配置 ADFS 集成

扩展所有 | 折叠所有

要允许在组织中的 Active Directory (AD) 中注册的用户登录 Kaspersky Security Center 云控制台,您必须配置与 Active Directory 联合身份验证服务 (ADFS) 的集成。

Kaspersky Security Center 云控制台支持 ADFS 3 (Windows Server 2016) 或更高版本。ADFS 必须在互联网上发布并可用。作为服务通信证书,ADFS 使用公共可信证书。

要更改 ADFS 集成设置,您必须具有更改用户权限的访问权限

在继续之前,请确保您已完成Active Directory 轮询

配置 ADFS 集成:

  1. 在主菜单,单击管理服务器名称旁边的“设置”图标 ()。

    管理服务器属性窗口将打开。

  2. 在“常规”选项卡上,选择“ADFS 整合设置”区域。
  3. 复制回调 URL。

    您将需要此 URL 来配置 ADFS 管理控制台中的集成。

  4. 在 ADFS 管理控制台中,添加新的应用程序组,然后通过选择服务器应用程序模板(Microsoft 界面元素的名称以英文提供)来添加新的应用程序。

    ADFS 管理控制台为新应用程序生成客户端 ID。您将需要客户端 ID 来配置 Kaspersky Security Center 云控制台中的集成。

  5. 作为重定向 URI,指定您在管理服务器属性窗口中复制的回调 URL。
  6. 生成客户端密钥。您将需要客户端密码才能在 Kaspersky Security Center 云控制台中配置集成。
  7. 保存添加的应用程序的属性。
  8. 将新的应用程序添加到创建的应用程序组中。这次选择Web API模板。
  9. “标识符”选项卡上的“依赖方标识符”列表中,添加您之前添加的服务器应用程序的客户端 ID。
  10. “客户端权限”选项卡的“允许的范围”列表中,选择allatclaimsopenid范围。
  11. “颁发转换规则”选项卡上,通过选择“发送 LDAP 属性作为声明”模板来添加新规则:
    1. 命名规则。例如,您可以将其命名为“Group SID”。
    2. 选择Active Directory作为属性存储,然后将令牌组作为 SID作为 LDAP 属性映射到“组 SID”作为传出声明类型。
  12. 发行转换规则选项卡上,通过选择使用自定义规则发送声明模板来添加新规则:
    1. 命名规则。例如,您可以将其命名为“ActiveDirectoryUserSID”。
    2. 自定义规则字段中,输入:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

  13. 在 Kaspersky Security Center 云控制台中,再次打开ADFS 整合设置部分。
  14. 将切换按钮切换到ADFS 整合 已启用位置。
  15. 单击设置链接,然后指定包含联合服务器的一个或多个证书的文件。
  16. 单击ADFS 整合设置链接,然后指定以下设置:
    • 发布者 URL
    • 客户端 ID
    • 客户端私密
    • 验证用户的域
    • ID 令牌中用户 SID 的字段名
    • ID 令牌中用户组的 SID 阵列的字段名
  17. 单击“保存”按钮。

与 ADFS 的集成已完成。要使用 AD 账户凭据登录 Kaspersky Security Center 云控制台 ,请使用ADFS 整合设置部分中提供的链接(使用 ADFS 登录 Kaspersky Security Center 云控制台的链接)。

当您首次通过 ADFS 登录 Kaspersky Security Center 云控制台时,控制台可能会延迟响应。

页顶