Configurazione dell'integrazione ADFS

Espandi tutto | Comprimi tutto

Per consentire agli utenti registrati in Active Directory (AD) nell'organizzazione di accedere a Kaspersky Security Center Cloud Console, è necessario configurare l'integrazione con Active Directory Federation Services (ADFS).

Kaspersky Security Center Cloud Console supporta ADFS 3 (Windows Server 2016) o una versione successiva. ADFS deve essere pubblicato e disponibile su Internet. Come certificato di comunicazione del servizio, ADFS utilizza un certificato attendibile pubblicamente.

Per modificare le impostazioni di integrazione ADFS, è necessario disporre del diritto di accesso per modificare le autorizzazioni utente.

Prima di procedere, assicurarsi di aver completato il polling di Active Directory.

Per configurare l'integrazione ADFS:

1. Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome di Administration Server.

   Verrà visualizzata la finestra delle proprietà di Administration Server.

2. Nella scheda Generale, selezionare la sezione Impostazioni per l'integrazione ADFS.
3. Copiare l'URL di callback.

   Questa URL sarà necessaria per configurare l'integrazione in Console di gestione di ADFS.

4. In Console di gestione di ADFS aggiungere un nuovo gruppo di applicazioni, quindi aggiungere una nuova applicazione selezionando il modello Applicazione server (i nomi degli elementi di interfaccia Microsoft sono disponibili in inglese).

   Console di gestione di ADFS genera l'ID client per la nuova applicazione. L'ID client sarà necessario per configurare l'integrazione in Kaspersky Security Center Cloud Console.

5. Come URI di reindirizzamento, specificare l'URL di callback copiata nella finestra delle proprietà di Administration Server.
6. Generare un segreto client. Il segreto client sarà necessario per configurare l'integrazione in Kaspersky Security Center Cloud Console.
7. Salvare le proprietà dell'applicazione aggiunta.
8. Aggiungere una nuova applicazione al gruppo di applicazioni creato. Questa volta selezionare il modello API Web.
9. Nella scheda Identificatori, nell'elenco Identificatori componente aggiungere l'ID client dell'applicazione server aggiunta in precedenza.
10. Nella scheda Autorizzazioni client, nell'elenco Ambiti consentiti selezionare gli ambiti allatclaims e openid.
11. Nella scheda Regole di trasformazione rilascio aggiungere una nuova regola selezionando il modello Inviare attributi LDAP come attestazioni:
    1. Assegnare un nome alla regola. È ad esempio possibile denominarla "SID gruppo".
    2. Selezionare Active Directory come archivio di attributi, quindi eseguire il mapping di Token-Groups come SID come attributo LDAP su "SID gruppo" come tipo di attestazione in uscita.
12. Nella scheda Regole di trasformazione rilascio aggiungere una nuova regola selezionando il modello Inviare attestazioni mediante una regola personalizzata:
    1. Assegnare un nome alla regola. È ad esempio possibile denominarla "ActiveDirectoryUserSID".
    2. Nel campo Regola personalizzata digitare:

       c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

13. In Kaspersky Security Center Cloud Console aprire nuovamente la sezione Impostazioni per l'integrazione ADFS.
14. Spostare l'interruttore sulla posizione Integrazione ADFS Abilitata.
15. Fare clic sul collegamento Impostazioni e specificare il file contenente il certificato o più certificati per il server federativo.
16. Fare clic sul collegamento Impostazioni per l'integrazione ADFS, quindi specificare le seguenti impostazioni:
    • URL emittente

      L'indirizzo URL del server federativo in uso nell'organizzazione.

      In particolare, Kaspersky Security Center Cloud Console aggiunge "/.well-known/openid-configuration" all'indirizzo URL dell'emittente e tenta di aprire l'indirizzo URL risultante (issuer_URL/.well-known/openid-configuration) per scoprire automaticamente la configurazione dell'emittente.

    • ID client

      ID client generato dal server federativo per identificare Kaspersky Security Center Cloud Console. L'ID client è disponibile in Console di gestione di ADFS nella finestra delle proprietà dell'applicazione server corrispondente a Kaspersky Security Center Cloud Console.

    • Segreto client

      Viene generato un segreto client in Console di gestione di ADFS quando vengono specificate le proprietà dell'applicazione server corrispondente a Kaspersky Security Center Cloud Console.

    • Dominio da cui autenticare gli utenti

      I membri del dominio selezionato potranno accedere a Kaspersky Security Center Cloud Console con le credenziali dell'account di dominio. I nomi di dominio vengono visualizzati nell'elenco dopo il completamento del polling della rete.

    • Nome del campo per il SID dell'utente nel token ID

      Nome del campo che fa riferimento al SID utente nel token ID. Il nome del campo è necessario per identificare l'utente in Kaspersky Security Center Cloud Console. Per impostazione predefinita, questo campo nel token ID si chiama "primarysid".

    • Nome del campo per l'array di SID dei gruppi di utenti nel token ID

      Nome del campo che fa riferimento all'array di SID dei gruppi di protezione di Active Directory in cui è incluso l'utente. Per impostazione predefinita, questo campo nel token ID si chiama "groupsid".

17. Fare clic sul pulsante Salva.

L'integrazione con ADFS è stata completata. Per accedere a Kaspersky Security Center Cloud Console con le credenziali di un account AD, utilizzare il collegamento disponibile nella sezione Impostazioni per l'integrazione ADFS (Collegamento per l'accesso a Kaspersky Security Center Cloud Console con ADFS).

Quando si accede a Kaspersky Security Center Cloud Console tramite ADFS per la prima volta, la console potrebbe rispondere con ritardo.

Inizio pagina