Kaspersky Automated Security Awareness Platform

Configuration de l'intégration avec Active Directory Federation Services

L'intégration repose sur une communication bidirectionnelle entre ASAP et AD FS. Cette connexion côté Active Directory est configurée dans la console AD FS et comporte les étapes suivantes :

• l'ajout de relations de confiance pour la plateforme ASAP
• la création de règles pour obtenir les informations requises concernant les utilisateurs à partir d'Active Directory afin de terminer la procédure d'authentification
• l'exportation du certificat du fournisseur d'identité

Du côté d'ASAP, l'URL du service AD FS, l'identifiant de la plateforme dans AD FS et le contenu du certificat du fournisseur d'identité exporté à partir d'AD FS sont nécessaires.

Pour configurer l'intégration de la plateforme avec Active Directory Federation Services, procédez comme suit :

Ajouter des relations de confiance

1. Dans la console de gestion d'AD FS, cliquez-droit sur le dossier Approbation de partie de confiance dans l'arborescence des dossiers et sélectionnez Ajouter une approbation de partie de confiance dans le menu contextuel.

   L'assistant d'ajout de relation de confiance est lancé.

2. Dans la fenêtre d'accueil, sélectionnez Prise en charge des revendications et cliquez sur le bouton Suivant.

   

   Cette action vous amène à l'étape Sélectionner une source de données.

3. Sélectionnez l'option Entrer manuellement les données concernant la partie de confiance pour saisir manuellement les informations relatives à votre plateforme ASAP, puis cliquez sur le bouton Suivant.

   

   Cette action vous amène à l'étape Spécifier le nom complet.

4. Dans le champ Nom complet, entrez le nom complet pour la plateforme ASAP dans la console AD FS, et cliquez sur le bouton Suivant.

   Si vous l'exigez, vous pouvez indiquer toute information supplémentaire dans le champ Notes.

   

   Cette action vous amène à l'étape Configurer le certificat.

5. Cliquez sur le bouton Suivant.

   

   Cette action vous amène à l'étape Configurer l'URL.

6. Cochez la case Activer la prise en charge du protocole WebSSO SAML 2.0 pour activer la prise en charge de la norme SAML.
7. Dans le champURL du service SSO SAML 2.0 de la partie de confiance, saisissez l'URL du service SAML sur le serveur ASAP et cliquez sur le bouton Suivant.

   Copiez cette adresse dans l'interface Web ASAP dans la section Paramètres de l'entreprise → SSO → SSO Callback (ACS) URL en cliquant sur le bouton .

   

   Cette action vous amène à l'étape Configurer les identificateurs.

8. Définissez l'identifiant de la plateforme ASAP dans AD FS. Pour ce faire, effectuez les actions suivantes :
   1. Dans le champ Identificateur d'approbation de partie de confiance, saisissez le nom que vous souhaitez attribuer à l'identifiant de la plateforme ASAP pour le service AD FS.
   2. Cliquez sur le bouton Ajouter.

      

      Le nouvel identifiant s'affichera dans le champ Identificateurs d'approbation de partie de confiance.

      Mémorisez ou notez cet identifiant afin de pouvoir le saisir ultérieurement dans l'interface Web ASAP.

   3. Cliquez sur le bouton Suivant.

      Cette action vous amène à l'étape Sélectionner une stratégie de contrôle d'accès.

9. Sélectionnez une stratégie de gestion des accès conforme aux exigences de sécurité de votre entreprise et cliquez sur le bouton Suivant.

   

   Cette action vous amène à l'étape Prêt à ajouter l'approbation.

10. Consultez les paramètres indiqués précédemment. Si tout a été configuré correctement, cliquez sur le bouton Suivant.

    

    Cette action vous amène à l'étape Terminer.

11. Dans la dernière fenêtre du master, cliquez sur le bouton Fermer.

    L'assistant d'ajout de relation de confiance est fermé. La plateforme ASAP figure désormais dans la liste Approbations de partie de confiance.

    

Création de règles

1. Dans la console AD FS, sélectionnez la plateforme ASAP dans la liste Approbations de partie de confiance, et dans le volet droit Actions, cliquez sur Modifier la stratégie d'émission de revendication pour configurer les règles permettant de récupérer les informations à propos des utilisateurs dans AD FS pour l'authentification.

   La fenêtre Modifier la stratégie d'émission de revendication pour <nom de l'identifiant> s'ouvre.

   Si, dans la dernière fenêtre de l'assistant d'ajout de la relation de confiance, la case Configurer une stratégie d'émission de revendications pour cette application était cochée, cette fenêtre s'ouvre automatiquement.

   

2. Ajoutez une règle permettant de récupérer les adresses email des utilisateurs dans AD FS. Pour ce faire, effectuez les actions suivantes :
   1. Cliquez sur le bouton Ajouter une règle.

      L'assistant d'ajout de règles commencera à l'étape Choisir le type de règle.

   2. Dans la liste déroulante Modèle de règle de revendication, sélectionnez le modèle Envoyer les attributs LDAP en tant que revendications, puis cliquez sur le bouton Suivant.

      

      Cette action vous amène à l'étape Configurer la règle de revendication.

   3. Dans le champ Nom de la règle de revendication, saisissez le nom de la règle (par exemple, Email).
   4. Dans le graphique Mappage des attributs LDAP aux types de revendications sortantes, sélectionnez Adresses de messagerie dans la colonne Attribut LDAP et Adresses de messagerie dans la colonne Type de revendication sortante.

      

   5. Cliquez sur le bouton Terminer.

   L'assistant d'ajout de règles se ferme. La règle ajoutée figurera dans la fenêtre Modifier la stratégie d'émission de revendication pour <nom de l'identifiant>, sous l'onglet Règles de transformation d'émission.

   

3. Ajoutez une règle permettant de récupérer les identifiants des utilisateurs à partir d'AS FS en fonction de leur adresse email. Pour ce faire, effectuez les actions suivantes :
   1. Cliquez sur le bouton Ajouter une règle.

      L'assistant d'ajout de règles commencera à l'étape Choisir le type de règle.

   2. Dans la liste déroulante Modèle de règle de revendication, sélectionnez le modèle Transformer une revendication entrante, puis cliquez sur le bouton Suivant.

      

      Cette action vous amène à l'étape Configurer la règle de revendication.

   3. Dans le champ Nom de la règle de revendication, saisissez le nom de la règle (par exemple, NameID).
   4. Dans la liste déroulante Type de revendication entrante, sélectionnez Adresse de messagerie.
   5. Dans la liste déroulante Type de revendication sortante, sélectionnez ID de nom.
   6. Dans la liste déroulante Format d'ID de nom sortant, sélectionnez Email.
   7. Sélectionnez Passer toutes les valeurs de revendication.

      

   8. Cliquez sur le bouton Terminer.

   L'assistant d'ajout de règles se ferme. La règle ajoutée figurera dans la fenêtre Modifier la stratégie d'émission de revendication pour <nom de l'identifiant>, sous l'onglet Règles de transformation d'émission.

   

4. Cliquez sur le bouton OK.

   La règle sera créée.

Exportation de certificats

1. Dans la console AD FS, dans le dossier Approbations de partie de confiance, cliquez-droit sur la plateforme ASAP et sélectionnez Propriétés.

   La fenêtre des propriétés de la plateforme AD FS ASAP s'ouvre.

2. Sous l'onglet Signature, chargez le certificat de votre entreprise en cliquant sur le bouton Ajouter, puis sur OK.

   

3. Dans l'arborescence des dossiers, sélectionnez Service → Certificats.

   

4. Double-cliquez sur le certificat de signature de jeton.

   Une fenêtre contenant des informations à propos du certificat s'ouvrira sous l'onglet Général.

5. Sous l'onglet Détails, cliquez sur le bouton Copier dans un fichier.

   

   L'assistant d'exportation de certificats démarre.

6. Dans la fenêtre d'accueil de l'assistant de configuration, cliquez sur le bouton Suivant.

   

   Cette action vous amène à l'étape Format du fichier d'exportation.

7. Sélectionnez le format de fichier X.509 encodé en base 64 (*.cer) et cliquez sur le bouton Suivant.

   

   Cette action vous amène à l'étape Fichier à exporter.

8. Dans le champ Nom du fichier, saisissez le chemin d'accès au fichier où vous souhaitez exporter le certificat manuellement ou cliquez sur le bouton Parcourir, puis sur Suivant.

   

   Cette action vous amène à l'étape Fin de l'Assistant Exportation du certificat.

9. Vérifiez les paramètres d'exportation. Si tous les éléments sont exacts, cliquez sur le bouton Terminer.

   

10. Dans la fenêtre de confirmation, cliquez sur le bouton OK.

    Le certificat sera exporté vers le fichier sélectionné.

Configuration du côté de la plateforme ASAP

1. Dans l'interface Web ASAP dans la section Paramètres de l'entreprise, sélectionnez l'onglet SSO.
2. Dans le champ URL du fournisseur d'identité, saisissez l'URL dans le format suivant :

   <adresse ADFS locale>/adfs/ls/IdpInitiatedSignOn.aspx

   Par exemple, https://adfs.example.com/adfs/ls/IdpInitiatedSignOn.aspx.

3. Dans le champ ID entité, saisissez l'identifiant de la plateforme ASAP dans AD FS que vous avez indiqué dans l'Assistant d'ajout de confiance à l'étape Configurer les identificateurs.
4. Dans le champ Certificat de signature, saisissez le contenu du certificat du fournisseur d'identité exporté à partir d'AD FS.
5. Cliquez sur Enregistrer.

L'intégration Active Directory Federation Services est maintenant configurée. Activez l'authentification unique dans l'interface Web ASAP afin que les utilisateurs puissent se connecter au portail de formation par le biais de l'authentification unique.