設定 ADFS 整合

延伸所有 | 折疊所有

若要讓在組織中的 Active Directory (AD) 中註冊的使用者能夠登入卡巴斯基安全管理中心雲端主控台,您必須設定與 Active Directory 同盟服務 (ADFS) 的整合。

卡巴斯基安全管理中心雲端主控台支援 ADFS 3 (Windows Server 2016) 或以上版本。ADFS 必須在網際網路上發佈並可用。ADFS 使用公共信任的憑證作為服務通訊憑證。

若要變更 ADFS 整合設定,您必須具有變更使用者權限的存取權限

在繼續之前,請先確認您已完成 Active Directory 輪詢

若要設定 ADFS 整合:

  1. 在主功能表中,按一下管理伺服器名稱旁邊的設定圖示()。

    管理伺服器內容視窗將開啟。

  2. 一般頁籤,選取 ADFS 整合設定區段。
  3. 複製回撥 URL。

    您將需要有該 URL,才能在 ADFS 管理主控台中設定整合。

  4. 在 ADFS 管理主控台中,新增應用程式群組,然後選取 Server application 範本(Microsoft 介面元素是顯示英文名稱)來新增應用程式。

    ADFS 管理主控台即會為新的應用程式產生用戶端 ID。您將需要有該用戶端 ID,才能在卡巴斯基安全管理中心雲端主控台中設定整合。

  5. 在重新導向 URI 部分,指定您在管理伺服器內容視窗中複製的回撥 URL。
  6. 產生用戶端密碼。您將需要有該用戶端密碼,才能在卡巴斯基安全管理中心雲端主控台中設定整合。
  7. 儲存所新增應用程式的內容。
  8. 將新的應用程式新增到建立的應用程式群組中。這次請選取 Web API 範本。
  9. Identifiers 頁籤的 Relying party identifiers 清單中,新增您稍早所新增伺服器應用程式的用戶端 ID。
  10. Client Permissions 頁籤的 Permitted scopes 清單中,選取 allatclaimsopenid 涵蓋範圍。
  11. Issuance Transform Rules 頁籤,選取 Send LDAP Attributes as Claims 範本來新增規則:
    1. 為規則命名。例如,您可以將其命名為「Group SID」。
    2. 選取 Active Directory 作為屬性儲存區,然後以 LDAP 屬性的形式將 Token-Groups as SIDs 對應到「Group SID」作為連出的宣告類型。
  12. Issuance Transform Rules 頁籤,選取 Send Claims Using a Custom Rule 範本來新增規則:
    1. 為規則命名。例如,您可以將其命名為「ActiveDirectoryUserSID」。
    2. Custom rule 欄位中,輸入:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

  13. 在卡巴斯基安全管理中心雲端主控台中,再次開啟 ADFS 整合設定區段。
  14. 將切換按鈕切換到 ADFS 整合 已啟用位置。
  15. 點擊設定連結,然後指定含有同盟伺服器一或多個憑證的檔案。
  16. 點擊 ADFS 整合設定連結,然後指定以下設定:
    • 簽發者 URL
    • 用戶端 ID
    • 用戶端密碼
    • 對使用者進行身分驗證的網域
    • ID 權杖中使用者 SID 的欄位名稱
    • ID 權杖中使用者群組的 SID 陣列的欄位名稱
  17. 點擊儲存按鈕。

與 ADFS 的整合程序即告完成。若要使用 AD 帳戶憑證登入卡巴斯基安全管理中心雲端主控台,請使用 ADFS 整合設定區段中提供的連結(含有 ADFS 的 Kaspersky Security Center Cloud Console 的登入連接)。

當您首次透過 ADFS 登入卡巴斯基安全管理中心雲端主控台時,主控台的回應速度可能會較慢。

頁頂