Настройка ADFS-интеграции

Развернуть все | Свернуть все

Чтобы разрешить пользователям, зарегистрированным в Active Directory (AD) вашей организации, входить в Kaspersky Security Center Cloud Console, вам необходимо настроить интеграцию со службами Active Directory Federation Services (ADFS).

Kaspersky Security Center Cloud Console поддерживает ADFS 3 (Windows Server 2016) или выше. ADFS должен быть опубликован и доступен в интернете. В качестве сертификата связи служба ADFS использует публичный доверенный сертификат.

Чтобы изменить параметры ADFS-интеграции, вам нужны права доступа для изменения прав пользователей.

Прежде чем продолжить, убедитесь, что вы выполнили опрос Active Directory.

Чтобы настроить ADFS-интеграцию:

1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Параметры интеграции с ADFS.
3. Скопируйте URL-адрес обратного вызова.

   Этот URL-адрес понадобится вам для настройки интеграции в Консоли управления ADFS.

4. В Консоли управления ADFS добавьте группу приложений, а затем добавьте приложение, выбрав шаблон Server application (названия элементов интерфейса Microsoft приведены на английском языке).

   Консоль управления ADFS генерирует идентификатор клиента для нового приложения. Идентификатор клиента понадобится вам для настройки интеграции в Kaspersky Security Center Cloud Console.

5. В качестве URI перенаправления укажите URL-адрес обратного вызова, который вы скопировали в окне свойств Сервера администрирования.
6. Создайте секрет клиента. Секрет клиента понадобится вам для настройки интеграции с Kaspersky Security Center Cloud Console.
7. Сохраните свойства добавленного приложения.
8. Добавьте приложение в созданную группу приложений. Выберите шаблон Web API.
9. На вкладке Identifiers в список Relying party identifiers добавьте идентификатор клиента серверного приложения, которое вы добавили ранее.
10. На вкладке Client Permissions в списке Permitted scopes выберите allatclaims и openid.
11. На вкладке Issuance Transform Rules добавьте правило, выбрав шаблон Send LDAP Attributes as Claims:
    1. Укажите название правила. Например, вы можете назвать его "Group SID".
    2. Выберите Active Directory в качестве хранилища атрибутов, а затем сопоставьте Token-Groups as SIDs в качестве атрибута LDAP с "Группа SID" в качестве типа исходящего утверждения.
12. На вкладке Issuance Transform Rules добавьте правило, выбрав Send Claims Using a Custom Rule:
    1. Укажите название правила. Например, ActiveDirectoryUserSID.
    2. В поле Custom rule укажите:

       c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

13. В Kaspersky Security Center Cloud Console снова откройте раздел Параметры интеграции с ADFS.
14. Переведите переключатель в положение Интеграция ADFS Включено.
15. Перейдите по ссылке Параметры и укажите файл содержащий сертификат или несколько сертификатов федерального сервера.
16. Перейдите по ссылке Параметры интеграции с ADFS и укажите следующие параметры:
    • URL издателя

      URL-адрес сервера федерации, работающего в вашей организации.

      В частности, Kaspersky Security Center Cloud Console добавляет ‘/.well-known/openid-configuration’ к URL-адресу эмитента и пытается открыть полученный URL-адрес (issuer_URL/.well-known/openid-configuration), чтобы узнать конфигурацию эмитента автоматически.

    • Идентификатор клиента

      Идентификатор клиента, который сервер федерации генерирует для идентификации Kaspersky Security Center Cloud Console. Вы можете найти идентификатор клиента в консоли управления ADFS в окне свойств серверного приложения, соответствующего Kaspersky Security Center Cloud Console.

    • Секрет клиента

      Вы генерируете секрет клиента в консоли управления ADFS, когда указываете свойства серверного приложения, которое соответствует Kaspersky Security Center Cloud Console.

    • Доменная аутентификация пользователей

      Участники выбранного вами домена смогут входить в Kaspersky Security Center Cloud Console, используя свои доменные учетные данные. Доменные имена появятся в списке после завершения опроса сети.

    • Имя поля для SID пользователя в идентификаторе токена

      Имя поля, которое ссылается на идентификатор безопасности (SID) пользователя в токене идентификатора. Название поля необходимо для идентификации пользователя в Kaspersky Security Center Cloud Console. По умолчанию это поле в токене идентификатора называется 'primarysid'.

    • Имя поля для массива SID групп пользователей в идентификаторе токена

      Имя поля, которое относится к массиву SID групп безопасности Active Directory, в которые входит пользователь. По умолчанию это поле в идентификаторе токена называется 'groupsid'.

17. Нажмите на кнопку Сохранить.

Интеграция с ADFS завершена. Чтобы войти в Kaspersky Security Center Cloud Console с учетными данными AD, используйте ссылку в разделе Параметры интеграции с ADFS (Ссылка для входа в Kaspersky Security Center Cloud Console с ADFS).

При первом входе в Kaspersky Security Center Cloud Console через ADFS, консоль может реагировать с задержкой.

В начало