Configuration de l'intégration ADFS

Tout développer | Tout réduire

Pour permettre aux utilisateurs enregistrés dans Active Directory (AD) au sein de votre organisation de se connecter à Kaspersky Security Center Cloud Console, vous devez configurer l'intégration avec Active Directory Federation Services (ADFS).

Pour modifier les paramètres d'intégration ADFS, vous devez disposer du droit d'accès vous permettant de modifier les autorisations des utilisateurs.

Avant de continuer, assurez-vous d'avoir terminé le sondage Active Directory.

Pour configurer l'intégration ADFS, procédez comme suit :

  1. Dans Kaspersky Security Center Cloud Console, cliquez sur l'icône Paramètres (settings_new) à côté du nom du Serveur d'administration.

    La fenêtre des propriétés du Serveur d'administration s'ouvre.

  2. Sous l'onglet Général, sélectionnez la section Paramètres d'intégration ADFS.
  3. Copiez l'URL de rappel.

    Vous aurez besoin de cette URL pour configurer l'intégration dans ADFS Management Console.

  4. Dans ADFS Management Console, ajoutez un nouveau groupe d'applications, puis ajoutez une nouvelle application en sélectionnant le « template » de l'Application serveur (les noms des éléments de l'interface Microsoft sont fournis en anglais.).

    ADFS Management Console génère un identifiant de client pour la nouvelle application. Vous aurez besoin de l'identifiant de client pour configurer l'intégration dans Kaspersky Security Center Cloud Console.

  5. En tant qu'URI de redirection, indiquez l'URL de rappel que vous avez copiée dans la fenêtre des propriétés du Serveur d'administration.
  6. Générez un secret de client. Vous aurez besoin du secret de client pour configurer l'intégration dans Kaspersky Security Center Cloud Console.
  7. Enregistrez les propriétés de l'application ajoutée.
  8. Ajoutez une nouvelle application au groupe d'applications créé. Cette fois, sélectionnez le modèle API Web.
  9. Sous l'onglet Identifiants, ajoutez l'identifiant de client de l'application de serveur que vous avez ajoutée auparavant à la liste Identifiants de partie de confiance.
  10. Sous l'onglet Autorisations des clients, dans la liste Zones autorisées, sélectionnez les zones allatclaims et openid.
  11. Sous l'onglet Règles de transformation d'émission, ajoutez une nouvelle règle en sélectionnant le modèle Envoyer les attributs LDAP en tant que revendications :
    1. Attribuez un nom à la règle. Par exemple, vous pouvez la nommer « Groupe SID ».
    2. Sélectionnez Active Directory en tant que magasin d'attributs, puis mappez Groupes de jetons en tant que SID en tant qu'attribut LDAP à « Groupe SID » en tant que type de revendication sortante.
  12. Sous l'onglet Règles de transformation d'émission, ajoutez une nouvelle règle en sélectionnant le modèle Envoyer des revendications à l'aide d'une règle personnalisée :
    1. Attribuez un nom à la règle. Par exemple, vous pouvez la nommer « ActiveDirectoryUserSID ».
    2. Dans le champ Règle personnalisée, saisissez ce qui suit :

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

  13. Dans Kaspersky Security Center Cloud Console, ouvrez de nouveau la section Paramètres d'intégration ADFS.
  14. Basculez le commutateur sur Intégration ADFS ACTIVÉE.
  15. Cliquez sur le lien Paramètres, puis indiquez le fichier qui contient le certificat ou plusieurs certificats pour le serveur de fédération.
  16. Cliquez sur le lien Paramètres d'intégration ADFS, puis définissez les paramètres suivants :
    • URL de l'émetteur
    • ID du client
    • Secret du client
    • Domaine à partir duquel authentifier les utilisateurs
    • Nom du champ pour le SID de l'utilisateur dans le jeton d'identification
    • Nom du champ pour le tableau des SID des groupes de l'utilisateur dans le jeton d'identification
  17. Cliquez sur le bouton Enregistrer.

L'intégration avec ADFS est terminée. Pour vous connecter à Kaspersky Security Center Cloud Console à l'aide des identifiants d'un compte AD, utilisez le lien fourni dans la section Paramètres d'intégration ADFS (Lien de connexion à la Kaspersky Security Center Cloud Console avec ADFS).

Lorsque vous vous connectez à Kaspersky Security Center Cloud Console via ADFS pour la première fois, la console peut réagir avec un certain retard.

Haut de page