Configurando a integração ADFS

Expandir tudo | Recolher tudo

Para permitir que os usuários registrados no Active Directory (AD) em sua organização façam login no Kaspersky Security Center Cloud Console, você deve configurar a integração com os Active Directory Federation Services (AD FS).

O Kaspersky Security Center Cloud Console é compatível com AD FS 3 (Windows Server 2016) ou uma versão posterior. O AD FS deve ser publicado e estar disponível na Internet. Como o certificado de comunicação de serviço, o AD FS usa um certificado publicamente confiável.

Para alterar as configurações de integração AD FS, você deve ter direito de acesso para alterar as permissões do usuário.

Antes de continuar, certifique-se de ter concluído a sondagem do Active Directory.

Para configurar a integração AD FS:

1. No menu principal, clique no ícone de configurações () ao lado do nome do Servidor de Administração.

   A janela Propriedades do Servidor de Administração é aberta.

2. Na guia Geral, selecione a seção Configurações de integração AD FS.
3. Copie a URL de callback.

   Você precisa dessa URL para configurar a integração no Console de Gerenciamento AD FS.

4. No Console de Gerenciamento AD FS, adicione um novo grupo de aplicativos. Depois, adicione um novo aplicativo, selecionando o modelo Server application (os nomes dos elementos da interface da Microsoft são fornecidos em inglês).

   O console de gerenciamento AD FS gera a ID de cliente para o novo aplicativo. Você precisa da ID do cliente para configurar a integração no Kaspersky Security Center Cloud Console.

5. Como um URI de redirecionamento, especifique a URL de callback copiada na janela de propriedades do Servidor de Administração.
6. Gere um segredo do cliente. Você precisa do segredo do cliente para configurar a integração no Kaspersky Security Center Cloud Console.
7. Salve as propriedades do aplicativo adicionado.
8. Adicione um novo aplicativo ao grupo de aplicativos criado. Desta vez, selecione o modelo de API da web.
9. Na guia Identificadores, para a lista Identificadores de partes confiáveis, adicione a ID do cliente do aplicativo de servidor adicionado antes.
10. Na guia Permissões de cliente, na lista Escopos permitidos, selecione os escopos allatclaims e openid.
11. Na guia Regras de Transformação de Emissão, adicione uma nova regra selecionando o modelo Enviar atributos LDAP como declarações:
    1. Dê um nome à regra. Por exemplo, você pode chamá-ao de 'SID de grupo'.
    2. Selecione Active Directory como um armazenamento de atributos e, em seguida, mapear Grupos de Token como SIDs como um atributo LDAP para 'SID de Grupo' como um tipo de declaração de saída.
12. Na guia Regras de Transformação de Emissão, adicione uma nova regra selecionando o modelo Enviar reivindicações usando uma regra personalizada:
    1. Dê um nome à regra. Por exemplo, você pode chamá-la de 'ActiveDirectoryUserSID'.
    2. No campo Regra personalizada digite:

       c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

13. No Kaspersky Security Center Cloud Console, abra novamente a seção Configurações de integração AD FS.
14. Ative o botão de alternância para a posição Integração AD FS Ativada.
15. Clique no link Configurações e especifique o arquivo contendo o certificado ou vários certificados para o servidor de federação.
16. Clique no link Configurações de integração AD FS e especifique as seguintes configurações:
    • URL do emissor

      O endereço de URL do servidor de federação operando em sua organização.

      Em particular, o Kaspersky Security Center Cloud Console adiciona '/.well-known/openid-configuration' ao endereço URL do emissor e tenta abrir o endereço de URL resultante (issuer_URL/.well-known/openid-configuration) para descobrir a configuração do emissor automaticamente.

    • ID do cliente

      ID do cliente que o servidor de federação gera para identificar o Kaspersky Security Center Cloud Console. Você pode encontrar a ID do cliente no Console de Gerenciamento AD FS na janela de propriedades do aplicativo do servidor que corresponde ao Kaspersky Security Center Cloud Console.

    • Segredo do cliente

      Você gera um segredo de cliente no Console de Gerenciamento AD FS ao especificar as propriedades do aplicativo de servidor que correspondem ao Kaspersky Security Center Cloud Console.

    • Domínio do qual autenticar usuários

      Os membros do domínio selecionados poderão entrar no Kaspersky Security Center Cloud Console com suas credenciais de conta de domínio. Os nomes de domínio aparecem na lista depois de concluir a sondagem de rede.

    • Nome do campo para SID do usuário no token de ID

      Nome do campo referente à SID do usuário no token de ID. O nome do campo é necessário para identificar o usuário no Kaspersky Security Center Cloud Console. Por padrão, este campo no token de ID é denominado 'primarysid'.

    • Nome do campo para arranjo de SIDs dos grupos de usuários no token de ID

      Nome do campo referente à matriz de SIDs dos grupos de segurança do Active Directory em que o usuário está incluído. Por padrão, este campo no token de ID é chamado de 'groupsid'.

17. Clique no botão Salvar.

A integração com AD FS está concluída. Para fazer login no Kaspersky Security Center Cloud Console com credenciais de conta AD, use o link fornecido na seção Configurações de integração AD FS (Link de login para o Kaspersky Security Center Cloud Console com AD FS).

Ao fazer login no Kaspersky Security Center Cloud Console por meio do AD FS pela primeira vez, o console pode responder com um atraso.

Topo da página