ADFS-Integration konfigurieren

Damit sich die in Active Directory (AD) registrierten Benutzer Ihres Unternehmens an der Kaspersky Security Center Cloud Console anmelden können, müssen Sie die Integration mit Active Directory Federation Services (ADFS) konfigurieren.

Kaspersky Security Center Cloud Console unterstützt ADFS 3 (Windows Server 2016) oder eine neuere Version.

Um die Einstellungen der ADFS-Integration zu ändern, benötigen Sie die Zugriffsberechtigung zum Ändern von Benutzerberechtigungen.

Bevor Sie fortfahren, stellen Sie sicher, dass Sie die Abfrage der Active Directory abgeschlossen haben.

So konfigurieren Sie die ADFS-Integration:

Klicken Sie im Hauptmenü auf das Einstellungen-Symbol () neben dem Namen des Administrationsservers.
Das Eigenschaftenfenster des Administrationsservers wird geöffnet.
Wählen Sie auf der Registerkarte Allgemein den Abschnitt Integrationseinstellungen von ADFS aus.
Kopieren Sie die Callback-URL.
Sie benötigen diese URL, um die Integration in der ADFS-Verwaltungskonsole zu konfigurieren.
Fügen Sie in der ADFS-Verwaltungskonsole eine neue Anwendungsgruppe hinzu und fügen Sie anschließend durch auswählen der Vorlage für die Server-Anwendung eine neue Anwendung hinzu (die Namen der Elemente der Microsoft-Benutzeroberfläche werden auf Englisch/Deutsch angegeben).
Die ADFS-Verwaltungskonsole generiert eine Client-ID für die neue Anwendung. Sie benötigen die Client-ID, um die Integration in Kaspersky Security Center Cloud Console zu konfigurieren.
Geben Sie als Redirect-URI die Callback-URL an, die Sie im Eigenschaftenfenster des Administrationsservers kopiert haben.
Generieren Sie ein Clientgeheimnis. Sie benötigen das Clientgeheimnis, um die Integration in Kaspersky Security Center Cloud Console zu konfigurieren.
Speichern Sie die Eigenschaften der hinzugefügten Anwendung.
Fügen Sie der erstellten Anwendungsgruppe eine neue Anwendung hinzu. Wählen Sie dieses Mal das Template Web-API aus.
Fügen Sie auf der Registerkarte Identifikatoren die Client-ID der Serveranwendung, die Sie zuvor hinzugefügt haben, zur Liste Identifikatoren vertrauenswürdiger Teilnehmer hinzu.
Wählen Sie auf der Registerkarte Client-Berechtigungen, in der Liste Zulässige Bereiche die Bereiche allatclaims und openid aus.
Fügen Sie auf der Registerkarte Transformationsregeln für die Ausstellung eine neue Regel hinzu, indem Sie die das Template LDAP-Attribute als Claims senden auswählen:
1. Geben Sie der Regel einen Namen. Sie können sie beispielsweise "Gruppen-SID" nennen.
2. Wählen Sie Active Directory als Attributspeicher aus und ordnen sie anschließend Token-Gruppen als SIDs als LDAP-Attribut für 'Gruppen-SID' als ausgehenden Claim-Typ zu.
Fügen Sie auf der Registerkarte Transformationsregeln für die Ausstellung eine neue Regel hinzu, indem Sie die das Template Claims mit benutzerdefinierter Regel senden auswählen:
1. Geben Sie der Regel einen Namen. Sie können diese beispielsweise "ActiveDirectoryUserSID" nennen.
2. Geben Sie In dem Feld Benutzerdefinierte Regel Folgendes ein:
  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
Öffnen Sie in der Kaspersky Security Center Cloud Console den Abschnitt Integrationseinstellungen von ADFS erneut.
Stellen Sie den Umschalter auf die Position ADFS-Integration Aktiviert.
Klicken Sie auf den Link Einstellungen und geben Sie anschließend die Datei an, die das Zertifikat oder mehrere Zertifikate für den Federation-Server enthält.
Klicken Sie auf den Link Integrationseinstellungen von ADFS und legen Sie anschließend die folgenden Einstellungen fest:
- Aussteller-URL
  Die URL-Adresse des Federation-Servers, der in Ihrer Organisation läuft.
  
  In diesem Fall fügt Kaspersky Security Center Cloud Console der URL-Adresse des Ausstellers "/.well-known/openid-configuration" hinzu und versucht die resultierende Adresse (issuer_URL/.well-known/openid-configuration) zu öffnen, um die Konfiguration des Ausstellers automatisch zu erkennen.
- Client-ID
  Client-ID, die der Federation-Server generiert, um die Kaspersky Security Center Cloud Console zu identifizieren. Die Client-ID finden Sie in der ADFS-Verwaltungskonsole im Eigenschaftenfenster der Serveranwendung, die der Kaspersky Security Center Cloud Console entspricht.
- Client-Geheimnis
  Das Clientgeheimnis generieren Sie in der ADFS-Verwaltungskonsole, wenn Sie die Eigenschaften der Serveranwendung angeben, die der Kaspersky Security Center Cloud Console entspricht.
- Domäne, deren Benutzer authentifiziert werden sollen
  Die Mitglieder der ausgewählten Domäne können sich mit ihren Zugangsdaten für das Domänenkonto an der Kaspersky Security Center Cloud Console anmelden. Die Domänennamen werden in der Liste angezeigt, nachdem Sie die Netzwerkabfrage abgeschlossen haben.
- Feldname der Benutzer-SID in dem ID-Token
  Name des Felds, das auf die Benutzer-SID im ID-Token verweist. Der Feldname wird benötigt, um den Benutzer an der Kaspersky Security Center Cloud Console zu identifizieren. Standardmäßig heißt dieses Feld im ID-Token "primarysid".
- Feldname des Arrays mit Benutzergruppen-SIDs in dem ID-Token
  Name des Felds, das sich auf das Array mit den SIDs von Sicherheitsgruppen aus Active Directory bezieht, in denen der Benutzer enthalten ist. Standardmäßig heißt dieses Feld im ID-Token "groupsid".
Klicken Sie auf die Schaltfläche Speichern.

Die Integration mit ADFS ist abgeschlossen. Um sich mit den Zugangsdaten eines AD-Kontos an der Kaspersky Security Center Cloud Console anzumelden, verwenden Sie den Link aus dem Abschnitt Integrationseinstellungen von ADFS (Link zur ADFS-Anmeldung an Kaspersky Security Center Cloud Console).

Wenn Sie sich zum ersten Mal mittels ADFS an der Kaspersky Security Center Cloud Console anmelden, reagiert die Konsole möglicherweise mit einer Verzögerung.

Nach oben