Настройка ADFS-интеграции

Развернуть все | Свернуть все

Чтобы разрешить пользователям, зарегистрированным в Active Directory (AD) вашей организации, входить в Kaspersky Security Center Cloud Console, вам необходимо настроить интеграцию со службами Active Directory Federation Services (ADFS).

Kaspersky Security Center Cloud Console поддерживает ADFS 3 (Windows Server 2016) или выше. ADFS должен быть опубликован и доступен в интернете. В качестве сертификата связи служба ADFS использует публичный доверенный сертификат.

Чтобы изменить параметры ADFS-интеграции, вам нужны права доступа для изменения прав пользователей.

Прежде чем продолжить, убедитесь, что вы выполнили опрос Active Directory.

Чтобы настроить ADFS-интеграцию:

  1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

    Откроется окно свойств Сервера администрирования.

  2. На вкладке Общие выберите раздел Параметры интеграции с ADFS.
  3. Скопируйте URL-адрес обратного вызова.

    Этот URL-адрес понадобится вам для настройки интеграции в Консоли управления ADFS.

  4. В Консоли управления ADFS добавьте группу приложений, а затем добавьте приложение, выбрав шаблон Server application (названия элементов интерфейса Microsoft приведены на английском языке).

    Консоль управления ADFS генерирует идентификатор клиента для нового приложения. Идентификатор клиента понадобится вам для настройки интеграции в Kaspersky Security Center Cloud Console.

  5. В качестве URI перенаправления укажите URL-адрес обратного вызова, который вы скопировали в окне свойств Сервера администрирования.
  6. Создайте секрет клиента. Секрет клиента понадобится вам для настройки интеграции с Kaspersky Security Center Cloud Console.
  7. Сохраните свойства добавленного приложения.
  8. Добавьте приложение в созданную группу приложений. Выберите шаблон Web API.
  9. На вкладке Identifiers в список Relying party identifiers добавьте идентификатор клиента серверного приложения, которое вы добавили ранее.
  10. На вкладке Client Permissions в списке Permitted scopes выберите allatclaims и openid.
  11. На вкладке Issuance Transform Rules добавьте правило, выбрав шаблон Send LDAP Attributes as Claims:
    1. Укажите название правила. Например, вы можете назвать его "Group SID".
    2. Выберите Active Directory в качестве хранилища атрибутов, а затем сопоставьте Token-Groups as SIDs в качестве атрибута LDAP с "Группа SID" в качестве типа исходящего утверждения.
  12. На вкладке Issuance Transform Rules добавьте правило, выбрав Send Claims Using a Custom Rule:
    1. Укажите название правила. Например, ActiveDirectoryUserSID.
    2. В поле Custom rule укажите:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

  13. В Kaspersky Security Center Cloud Console снова откройте раздел Параметры интеграции с ADFS.
  14. Переведите переключатель в положение Интеграция ADFS Включено.
  15. Перейдите по ссылке Параметры и укажите файл содержащий сертификат или несколько сертификатов федерального сервера.
  16. Перейдите по ссылке Параметры интеграции с ADFS и укажите следующие параметры:
    • URL издателя
    • Идентификатор клиента
    • Секрет клиента
    • Доменная аутентификация пользователей
    • Имя поля для SID пользователя в идентификаторе токена
    • Имя поля для массива SID групп пользователей в идентификаторе токена
  17. Нажмите на кнопку Сохранить.

Интеграция с ADFS завершена. Чтобы войти в Kaspersky Security Center Cloud Console с учетными данными AD, используйте ссылку в разделе Параметры интеграции с ADFS (Ссылка для входа в Kaspersky Security Center Cloud Console с ADFS).

При первом входе в Kaspersky Security Center Cloud Console через ADFS, консоль может реагировать с задержкой.

В начало