設定 ADFS 整合
延伸所有 | 折疊所有
若要讓在組織中的 Active Directory (AD) 中註冊的使用者能夠登入卡巴斯基安全管理中心雲端主控台,您必須設定與 Active Directory 同盟服務 (ADFS) 的整合。
卡巴斯基安全管理中心雲端主控台支援 ADFS 3 (Windows Server 2016) 或以上版本。ADFS 必須在網際網路上發佈並可用。ADFS 使用公共信任的憑證作為服務通訊憑證。
若要變更 ADFS 整合設定,您必須具有變更使用者權限的存取權限。
在繼續之前,請先確認您已完成 Active Directory 輪詢。
若要設定 ADFS 整合:
- 在主功能表中,按一下管理伺服器名稱旁邊的設定圖示()。
管理伺服器內容視窗將開啟。
- 在一般頁籤,選取 ADFS 整合設定區段。
- 複製回撥 URL。
您將需要有該 URL,才能在 ADFS 管理主控台中設定整合。
- 在 ADFS 管理主控台中,新增應用程式群組,然後選取 Server application 範本(Microsoft 介面元素是顯示英文名稱)來新增應用程式。
ADFS 管理主控台即會為新的應用程式產生用戶端 ID。您將需要有該用戶端 ID,才能在卡巴斯基安全管理中心雲端主控台中設定整合。
- 在重新導向 URI 部分,指定您在管理伺服器內容視窗中複製的回撥 URL。
- 產生用戶端密碼。您將需要有該用戶端密碼,才能在卡巴斯基安全管理中心雲端主控台中設定整合。
- 儲存所新增應用程式的內容。
- 將新的應用程式新增到建立的應用程式群組中。這次請選取 Web API 範本。
- 在 Identifiers 頁籤的 Relying party identifiers 清單中,新增您稍早所新增伺服器應用程式的用戶端 ID。
- 在 Client Permissions 頁籤的 Permitted scopes 清單中,選取 allatclaims 和 openid 涵蓋範圍。
- 在 Issuance Transform Rules 頁籤,選取 Send LDAP Attributes as Claims 範本來新增規則:
- 為規則命名。例如,您可以將其命名為「Group SID」。
- 選取 Active Directory 作為屬性儲存區,然後以 LDAP 屬性的形式將 Token-Groups as SIDs 對應到「Group SID」作為連出的宣告類型。
- 在 Issuance Transform Rules 頁籤,選取 Send Claims Using a Custom Rule 範本來新增規則:
- 為規則命名。例如,您可以將其命名為「ActiveDirectoryUserSID」。
- 在 Custom rule 欄位中,輸入:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
- 在卡巴斯基安全管理中心雲端主控台中,再次開啟 ADFS 整合設定區段。
- 將切換按鈕切換到 ADFS 整合 已啟用位置。
- 點擊設定連結,然後指定含有同盟伺服器一或多個憑證的檔案。
- 點擊 ADFS 整合設定連結,然後指定以下設定:
- 簽發者 URL
在您組織中運作的同盟伺服器本身的 URL 位址。
具體而言,卡巴斯基安全管理中心雲端主控台會在簽發者 URL 位址中加上「/.well-known/openid-configuration」,然後嘗試開啟得到的 URL 位址 (issuer_URL/.well-known/openid-configuration),以便自動發現簽發者設定。
- 用戶端 ID
同盟伺服器所產生用於識別卡巴斯基安全管理中心雲端主控台的用戶端 ID。您可以在 ADFS 管理主控台中與卡巴斯基安全管理中心雲端主控台相對應的伺服器應用程式本身的內容視窗內,找到用戶端 ID。
- 用戶端密碼
您是在 ADFS 管理主控台中指定與卡巴斯基安全管理中心雲端主控台相對應的伺服器應用程式本身的內容時,產生用戶端密碼。
- 對使用者進行身分驗證的網域
您所選網域的成員將能夠使用其網域帳戶憑證登入卡巴斯基安全管理中心雲端主控台。網域名稱會在您完成網路輪詢後,出現在清單中。
- ID 權杖中使用者 SID 的欄位名稱
ID 權杖中引用了使用者 SID 的欄位本身的名稱。需要有該欄位名稱,才能在卡巴斯基安全管理中心雲端主控台中識別使用者。在 ID 權杖中,該欄位預設名為「primarysid」。
- ID 權杖中使用者群組的 SID 陣列的欄位名稱
引用了使用者所屬 Active Directory 安全群組 SID 陣列的欄位本身的名稱。在 ID 權杖中,該欄位預設名為「groupsid」。
- 點擊儲存按鈕。
與 ADFS 的整合程序即告完成。若要使用 AD 帳戶憑證登入卡巴斯基安全管理中心雲端主控台,請使用 ADFS 整合設定區段中提供的連結(含有 ADFS 的 Kaspersky Security Center Cloud Console 的登入連接)。
當您首次透過 ADFS 登入卡巴斯基安全管理中心雲端主控台時,主控台的回應速度可能會較慢。
頁頂