Identity and Access Manager в Kaspersky Security Center Web Console

В этом разделе представлена информация о Identity and Access Manager (далее также IAM).

О компоненте Identity and Access Manager

Identity and Access Manager (далее также IAM) – это компонент Kaspersky Security Center Web Console, позволяющий использовать единый вход (Single Sign-on, SSO) между Kaspersky Security Center Web Console и веб-интерфейсом Kaspersky Industrial CyberSecurity for Networks. IAM использует протокол OAuth 2.0 для авторизации Kaspersky Industrial CyberSecurity for Networks в Kaspersky Security Center Web Console.

В этом случае программа Kaspersky Industrial CyberSecurity for Networks, доступ к которой вы получаете через Kaspersky Security Center Web Console, называется сервером ресурсов, Kaspersky Security Center Web Console и веб-интерфейс Kaspersky Industrial CyberSecurity for Networks называются клиенты OAuth 2.0. Сервер ресурсов – это программа, которая работает с несколькими пользователями и требует авторизации. Клиент использует токен для авторизации на сервере ресурсов. Токен – это уникальная последовательность байтов. По истечении срока действия токена он автоматически перевыпускается. IAM действует как единый сервер авторизации для нескольких клиентов OAuth 2.0.

Вы можете установить IAM при установке Kaspersky Security Center Web Console. Вы можете включить его позже в любой момент в параметрах Kaspersky Security Center Web Console. Если Сервер Kaspersky Industrial CyberSecurity или веб-интерфейс Kaspersky Industrial CyberSecurity установлены на устройстве, управляемым тем же Сервером администрирования, IAM обнаруживает эту программу, и в Kaspersky Security Center Web Console отображается уведомление об этом. Вы можете зарегистрировать Kaspersky Industrial CyberSecurity for Networks, а затем использовать SSO как для Kaspersky Security Center Web Console, так и для веб-интерфейса Kaspersky Industrial CyberSecurity for Networks.

Если вы выйдете из Kaspersky Security Center Web Console, ваш сеанс в веб-интерфейсе Kaspersky Industrial CyberSecurity for Networks завершится, и вам придется снова войти в Kaspersky Security Center Web Console.

Включение Identity and Access Manager: сценарий

Предварительные требования

Перед началом работы убедитесь, что у вас есть доступ к Kaspersky Industrial CyberSecurity for Networks версии 3.1 или новее.

Этапы

Включение Identity and Access Manager (также называемого IAM) происходит поэтапно:

1. Проверка необходимых портов

   Убедитесь, что на устройстве, на котором установлена программа Kaspersky Security Center Web Console, открыты порты 3333, 4004 и 4444. Эти порты необходимы для использования OAuth 2.0. Вы можете изменить номера портов по умолчанию в окне параметров Kaspersky Security Center Web Console.

   Кроме портов 3333, 4004 и 4444, Kaspersky Security Center Web Console также использует порты 4445, 2444 и 2445 для различных целей.

2. Установка Identity and Access Manager

   Во время установки Kaspersky Security Center Web Console укажите, что вы хотите установить Identity and Access Manager. Если вы этого не сделали, запустите еще раз мастер установки Kaspersky Security Center Web Console.

3. Настройка Identity and Access Manager

   В окне параметров Kaspersky Security Center Web Console убедитесь, что переключатель Identity and Access Manager (IAM) включен. Также укажите DNS-имя устройства, на котором установлена программа Kaspersky Security Center Web Console: клиентские программы будут подключаться к этому устройству.

4. Указание параметров токена

   В окне параметров Kaspersky Security Center Web Console укажите время жизни токенов и время ожидания авторизации, которые будет использовать Identity and Access Manager. Вы можете использовать значения по умолчанию или указать свои значения в соответствии с вашими требованиями.

5. Предоставление сертификатов

   Если вы предпочитаете использовать сертификаты, сгенерированные Сервером администрирования, то в окне параметров Kaspersky Security Center Web Console загрузите корневые сертификаты для портов, используемых IAM, и раздайте их рабочим станциям пользователей Kaspersky Security Center Web Console. В противном случае браузеры пользователей будут отображать сообщения об ошибках при попытке подключения к Kaspersky Security Center Web Console.

6. Регистрация Серверов Kaspersky Industrial CyberSecurity for Networks и веб-интерфейсов Kaspersky Industrial CyberSecurity for Networks

   При установке IAM в Kaspersky Security Center Web Console отображается сообщение о том, что Сервер Industrial CyberSecurity for Networks (или несколько Серверов) и один или несколько веб-интерфейсов Kaspersky Industrial CyberSecurity for Networks ожидают регистрации. Нажмите на это сообщение, чтобы зарегистрировать Сервер Kaspersky Industrial CyberSecurity for Networks Server (или Серверы) и веб-интерфейс (или веб-интерфейсы).

Результаты

После завершения этого сценария вы сможете использовать SSO и IAM для Kaspersky Industrial CyberSecurity for Networks и Kaspersky Security Center Web Console.

Настройка Identity and Access Manager в Kaspersky Security Center Web Console

Чтобы настроить Identity and Access Manager в соответствии с вашими требованиями:

1. В Kaspersky Security Center Web Console перейдите в раздел Параметры консоли → Интеграция.
2. В разделе Identity and Access Manager убедитесь, что Identity and Access Manager включен.
3. Перейдите по ссылке Параметры в Сетевое имя устройства Identity and Access Manager.
4. Укажите DNS-имя устройства, на котором вы установили Identity and Access Manager. Клиентские программы будут подключаться к этому устройству.
5. Если хотите, измените параметры токена по умолчанию, параметры сертификата, а также номера портов нажав на ссылку Параметры под соответствующей группой параметров.

Identity and Access Manager включен и работает в соответствии с вашими требованиями.

Регистрация программы Kaspersky Industrial CyberSecurity for Networks в Kaspersky Security Center Web Console

Чтобы начать работу с программой Kaspersky Industrial CyberSecurity for Networks через Kaspersky Security Center Web Console, необходимо предварительно зарегистрировать ее в Kaspersky Security Center Web Console.

Чтобы зарегистрировать программу Kaspersky Industrial CyberSecurity for Networks:

1. Убедитесь, что сделано следующее:
   • Вы загрузили и установили веб-плагин Kaspersky Industrial CyberSecurity for Networks.

     Также можно сделать это позже, ожидая синхронизацию Сервера Kaspersky Industrial CyberSecurity for Networks с Сервером администрирования.

   • Вы завершили сценарий подготовки к использованию технологии единого входа (SSO).
   • Необходимые параметры в веб-интерфейсе Kaspersky Industrial CyberSecurity for Networks заданы на странице Kaspersky Security Center. Подробную информацию см. в онлайн-справке Kaspersky Industrial CyberSecurity for Networks.
   • Вы вошли в Kaspersky Security Center Web Console под учетной записью администратора.
   • IAM настроен.
2. Переместите устройство, на котором установлен Сервер Kaspersky Industrial CyberSecurity for Networks, из группы Нераспределенные устройства в группу Управляемые устройства:
   1. В главном окне программы перейдите в раздел Обнаружение устройств и развертывание → Нераспределенные устройства.
   2. Установите флажок рядом с устройством, на котором установлен Kaspersky Industrial CyberSecurity for Networks Server.
   3. Нажмите на кнопку Переместить в группу.
   4. В иерархии групп администрирования установите флажок рядом с группой Управляемые устройства.
   5. Нажмите на кнопку Переместить.
3. Перейдите к свойствам устройства, на котором установлен Сервер Kaspersky Industrial CyberSecurity for Networks.
4. На странице свойств устройства в разделе Общие, выберите параметр Не разрывать соединение с Сервером администрирования, а затем нажмите на кнопку Сохранить.
5. В окне свойств устройства выберите раздел Программы.
6. В разделе Программы выберите Агент администрирования.
7. Если текущий статус программы Остановлено, подождите, пока он не изменится на Выполняется.

   Это может занять до 15 минут. Если вы еще не установили веб-плагин Kaspersky Industrial CyberSecurity for Networks, вы можете сделать это сейчас, пока ждете.

8. В главном окне программы перейдите в раздел Параметры консоли → Интеграция.

   В поле Запросы на регистрацию, отображается один ожидающий запрос.

9. Перейдите по ссылке Параметры, расположенной ниже поля Запросы на регистрацию.
10. В открывшемся списке зарегистрированных клиентов установите флажок рядом с названием того Сервера Kaspersky Industrial CyberSecurity for Networks, который имеет статус Ожидает применения, а затем нажмите на кнопку Одобрить.

    Если вы не хотите регистрировать Сервер Kaspersky Industrial CyberSecurity for Networks, вы можете нажать на кнопку Отклонить и вернуться к этому списку позже.

    После того, как вы нажмете на кнопку Одобрить, статус меняется на Одобрено, а затем на Готов. Если статус не поменялся, вы можете нажать на кнопку Обновить.

11. Закройте список зарегистрированных клиентов и убедитесь, что значение в поле Зарегистрированные клиенты увеличилось.
12. Чтобы добавить веб-виджет Kaspersky Industrial CyberSecurity for Networks на панель управления:
    1. Мониторинг и отчеты Панель мониторинга.
    2. На панели управления нажмите на кнопку Добавить или восстановить веб-виджет.
    3. В появившемся веб-виджете нажмите на кнопку Другое.
    4. Выберите виджет Kaspersky Industrial CyberSecurity for Networks.

    Теперь вы можете перейти в веб-интерфейс Kaspersky Industrial CyberSecurity for Networks по ссылке в веб-виджете.

После завершения процедуры регистрации появится новая кнопка Kaspersky Security Center, которая отображается на странице входа в веб-интерфейс Kaspersky Industrial CyberSecurity for Networks. Вы можете нажать на эту кнопку, чтобы войти в веб-интерфейс Kaspersky Industrial CyberSecurity for Networks под своими учетными данными Kaspersky Security Center.

Время жизни токенов и время ожидания авторизации для Identity and Access Manager

При настройке компонента Identity and Access Manager (далее также IAM) необходимо указать параметры времени жизни токена и время ожидания авторизации. Параметры по умолчанию разработаны с учетом одновременно и стандартов безопасности, и нагрузки на Сервер. Вы можете менять эти параметры в соответствии с политиками вашей организации.

IAM автоматически повторно выпускает токен, когда срок его действия истекает.

В таблице ниже перечислены параметры времени жизни токена по умолчанию.

Параметры времени жизни токена

В таблице ниже приведено время ожидания для auth_code и login_consent_request.

Параметры времени ожидания авторизации

Для получения дополнительной информации о токенах см. веб-сайт OAuth.

Загрузка и распространение IAM-сертификатов

По умолчанию Identity and Access Manager использует сертификаты, созданные Сервером администрирования, для предоставления доступа браузерам к Kaspersky Security Center Web Console. Вы также можете использовать пользовательские сертификаты. Какой бы сертификат вы ни использовали, вы должны убедиться, что все рабочие станции, с которых пользователи Kaspersky Security Center Web Console обращаются к Kaspersky Security Center Web Console, доверяют этому сертификату.

Чтобы загрузить и распространить сертификаты:

1. В Kaspersky Security Center Web Console перейдите в раздел Параметры консоли → Интеграция.
2. Для каждого сертификата нажмите на ссылку Настройки под соответствующей группой параметров, и выполните одно из следующих действий:
   • Если вы хотите использовать сертификат, сгенерированный Сервером администрирования при установке Kaspersky Security Center Web Console:
     1. Выберите Сертификат, созданный Сервером администрирования в открывшемся окне свойств сертификата.
     2. Нажмите на кнопку Загрузить, чтобы загрузить сертификат.
     3. Распространите загруженный сертификат на все рабочие станции, с которых пользователи Kaspersky Security Center Web Console получают доступ к Kaspersky Security Center Web Console.
   • Если у вас есть сертификат, который вы хотите использовать:
     1. Выберите Пользовательский TLS-сертификат в открывшемся окне свойств сертификата.
     2. Выберите файл сертификата и закрытый ключ.
     3. Нажмите на кнопку ОК.
     4. Распространите сертификат на все рабочие станции, с которых пользователи получают доступ к Kaspersky Security Center Web Console или веб-интерфейсу Kaspersky Industrial CyberSecurity.

Сертификаты предоставляют пользователям доступ к Kaspersky Security Center Web Console и веб-интерфейсу Kaspersky Industrial CyberSecurity.

Вам необходимо своевременно перевыпустить все сертификаты. Сертификаты, сгенерированные Сервером администрирования, необходимо заново сгенерировать вручную. Сертификаты, сгенерированные установщиком Kaspersky Security Center Web Console, необходимо повторно сгенерировать с помощью установщика.

Отключение Identity and Access Manager

Вы можете выключить Identity and Access Manager (IAM).

Чтобы отключить IAM,

В окне параметров Kaspersky Security Center Web Console установите переключатель IAM в неактивное положение.

Вы можете включить IAM позже в любое время.

Если вы обновите Kaspersky Security Center Web Console через установщик и укажете, что вы не хотите устанавливать IAM, то Kaspersky Security Center Web Console будет обновлен, а IAM не будет установлен. С вашего устройства будут удалены: вся информация об интеграции с Kaspersky Industrial CyberSecurity for Networks, файлы конфигурации IAM и файлы журналов событий.