配置 ADFS 集成
要允许在组织中的 Active Directory (AD) 中注册的用户登录 Kaspersky Security Center 云控制台,您必须配置与 Active Directory 联合身份验证服务 (ADFS) 的集成。
Kaspersky Security Center 云控制台支持 ADFS 3 (Windows Server 2016) 或更高版本。ADFS 必须在互联网上发布并可用。作为服务通信证书,ADFS 使用公共可信证书。
要更改 ADFS 集成设置,您必须具有更改用户权限的访问权限。
在继续之前,请确保您已完成Active Directory 轮询。
配置 ADFS 集成:
- 在主菜单,单击管理服务器名称旁边的“设置”图标 (
)。管理服务器属性窗口将打开。
- 在“常规”选项卡上,选择“ADFS 整合设置”区域。
- 复制回调 URL。
您将需要此 URL 来配置 ADFS 管理控制台中的集成。
- 在 ADFS 管理控制台中,添加新的应用程序组,然后通过选择服务器应用程序模板(Microsoft 界面元素的名称以英文提供)来添加新的应用程序。
ADFS 管理控制台为新应用程序生成客户端 ID。您将需要客户端 ID 来配置 Kaspersky Security Center 云控制台中的集成。
- 作为重定向 URI,指定您在管理服务器属性窗口中复制的回调 URL。
- 生成客户端密钥。您将需要客户端密码才能在 Kaspersky Security Center 云控制台中配置集成。
- 保存添加的应用程序的属性。
- 将新的应用程序添加到创建的应用程序组中。这次选择Web API模板。
- 在“标识符”选项卡上的“依赖方标识符”列表中,添加您之前添加的服务器应用程序的客户端 ID。
- 在“客户端权限”选项卡的“允许的范围”列表中,选择allatclaims和openid范围。
- 在“颁发转换规则”选项卡上,通过选择“发送 LDAP 属性作为声明”模板来添加新规则:
- 命名规则。例如,您可以将其命名为“Group SID”。
- 选择Active Directory作为属性存储,然后将令牌组作为 SID作为 LDAP 属性映射到“组 SID”作为传出声明类型。
- 在发行转换规则选项卡上,通过选择使用自定义规则发送声明模板来添加新规则:
- 命名规则。例如,您可以将其命名为“ActiveDirectoryUserSID”。
- 在自定义规则字段中,输入:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
- 在 Kaspersky Security Center 云控制台中,再次打开ADFS 整合设置部分。
- 将切换按钮切换到ADFS 整合 已启用位置。
- 单击设置链接,然后指定包含联合服务器的一个或多个证书的文件。
- 单击ADFS 整合设置链接,然后指定以下设置:
- 单击“保存”按钮。
与 ADFS 的集成已完成。要使用 AD 账户凭据登录 Kaspersky Security Center 云控制台 ,请使用ADFS 整合设置部分中提供的链接(使用 ADFS 登录 Kaspersky Security Center 云控制台的链接)。
当您首次通过 ADFS 登录 Kaspersky Security Center 云控制台时,控制台可能会延迟响应。
页顶