Configuración de la integración de ADFS

Para permitir que los usuarios registrados en Active Directory (AD) de su organización inicien sesión en Kaspersky Security Center Cloud Console, es necesario configurar la integración con los Servicios de federación de Active Directory (ADFS).

Kaspersky Security Center Cloud Console es compatible con ADFS 3 (Windows Server 2016) o versiones posteriores. ADFS debe estar publicado y disponible en Internet. Como certificado de comunicación de servicio, ADFS utiliza un certificado de confianza público.

Para cambiar la configuración de integración de ADFS, debe tener derechos de acceso para cambiar los permisos de usuario.

Antes de continuar, asegúrese de haber completado el Sondeo de Active Directory.

Para configurar la integración de ADFS:

En la ventana principal de la aplicación, haga clic en el icono de configuración () junto al nombre del Servidor de administración.
Se abre la ventana Propiedades del Servidor de administración.
En la pestaña General, seleccione la sección Configuración de integración con ADFS.
Copie la URL de devolución de llamada.
Necesitará esta URL para configurar la integración en la Consola de administración de ADFS.
En la consola de administración de ADFS, añada un nuevo grupo de aplicaciones y, a continuación, añada una nueva aplicación seleccionando la plantilla Aplicación del servidor (los nombres de los elementos de interfaz de Microsoft están en inglés).
La Consola de administración de ADFS genera el ID de cliente para la nueva aplicación. Necesitará el ID de cliente para configurar la integración en Kaspersky Security Center Cloud Console.
Como URI de redireccionamiento, especifique la URL de devolución de llamada que copió en la ventana de propiedades del Servidor de administración.
Genere una clave secreta de cliente. Necesitará la clave secreta del cliente para configurar la integración en Kaspersky Security Center Cloud Console.
Guarde las propiedades de la aplicación añadida.
Añada una nueva aplicación al grupo de aplicaciones creado. Esta vez seleccione la plantilla de API web.
En la pestaña Identificadores, en la lista Identificadores de la parte que confía, añada el ID de cliente de la aplicación de servidor que añadió anteriormente.
En la pestaña Permisos del cliente, en la lista Ámbitos permitidos, seleccione los ámbitos allatclaims y openid.
En la pestaña Reglas de transformación de emisiones, seleccione la plantilla Enviar atributos LDAP como reclamos para añadir una nueva regla:
1. Nombre la regla. Por ejemplo, puede nombrarle 'Group SID'.
2. Seleccione Active Directory como almacén de atributos y luego asigne Grupos de tokens como SID como un atributo LDAP a 'Group SID' como un tipo de notificación saliente.
En la pestaña Reglas de transformación de emisiones, seleccione la plantilla Enviar reclamaciones mediante una regla personalizada para añadir una nueva regla:
1. Nombre la regla. Por ejemplo, puede nombrarle 'ActiveDirectoryUserSID'.
2. En el campo Regla personalizada, escriba:
  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
En Kaspersky Security Center Cloud Console, abra nuevamente la sección Configuración de integración con ADFS.
Cambie el botón de alternancia a la posición Integración con ADFS Activada.
Haga clic en el enlace Configuración y, a continuación, especifique el archivo que contiene el certificado o varios certificados para el servidor de federación.
Haga clic en el enlace Configuración de integración con ADFS y, a continuación, especifique la siguiente configuración:
- URL del emisor
  La dirección URL del servidor de federación que se ejecuta en su organización.
  
  En particular, Kaspersky Security Center Cloud Console añade '/.well-known/openid-configuration' a la dirección URL del emisor e intenta abrir la dirección URL resultante (issuer_URL/.well-known/openid-configuration) para descubrir la configuración del emisor automáticamente.
- Id. del cliente
  ID de cliente que genera el servidor de federación para identificar Kaspersky Security Center Cloud Console. Puede encontrar el ID de cliente en la Consola de administración de ADFS en la ventana de propiedades de la aplicación del servidor que corresponde a Kaspersky Security Center Cloud Console.
- Secreto del cliente
  Usted genera un secreto de cliente en la Consola de administración de ADFS cuando especifica las propiedades de la aplicación del servidor que corresponde a Kaspersky Security Center Cloud Console.
- Dominio desde el cual autenticar a los usuarios
  Los miembros del dominio que seleccione podrán usar sus credenciales de cuenta de dominio para iniciar sesión en Kaspersky Security Center Cloud Console. Los nombres de dominio aparecen en la lista después de completar el sondeo de la red.
- Nombre de campo para el SID del usuario en el token de ID
  Nombre del campo que hace referencia al SID del usuario en el token de ID. El nombre del campo es obligatorio para identificar al usuario en Kaspersky Security Center Cloud Console. De forma predeterminada, este campo en el token de ID se denomina 'primarysid'.
- Nombre de campo para un conjunto de SID de grupos del usuario en el token de ID
  Nombre del campo que hace referencia a la matriz de SID de los grupos de seguridad de Active Directory en los que está incluido el usuario. De forma predeterminada, este campo en el token de ID se llama 'groupsid'.
Haga clic en el botón Guardar.

Se completó la integración con ADFS. Para iniciar sesión en Kaspersky Security Center Cloud Console con las credenciales de una cuenta de AD, utilice el enlace que se proporciona en la sección Configuración de integración con ADFS (Enlace de inicio de sesión a Kaspersky Security Center Cloud Console con ADFS).

Cuando inicia sesión en Kaspersky Security Center Cloud Console a través de ADFS por primera vez, es posible que la consola responda con retraso.

Principio de página