über das Internet zugänglich sein
•Der Zugriff wird über das Gateway weitergeleitet und ist mit Zertifikaten gesichert
•Es sind nur https Aufrufe gegen den angegeben Gateway-Hostnamen möglich (Port 443)
•Die Autorisierung wird durch Sicherheitsprofile erleichtert, die direkt den Client-Zertifikaten zugewiesen werden
oDie Sicherheitsprofile sind mit bestimmten Zertifikaten verknüpft, eine Publick Key Infrastructur (PKI) ist nicht erforderlich
•Das Client-Zertifikate wird in eine Datei des Typs PKCS #12 (.PFX) exportiert und in den Einstellungen des bTS gespeichert
•Das bTS überprüft dann bei jedem Aufruf gegen die bConnect Schnittstelle, ob das Client-Zertifikat übereinstimmt.
Einrichtung und Update der Schnittstelle
Vorbemerkungen
•Es ist sinnvoll, zuerst die Personen (Endandwender, die Assets zugeordent werden sollen) anzulegen / zu importieren, damit beim Endpoint Import die "Primären User" aus bMS direkt dem Asset zugeordnet werden können (wird anhand der übereinstimmenden Email Adresse ODER dem LogIn Namen einer Person identifiziert). Ansonsten müssten im Nachhinein händische Zuordnungen erfolgen. Der Primary User/ Primärer Benutzer ist auf dem Asset Formular in einem eigenen Feld eingetragen und wird zudem auch automatisch in die Liste der Personen, die dem Asset zugeordnet sind, aufgenommen.
•Die Importe blockieren den Server des Ticketing Systems, in der Zeit können keine Benutzer arbeiten und bekommen eine „Sanduhr“/ Freeze und je nach Import Laufzeit dann einen Time-Out
oDie Import Dauer v.a. bei vielen Endpoints kann länger dauern (Referenzsystem mit 750 Endpoints: ca. 20 Minuten)
oDer Admin sollte die Importe v.a. für Assets keinesfalls ohne Ankündigung während der normalen Arbeitszeit ausführen à Möglichkeit geplanter Importe außerhalb der regulären Arbeitszeit
Anleitung für die Einrichtung - Azure Hybrid Connection
(1) In dem Administrationsbereich „bMS Schnittstelle“:
•Eintragen des FQDN (Fully Qualified Domain Name) der bMS bzw. konkret der bConnect Schnittstelle (wie aus dem Intranet erreichbar) im Feld "Hostname".
•Eintragen Schnittstellen User und Passwort (wird für die eigentliche Schnittstelleneinrichtung noch nicht benötigt, erst später für Importe/ Job Ausführung)
•Optionaler Upload eines Serverzertifikats, wenn für die bConnect Schnittstelle ein Web Server Zertifikat vorliegt
oWenn ein Zertifikat angegeben ist, wird nur diesem Server vertraut; ohne werden allen Servern vertraut
oEs werden alle öffentlichen Zertifikatsformate (also der Public Key) unterstützt, welche auch von der Windows Zertifikatsverwaltung unterstützt werden
•Schließen des Formulars Dialog mit „OK“ um die Angaben zu speichern
Bei allen Änderungen des FQDN oder des Zertifikats erhalten die Benutzer der Gruppe "Administrator - Voll" eine Benachrichtigung in das System, sobald die Schnittstelle eingerichtet ist und der Connection String erzeugt/ aktualisiert wurde (dies kann aktuell bis zu 1 Werktag dauern). Für die Verbindung werden immer die letzten gespeicherten Daten verwendet.
Die Benachrichtung wird im sogenannten "Benachrichtungsfenster" angezeigt, welches sich als eigene Tabliste öffenet sobald neue Nachrichten vorliegen bzw. noch ungelesene Nachrichten vorliegen. Die Benachrichtigungsliste wird ca. alle 15 Minuten aktualisiert. Das Benachrichtigungsfenster kann manuell über das allgemeine Enstellungen Menü geöffnet und aktualisiert werden.
(2) Einrichtung Azure Hybrid Connection Manager (Version Stand 02/2021)
•Installieren des Azure Hybrid Connection Managers (HCM) auf einem lokalen Server, welcher Zugriff auf die bConnect Schnittstelle hat. Dieser Server muss Internet Zugriff haben aber muss nicht aus dem Internet erreichbar sein
•Klicken auf „Enter Manually“ und kopieren des vollständigen Connection Strings in das entsprechende Feld, Bestätigung mit „Add“
•Die Connection wird hergestellt. In der Übersichtsliste muss „Connected“ stehen
•Bei Problemen mit dem Verbindungsaufbau bitte auch das Kapitel "Troubleshooting" beachten
(3) In dem Administrationsbereich „bMS Schnittstelle“:
•Verbindung testen: der Button "Verbindung testen" ruft den baramundi Server auf und gibt bei Erfolg die bMS Versionsnummer zurück. Ist dies erfolgreich ist das System über die Schnittstelle prinzipiell erreichbar, unabhängig von dem korrekten bConnect User/PW.
•Sofern der bConnect User die richtigen Berechtigungen seitens baramundi hat ist die Schnittstelle nun einsatzbereit und es können in bMS definierte Jobs und Endpoints über die vorbereiteten Import Jobs importiert werden
•Der jeweilige Job-Status wird in der Liste darunter angezeigt
•Empfehlung: Der Import von Jobs sollte zuerst ausgeführt werden, da er je nach Anzahl der Jobs in 1-2 Minuten abgeschlossen ist und aktuell auch als zusätzlicher Test dient.
•Hinweis: Während des Imports ist das Ticketing-System gesperrt, v.a. der Asset Import kann je nach Anzahl/ Internetverbindung länger dauern (grober Richtwert. bei 1000 Endpoints ca. 20 Min.) daher ist es ratsam diesen außerhalb der Arbeitszeit zu planen/ starten
Weiterhin ist es in diesem Bereich möglich automatische Importintervalle für den Import der Endpoints / Assets bzw. Jobs zu definieren (täglich, wöchentlich (Sonntags)).
Die aktuelle Beschränkung der möglichen Anzahl der durchführbaren Importe ist auf 3 Mal pro Import Typ täglich gesetzt (Begrenzung gilt nicht für manuell durchgeführte Importe).
Anleitung für die Einrichtung - bConnect baramundi Gateway
Diese Anleitung setzt voraus, dass
•das bConnect baramundi Gateway erfolgreich konfiguriert wurde und über das Internet zugänglich ist
•das Client-Zertifikat erstllt und dem entsprechenden Sicherheitsprofil in bMS zugewiesen wurde
(1) Client-Zertifikat in eine Datei exportieren (z.B. mit MMC)
Microsoft-Verwaltungskonsole (MMC) > Snap-In "Zertifikate":
1.Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie „Alle Aufgaben > Exportieren…“, um den Zertifikatsexport-Assistenten zu öffnen.
2.Stellen Sie nach dem Klicken auf die Begrüßungsseite des Assistenten sicher, dass die Option auf „Ja, privaten Schlüssel exportieren“ eingestellt ist, und klicken Sie auf „Weiter“.
3.Wählen Sie das Format für das exportierte Zertifikat (hier eine PKCS # 12-codierte oder .PFX-Datei). Stellen Sie sicher, dass die Kontrollkästchen aktiviert sind, um alle Zertifikate in den Pfad aufzunehmen und alle erweiterten Eigenschaften zu exportieren, und klicken Sie dann auf „Weiter“.
4.Sie werden aufgefordert, ein Kennwort zum Schutz dieses Zertifikats einzugeben. Erstellen und bestätigen Sie Ihr Passwort und klicken Sie dann auf „Weiter“.
5.Bitte merken Sie sich das Passwort, Sie benötigen es später
6.Wählen Sie den Namen und den Speicherort der zu exportierenden Datei aus. Sie können zu einem von Ihnen bevorzugten Speicherort navigieren. Stellen Sie sicher, dass Sie die Datei mit der Erweiterung .pfx speichern. Klicken Sie dann auf „Weiter“.
7.Überprüfen Sie die Informationen. Wenn dies alles korrekt aussieht, klicken Sie auf „Fertig stellen“.
8.Sie erhalten eine Bestätigung, dass der Export erfolgreich war.
(2) In dem Administrationsbereich "bMS Schnittstelle"
1.Setzen Sie dasHäkchen im Feld "baramundi Gateway verwenden".
oSollten Sie das Häkchen entfernt haben, so wird Azure Hybrid Connect nach dem Speichern der Einstellung verwendet, sofern konfiguriert
2.Tragen Sie den Fully Qualified Domain Name (FQDN) des Gateways (wie aus dem Internet erreichbar) im Feld "FQDN baramundi Gateway" ein
3.Öffnen Sie das Webformular Client-Zertifikat
4.Laden Sie die Zertifikatsdatei in das Feld "Anhang" hoch
5.Geben Sie das zuvor vergebene Passwort für das Zertifikat in das Feld "Password" ein
6.Speichern Sie ddie Änderungen durch klicken auf die Schaltfläche "Spreichern"
7.Wurde erfolgreich gespeichert, zeigen die Felder "Subjekt", "Gültig ab" und "Gültig bis" die aktuellen Werte an
8.Schließen Sie das Formular Client Zertifikat mit der Schaltfläche OK - Sie werden zum vorherigen Formular zurückgeleitet
9.Speichern Sie die Einstellungen über die Schaltfläache "Speichern und Schliessen"
Wichtig:
Bitte beachten Sie die Gültigkeit des Zertifikats und planen dessen Erneuerung rechtzeitig ein. Ein abgelaufenes Zertifikat führt zu einer Beeinträchtigung in der Funktion der Schnittstelle.