Настройка ADFS-интеграции

Развернуть все | Свернуть все

Чтобы разрешить пользователям, зарегистрированным в Active Directory (AD) вашей организации, входить в Kaspersky Security Center Cloud Console, вам необходимо настроить интеграцию со службами Active Directory Federation Services (ADFS).

Чтобы изменить параметры ADFS-интеграции, вам нужны права доступа для изменения прав пользователей.

Прежде чем продолжить, убедитесь, что вы выполнили опрос Active Directory.

Чтобы настроить ADFS-интеграцию:

  1. В программе Kaspersky Security Center Cloud Console нажмите на значок Параметры (settings_new) рядом с именем главного Сервера администрирования.

    Откроется окно свойств Сервера администрирования.

  2. На закладке Общие выберите раздел Параметры интеграции с ADFS.
  3. Скопируйте URL-адрес обратного вызова.

    Этот URL-адрес понадобится вам для настройки интеграции в Консоли управления ADFS.

  4. В Консоли управления ADFS добавьте группу программ, а затем добавьте программу, выбрав шаблон Server application (названия элементов интерфейса Microsoft приведены на английском языке).

    Консоль управления ADFS генерирует идентификатор клиента для новой программы. Идентификатор клиента понадобится вам для настройки интеграции в Kaspersky Security Center Cloud Console.

  5. В качестве URI перенаправления укажите URL-адрес обратного вызова, который вы скопировали в окне свойств Сервера администрирования.
  6. Создайте секрет клиента. Секрет клиента понадобится вам для настройки интеграции с Kaspersky Security Center Cloud Console.
  7. Сохраните свойства добавленной программы.
  8. Добавьте программу в созданную группу программ. Выберите шаблон Web API.
  9. На закладке Identifiers в список Relying party identifiers добавьте идентификатор клиента серверного приложения, которое вы добавили ранее.
  10. На закладке Client Permissions в списке Permitted scopes выберите allatclaims и openid.
  11. На закладке Issuance Transform Rules добавьте правило, выбрав шаблон Send LDAP Attributes as Claims:
    1. Укажите название правила. Например, вы можете назвать его "Group SID".
    2. Выберите Active Directory в качестве хранилища атрибутов, а затем сопоставьте Token-Groups as SIDs в качестве атрибута LDAP с "Группа SID" в качестве типа исходящего утверждения.
  12. На закладке Issuance Transform Rules добавьте правило, выбрав Send Claims Using a Custom Rule:
    1. Укажите название правила. Например, ActiveDirectoryUserSID.
    2. В поле Custom rule укажите:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

  13. В Kaspersky Security Center Cloud Console снова откройте раздел Параметры интеграции с ADFS.
  14. Переведите переключатель в положение Интеграция ADFS Включено.
  15. Перейдите по ссылке Параметры и укажите файл содержащий сертификат или несколько сертификатов федерального сервера.
  16. Перейдите по ссылке Параметры интеграции с ADFS и укажите следующие параметры:
    • URL издателя
    • Идентификатор клиента
    • Секрет клиента
    • Доменная аутентификация пользователей
    • Имя поля для SID пользователя в идентификаторе токена
    • Имя поля для массива SID групп пользователей в идентификаторе токена
  17. Нажмите на кнопку Сохранить.

Интеграция с ADFS завершена. Чтобы войти в Kaspersky Security Center Cloud Console с учетными данными AD, используйте ссылку в разделе Параметры интеграции с ADFS (Ссылка для входа в Kaspersky Security Center Cloud Console с ADFS).

При первом входе в Kaspersky Security Center Cloud Console через ADFS, консоль может реагировать с задержкой.

В начало