ADFS 統合の設定

すべて表示 | すべて非表示

組織の Active Directory（AD）に登録されているユーザーが Kaspersky Security Center Cloud コンソールにサインインできるようにするには、Active Directory フェデレーションサービス（AD FS）との統合を設定する必要があります。

Kaspersky Security Center Cloud コンソールは AD FS 3（Windows Server 2016）以降のバージョンをサポートします。AD FS は公開され、インターネット上で入手可能である必要があります。サービス通信証明書として、AD FS は公的に信頼できる証明書を使用します。

AD FS 統合の設定を変更するには、ユーザー権限を変更するためのアクセス権が必要です。

次に進む前に、Active Directory のポーリングを完了したことを確認してください。

AD FS 統合を構成するには：

1. メインメニューで、管理サーバーの名前の横にある設定アイコン（）をクリックします。

   管理サーバーのプロパティウィンドウが開きます。

2. ［全般］タブで、［AD FS 連携設定］セクションを選択します。
3. コールバック URL をコピーします。

   この URL は、AD FS 管理コンソールで統合を設定するために必要です。

4. AD FS 管理コンソールで、新しいアプリケーショングループを追加し、サーバーアプリケーションテンプレートを選択して新しいアプリケーションを追加します（Microsoft のインターフェイス要素の名前は英語表記です）。

   AD FS 管理コンソールで、新しいアプリケーションのクライアント ID が生成されます。クライアント ID は、Kaspersky Security Center Cloud コンソールで統合を設定するために必要です。

5. リダイレクト URI として、管理サーバーのプロパティウィンドウでコピーしたコールバック URL を指定します。
6. クライアント秘密鍵を生成します。クライアント秘密鍵は、Kaspersky Security Center Cloud コンソールで統合を設定するために必要です。
7. 追加したアプリケーションのプロパティを保存します。
8. 作成したアプリケーショングループに、新しいアプリケーションを追加します。ここでは Web API テンプレートを選択します。
9. ［識別子］タブの［証明書利用者の識別子］リストに、先ほど追加したサーバーアプリケーションのクライアント ID を追加します。
10. ［クライアントのアクセス許可］タブの［許可されているスコープ］リストで、［allatclaims］と［openid］の範囲を選択します。
11. ［発行変換規則］タブで、［LDAP 属性を要求として送信］テンプレートを選択して新しい規則を追加します。
    1. 規則に名前を付けます。たとえば、「グループ SID」という名前を付けることができます。
    2. 属性ストアとして［Active Directory］を選択し、出力方向の要求の種類の LDAP 属性として［Token-Groups（SID）］を「グループ SID」にマッピングします。
12. ［発行変換規則］タブで、［カスタム規則を使用して要求を送信］テンプレートを選択して新しい規則を追加します：
    1. 規則に名前を付けます。たとえば、「ActiveDirectoryUserSID」という名前を付けることができます。
    2. ［カスタム規則］に、次を入力します：

       c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

13. Kaspersky Security Center Cloud コンソールで、再び［AD FS 連携設定］セクションを開きます。
14. スイッチを［AD FS 連携設定 有効］に切り替えます。
15. ［設定］をクリックして、フェデレーションサーバーの 1 つ以上の証明書を含むファイルを指定します。
16. ［AD FS 連携設定］をクリックして、次の設定を指定します：
    • 発行者の URL

      組織で利用中のフェデレーションサーバーの URL アドレス。

      具体的には、Kaspersky Security Center Cloud コンソールが「/.well-known/openid-configuration」を発行者の URL アドレスに追加し、追加後の URL アドレス（issuer_URL/.well-known/openid-configuration）を開いて発行者の設定の自動検出を試行します。

    • クライアント ID

      Kaspersky Security Center Cloud コンソールを識別するためにフェデレーションサーバーが生成するクライアント ID。AD FS 管理コンソールの、Kaspersky Security Center Cloud コンソールに対応するサーバーアプリケーションのプロパティウィンドウで、クライアント ID を確認できます。

    • クライアント秘密鍵

      クライアント秘密鍵は、Kaspersky Security Center Cloud コンソールに対応するサーバーアプリケーションのプロパティの指定時に、AD FS 管理コンソールで生成します。

    • ユーザーを認証するドメイン

      選択したドメインのメンバーは、ドメインアカウントの資格情報を使用して Kaspersky Security Center Cloud コンソールにサインインできるようになります。ネットワークポーリングの完了後に、ドメイン名がリストに表示されます。

    • ID トークンのユーザー SID のフィールド名

      ID トークンのユーザー SID を参照するフィールドの名前。フィールド名は、Kaspersky Security Center Cloud コンソールでユーザーを識別するために必要です。既定では、ID トークンのこのフィールドは「primarysid」と呼ばれます。

    • ID トークンのユーザーグループ SID 配列のフィールド名

      ユーザーが含まれる Active Directory セキュリティグループの SID 配列を参照するフィールドの名前。既定では、ID トークンのこのフィールドは「groupsid」と呼ばれます。

17. ［保存］をクリックします。

AD FS との統合が完了します。AD アカウントの資格情報で Kaspersky Security Center Cloud コンソールにサインインするには、［AD FS 連携設定］セクションで確認できるリンク（［Kaspersky Security Center Cloud コンソールへのログインリンク（AD FS 使用）］）を使用します。

AD FS を使用した初回の Kaspersky Security Center Cloud コンソールへのサインイン時には、コンソールの応答が遅延する場合があります。

ページのトップに戻る