Configurar la integración de ADFS

Para que los usuarios que se encuentren registrados en Active Directory (AD) en su organización puedan iniciar sesión en Kaspersky Security Center Cloud Console, debe configurar la integración de los Servicios de federación de Active Directory (ADFS).

Kaspersky Security Center Cloud Console es compatible con ADFS 3 (Windows Server 2016) o versiones posteriores. ADFS debe estar publicado y disponible en Internet. Como certificado de comunicación de servicio, ADFS utiliza un certificado de confianza público.

Para cambiar los ajustes de integración de ADFS, debe contar con el derecho de acceso que permite cambiar permisos de usuario.

Antes de continuar, asegúrese de completar un sondeo de Active Directory.

Para configurar la integración de ADFS:

En el menú principal, haga clic en el ícono de configuración () ubicado junto al nombre del Servidor de administración.
Se abre la ventana Propiedades del Servidor de administración.
En la pestaña General, seleccione la sección Configuración de integración con ADFS.
Copie la URL de devolución de llamada.
Necesitará esta URL para configurar la integración en la consola de administración de ADFS.
En la consola de administración de ADFS, agregue un nuevo grupo de aplicaciones y, a continuación, seleccione la plantilla Server application para agregar una nueva aplicación (los nombres de los elementos de interfaz de Microsoft están en inglés).
La consola de administración de ADFS genera el id. de cliente para la nueva aplicación. Necesitará el id. de cliente para configurar la integración en Kaspersky Security Center Cloud Console.
Como URI de redireccionamiento, especifique la URL de devolución de llamada que copió en la ventana Propiedades del Servidor de administración.
Genere un secreto de cliente. Necesitará el secreto de cliente para configurar la integración en Kaspersky Security Center Cloud Console.
Guarde las propiedades de la aplicación agregada.
Agregue una nueva aplicación al grupo de aplicaciones creado. Esta vez, seleccione la plantilla Web API.
En la pestaña Identifiers, busque la lista Relying party identifiers y agregue el id. de cliente de la aplicación de servidor que agregó antes.
En la pestaña Client Permissions, busque la lista Permitted scopes y seleccione los alcances allatclaims y openid.
En la pestaña Issuance Transform Rules, elija la plantilla Send LDAP Attributes as Claims y agregue una nueva plantilla:
1. Asigne un nombre a la regla. Por ejemplo, puede asignarle el nombre "SID del grupo".
2. Seleccione Active Directory como almacén de atributos y, a continuación, cree un vínculo entre Token-Groups as SIDs como atributo LDAP y "SID de grupo" como tipo de notificación saliente.
En la pestaña Issuance Transform Rules, seleccione la plantilla Send Claims Using a Custom Rule y agregue una nueva regla:
1. Asigne un nombre a la regla. Por ejemplo, puede asignarle el nombre "ActiveDirectoryUserSID".
2. En el campo Custom rule, escriba lo siguiente:
  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
En Kaspersky Security Center Cloud Console, abra nuevamente la sección Configuración de integración con ADFS.
Cambie el botón de alternancia a la posición Integración con ADFS Habilitada.
Haga clic en el vínculo Configuración y, a continuación, elija el archivo que contiene el certificado (o los certificados) del servidor de federación.
Haga clic en el vínculo Configuración de integración con ADFS y configure los siguientes ajustes:
- URL del emisor
  La dirección URL del servidor de federación que utiliza en su organización.
  
  En particular, Kaspersky Security Center Cloud Console agrega "/.well-known/openid-configuration" a la dirección URL del emisor e intenta abrir la dirección URL resultante (issuer_URL/.well-known/openid-configuration) para descubrir la configuración del emisor automáticamente.
- Id. del cliente
  Id. de cliente que genera el servidor de federación para identificar a Kaspersky Security Center Cloud Console. Encontrará el id. de cliente en la consola de administración de ADFS, dentro de la ventana de propiedades de la aplicación de servidor correspondiente a Kaspersky Security Center Cloud Console.
- Secreto del cliente
  Generó un secreto de cliente en la consola de administración de ADFS al especificar las propiedades de la aplicación de servidor correspondiente a Kaspersky Security Center Cloud Console.
- Dominio desde el cual autenticar a los usuarios
  Los miembros del dominio que seleccione podrán iniciar sesión en Kaspersky Security Center Cloud Console con sus credenciales de cuenta de dominio. Los nombres de dominio aparecerán en la lista una vez que se complete el sondeo de la red.
- Nombre del campo para el SID del usuario en el token de ID
  Nombre del campo que hace referencia al SID del usuario en el token de id. El nombre del campo se necesita para identificar al usuario en Kaspersky Security Center Cloud Console. De forma predeterminada, el nombre del campo en el token de id. es "primarysid".
- Nombre del campo para un conjunto de SID de grupos del usuario en el token de ID
  Nombre del campo que hace referencia a la matriz de SID de los grupos de seguridad de Active Directory en los que está incluido el usuario. De forma predeterminada, este campo se llama "groupid" en el token de id.
Haga clic en el botón Guardar.

En este punto, ha completado la integración de ADFS. Para iniciar sesión en Kaspersky Security Center Cloud Console con las credenciales de una cuenta de AD, utilice el vínculo que encontrará en la sección Configuración de integración con ADFS (Vínculo de inicio de sesión en Kaspersky Security Center Cloud Console con ADFS).

La primera vez que inicie sesión en Kaspersky Security Center Cloud Console a través de ADFS, la consola podría tardar más de lo usual en responder.

Principio de página