設定 ADFS 整合
若要讓在組織中的 Active Directory (AD) 中註冊的使用者能夠登入卡巴斯基安全管理中心雲端主控台,您必須設定與 Active Directory 同盟服務 (ADFS) 的整合。
卡巴斯基安全管理中心雲端主控台支援 ADFS 3 (Windows Server 2016) 或以上版本。ADFS 必須在網際網路上發佈並可用。ADFS 使用公共信任的憑證作為服務通訊憑證。
若要變更 ADFS 整合設定,您必須具有變更使用者權限的存取權限。
在繼續之前,請先確認您已完成 Active Directory 輪詢。
若要設定 ADFS 整合:
- 在主功能表中,按一下管理伺服器名稱旁邊的設定圖示(
)。管理伺服器內容視窗將開啟。
- 在一般頁籤,選取 ADFS 整合設定區段。
- 複製回撥 URL。
您將需要有該 URL,才能在 ADFS 管理主控台中設定整合。
- 在 ADFS 管理主控台中,新增應用程式群組,然後選取 Server application 範本(Microsoft 介面元素是顯示英文名稱)來新增應用程式。
ADFS 管理主控台即會為新的應用程式產生用戶端 ID。您將需要有該用戶端 ID,才能在卡巴斯基安全管理中心雲端主控台中設定整合。
- 在重新導向 URI 部分,指定您在管理伺服器內容視窗中複製的回撥 URL。
- 產生用戶端密碼。您將需要有該用戶端密碼,才能在卡巴斯基安全管理中心雲端主控台中設定整合。
- 儲存所新增應用程式的內容。
- 將新的應用程式新增到建立的應用程式群組中。這次請選取 Web API 範本。
- 在 Identifiers 頁籤的 Relying party identifiers 清單中,新增您稍早所新增伺服器應用程式的用戶端 ID。
- 在 Client Permissions 頁籤的 Permitted scopes 清單中,選取 allatclaims 和 openid 涵蓋範圍。
- 在 Issuance Transform Rules 頁籤,選取 Send LDAP Attributes as Claims 範本來新增規則:
- 為規則命名。例如,您可以將其命名為「Group SID」。
- 選取 Active Directory 作為屬性儲存區,然後以 LDAP 屬性的形式將 Token-Groups as SIDs 對應到「Group SID」作為連出的宣告類型。
- 在 Issuance Transform Rules 頁籤,選取 Send Claims Using a Custom Rule 範本來新增規則:
- 為規則命名。例如,您可以將其命名為「ActiveDirectoryUserSID」。
- 在 Custom rule 欄位中,輸入:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
- 在卡巴斯基安全管理中心雲端主控台中,再次開啟 ADFS 整合設定區段。
- 將切換按鈕切換到 ADFS 整合 已啟用位置。
- 點擊設定連結,然後指定含有同盟伺服器一或多個憑證的檔案。
- 點擊 ADFS 整合設定連結,然後指定以下設定:
- 點擊儲存按鈕。
與 ADFS 的整合程序即告完成。若要使用 AD 帳戶憑證登入卡巴斯基安全管理中心雲端主控台,請使用 ADFS 整合設定區段中提供的連結(透過 ADFS 登入卡巴斯基安全管理中心雲端主控台的連結)。
當您首次透過 ADFS 登入卡巴斯基安全管理中心雲端主控台時,主控台的回應速度可能會較慢。
頁頂