ADFS-Integration konfigurieren

Alle erweitern | Alles ausblenden

Damit sich die in Active Directory (AD) registrierten Benutzer Ihres Unternehmens an der Kaspersky Security Center Cloud Console anmelden können, müssen Sie die Integration mit Active Directory Federation Services (ADFS) konfigurieren.

Kaspersky Security Center Cloud Console unterstützt ADFS 3 (Windows Server 2016) oder eine neuere Version. ADFS muss veröffentlicht und über das Internet verfügbar sein. ADFS verwendet ein öffentliches vertrauenswürdiges Zertifikat für die Kommunikation des Dienstes.

Um die Einstellungen der ADFS-Integration zu ändern, benötigen Sie die Zugriffsberechtigung zum Ändern von Benutzerberechtigungen.

Bevor Sie fortfahren, stellen Sie sicher, dass Sie die Abfrage der Active Directory abgeschlossen haben.

So konfigurieren Sie die ADFS-Integration:

  1. Klicken Sie im Hauptmenü auf das Einstellungen-Symbol () neben dem Namen des Administrationsservers.

    Das Eigenschaftenfenster des Administrationsservers wird geöffnet.

  2. Wählen Sie auf der Registerkarte Allgemein den Abschnitt Integrationseinstellungen von ADFS aus.
  3. Kopieren Sie die Callback-URL.

    Sie benötigen diese URL, um die Integration in der ADFS-Verwaltungskonsole zu konfigurieren.

  4. Fügen Sie in der ADFS-Verwaltungskonsole eine neue Anwendungsgruppe hinzu und fügen Sie anschließend durch auswählen der Vorlage für die Server-Anwendung eine neue Anwendung hinzu (die Namen der Elemente der Microsoft-Benutzeroberfläche werden auf Englisch/Deutsch angegeben).

    Die ADFS-Verwaltungskonsole generiert eine Client-ID für die neue Anwendung. Sie benötigen die Client-ID, um die Integration in Kaspersky Security Center Cloud Console zu konfigurieren.

  5. Geben Sie als Redirect-URI die Callback-URL an, die Sie im Eigenschaftenfenster des Administrationsservers kopiert haben.
  6. Generieren Sie ein Clientgeheimnis. Sie benötigen das Clientgeheimnis, um die Integration in Kaspersky Security Center Cloud Console zu konfigurieren.
  7. Speichern Sie die Eigenschaften der hinzugefügten Anwendung.
  8. Fügen Sie der erstellten Anwendungsgruppe eine neue Anwendung hinzu. Wählen Sie dieses Mal das Template Web-API aus.
  9. Fügen Sie auf der Registerkarte Identifikatoren die Client-ID der Serveranwendung, die Sie zuvor hinzugefügt haben, zur Liste Identifikatoren vertrauenswürdiger Teilnehmer hinzu.
  10. Wählen Sie auf der Registerkarte Client-Berechtigungen, in der Liste Zulässige Bereiche die Bereiche allatclaims und openid aus.
  11. Fügen Sie auf der Registerkarte Transformationsregeln für die Ausstellung eine neue Regel hinzu, indem Sie die das Template LDAP-Attribute als Claims senden auswählen:
    1. Geben Sie der Regel einen Namen. Sie können sie beispielsweise "Gruppen-SID" nennen.
    2. Wählen Sie Active Directory als Attributspeicher aus und ordnen sie anschließend Token-Gruppen als SIDs als LDAP-Attribut für 'Gruppen-SID' als ausgehenden Claim-Typ zu.
  12. Fügen Sie auf der Registerkarte Transformationsregeln für die Ausstellung eine neue Regel hinzu, indem Sie die das Template Claims mit benutzerdefinierter Regel senden auswählen:
    1. Geben Sie der Regel einen Namen. Sie können diese beispielsweise "ActiveDirectoryUserSID" nennen.
    2. Geben Sie In dem Feld Benutzerdefinierte Regel Folgendes ein:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

  13. Öffnen Sie in der Kaspersky Security Center Cloud Console den Abschnitt Integrationseinstellungen von ADFS erneut.
  14. Stellen Sie den Umschalter auf die Position ADFS-Integration Aktiviert.
  15. Klicken Sie auf den Link Einstellungen und geben Sie anschließend die Datei an, die das Zertifikat oder mehrere Zertifikate für den Federation-Server enthält.
  16. Klicken Sie auf den Link Integrationseinstellungen von ADFS und legen Sie anschließend die folgenden Einstellungen fest:
    • Aussteller-URL
    • Client-ID
    • Client-Geheimnis
    • Domäne, deren Benutzer authentifiziert werden sollen
    • Feldname der Benutzer-SID in dem ID-Token
    • Feldname des Arrays mit Benutzergruppen-SIDs in dem ID-Token
  17. Klicken Sie auf die Schaltfläche Speichern.

Die Integration mit ADFS ist abgeschlossen. Um sich mit den Zugangsdaten eines AD-Kontos an der Kaspersky Security Center Cloud Console anzumelden, verwenden Sie den Link aus dem Abschnitt Integrationseinstellungen von ADFS (Link zur Anmeldung an Kaspersky Security Center Cloud Console mittels ADFS).

Wenn Sie sich zum ersten Mal mittels ADFS an der Kaspersky Security Center Cloud Console anmelden, reagiert die Konsole möglicherweise mit einer Verzögerung.

Nach oben