Configuration de l'intégration ADFS

Pour permettre aux utilisateurs enregistrés dans Active Directory (AD) au sein de votre organisation de se connecter à Kaspersky Security Center Cloud Console, vous devez configurer l'intégration avec Active Directory Federation Services (ADFS).

Kaspersky Security Center Cloud Console prend en charge ADFS 3 (Windows Server 2016) ou une version ultérieure.

Pour modifier les paramètres d'intégration ADFS, vous devez disposer du droit d'accès vous permettant de modifier les autorisations des utilisateurs.

Avant de continuer, assurez-vous d'avoir terminé le sondage Active Directory.

Pour configurer l'intégration ADFS, procédez comme suit :

Dans le menu principal, cliquez sur l'icône des paramètres () à côté du nom du Serveur d'administration.
La fenêtre des propriétés du Serveur d'administration s'ouvre.
Sous l'onglet Général, sélectionnez la section Paramètres d'intégration ADFS.
Copiez l'URL de rappel.
Vous aurez besoin de cette URL pour configurer l'intégration dans ADFS Management Console.
Dans ADFS Management Console, ajoutez un nouveau groupe d'applications, puis ajoutez une nouvelle application en sélectionnant le « template » de l'Application serveur (les noms des éléments de l'interface Microsoft sont fournis en anglais.).
ADFS Management Console génère un identifiant de client pour la nouvelle application. Vous aurez besoin de l'identifiant de client pour configurer l'intégration dans Kaspersky Security Center Cloud Console.
En tant qu'URI de redirection, indiquez l'URL de rappel que vous avez copiée dans la fenêtre des propriétés du Serveur d'administration.
Générez un secret de client. Vous aurez besoin du secret de client pour configurer l'intégration dans Kaspersky Security Center Cloud Console.
Enregistrez les propriétés de l'application ajoutée.
Ajoutez une nouvelle application au groupe d'applications créé. Cette fois, sélectionnez le modèle API Web.
Sous l'onglet Identifiants, ajoutez l'identifiant de client de l'application de serveur que vous avez ajoutée auparavant à la liste Identifiants de partie de confiance.
Sous l'onglet Autorisations des clients, dans la liste Zones autorisées, sélectionnez les zones allatclaims et openid.
Sous l'onglet Règles de transformation d'émission, ajoutez une nouvelle règle en sélectionnant le modèle Envoyer les attributs LDAP en tant que revendications :
1. Attribuez un nom à la règle. Par exemple, vous pouvez la nommer « Groupe SID ».
2. Sélectionnez Active Directory en tant que magasin d'attributs, puis mappez Groupes de jetons en tant que SID en tant qu'attribut LDAP à « Groupe SID » en tant que type de revendication sortante.
Sous l'onglet Règles de transformation d'émission, ajoutez une nouvelle règle en sélectionnant le modèle Envoyer des revendications à l'aide d'une règle personnalisée :
1. Attribuez un nom à la règle. Par exemple, vous pouvez la nommer « ActiveDirectoryUserSID ».
2. Dans le champ Règle personnalisée, saisissez ce qui suit :
  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
Dans Kaspersky Security Center Cloud Console, ouvrez de nouveau la section Paramètres d'intégration ADFS.
Basculez le commutateur sur Intégration ADFS Activé.
Cliquez sur le lien Paramètres, puis indiquez le fichier qui contient le certificat ou plusieurs certificats pour le serveur de fédération.
Cliquez sur le lien Paramètres d'intégration ADFS, puis définissez les paramètres suivants :
- URL de l'émetteur
  
  L'URL du serveur de fédération fonctionnant dans votre organisation.
  
  Kaspersky Security Center Cloud Console ajoute notamment « /.well-known/openid-configuration » à l'URL de l'émetteur et essaie d'ouvrir l'URL résultante (issuer_URL/.well-known/openid-configuration) pour découvrir la configuration de l'émetteur automatiquement.
- ID du client
  
  Identifiant de client généré par le serveur de fédération pour identifier Kaspersky Security Center Cloud Console. Vous pouvez trouver l'identifiant de client dans ADFS Management Console, dans la fenêtre des propriétés de l'application de serveur qui correspond à Kaspersky Security Center Cloud Console.
- Secret du client
  
  Vous générez un secret de client dans ADFS Management Console lorsque vous définissez les propriétés de l'application de serveur qui correspond à Kaspersky Security Center Cloud Console.
- Domaine à partir duquel authentifier les utilisateurs
  
  Les membres du domaine que vous sélectionnez pourront se connecter à Kaspersky Security Center Cloud Console avec leurs identifiants du compte de domaine. Les noms de domaine s'affichent dans la liste une fois que le sondage du réseau est terminé.
- Nom du champ pour le SID de l'utilisateur dans le jeton d'identification
  
  Nom du champ qui fait référence au SID de l'utilisateur dans le jeton d'identification. Le nom du champ est obligatoire pour identifier l'utilisateur dans Kaspersky Security Center Cloud Console. Par défaut, ce champ dans le jeton d'identification est appelé « primarysid ».
- Nom du champ pour le tableau des SID des groupes de l'utilisateur dans le jeton d'identification
  
  Nom du champ qui fait référence à l'ensemble de SID des groupes de sécurité Active Directory dans lequel l'utilisateur est inclus. Par défaut, ce champ dans le jeton d'identification est appelé « groupsid ».
Cliquez sur le bouton Enregistrer.

L'intégration avec ADFS est terminée. Pour vous connecter à Kaspersky Security Center Cloud Console à l'aide des identifiants d'un compte AD, utilisez le lien fourni dans la section Paramètres d'intégration ADFS (Lien de connexion à Kaspersky Security Center Cloud Console avec ADFS).

Lorsque vous vous connectez à Kaspersky Security Center Cloud Console via ADFS pour la première fois, la console peut réagir avec un certain retard.

Haut de page