配置 ADFS 集成

技术支持

企业产品

Kaspersky Security Center Cloud Console

配置网络保护

用户和用户角色

配置 ADFS 集成

2024年12月5日

ID 218655

另存为 PDF

扩展所有 | 折叠所有

要允许在组织中的 Active Directory (AD) 中注册的用户登录 Kaspersky Security Center 云控制台，您必须配置与 Active Directory 联合身份验证服务 (ADFS) 的集成。

Kaspersky Security Center 云控制台支持 ADFS 3 (Windows Server 2016) 或更高版本。ADFS 必须在互联网上发布并可用。作为服务通信证书，ADFS 使用公共可信证书。

要更改 ADFS 集成设置，您必须具有更改用户权限的访问权限。

在继续之前，请确保您已完成Active Directory 轮询。

配置 ADFS 集成：

在主菜单，单击管理服务器名称旁边的“设置”图标 ()。
管理服务器属性窗口将打开。
在“常规”选项卡上，选择“ADFS 整合设置”区域。
复制回调 URL。
您将需要此 URL 来配置 ADFS 管理控制台中的集成。
在 ADFS 管理控制台中，添加新的应用程序组，然后通过选择服务器应用程序模板（Microsoft 界面元素的名称以英文提供）来添加新的应用程序。
ADFS 管理控制台为新应用程序生成客户端 ID。您将需要客户端 ID 来配置 Kaspersky Security Center 云控制台中的集成。
作为重定向 URI，指定您在管理服务器属性窗口中复制的回调 URL。
生成客户端密钥。您将需要客户端密码才能在 Kaspersky Security Center 云控制台中配置集成。
保存添加的应用程序的属性。
将新的应用程序添加到创建的应用程序组中。这次选择Web API模板。
在“标识符”选项卡上的“依赖方标识符”列表中，添加您之前添加的服务器应用程序的客户端 ID。
在“客户端权限”选项卡的“允许的范围”列表中，选择allatclaims和openid范围。
在“颁发转换规则”选项卡上，通过选择“发送 LDAP 属性作为声明”模板来添加新规则：
1. 命名规则。例如，您可以将其命名为“Group SID”。
2. 选择Active Directory作为属性存储，然后将令牌组作为 SID作为 LDAP 属性映射到“组 SID”作为传出声明类型。
在发行转换规则选项卡上，通过选择使用自定义规则发送声明模板来添加新规则：
1. 命名规则。例如，您可以将其命名为“ActiveDirectoryUserSID”。
2. 在自定义规则字段中，输入：
  c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
在 Kaspersky Security Center 云控制台中，再次打开ADFS 整合设置部分。
将切换按钮切换到ADFS 整合已启用位置。
单击设置链接，然后指定包含联合服务器的一个或多个证书的文件。
单击ADFS 整合设置链接，然后指定以下设置：
- 发布者 URL
  在您的组织中工作的联合服务器的 URL 地址。
  
  特别是，Kaspersky Security Center 云控制台将“/.well-known/openid-configuration”添加到颁发者 URL 地址，并尝试打开生成的 URL 地址 (issuer_URL/.well-known/openid-configuration) 以自动发现颁发者配置。
- 客户端 ID
  联合服务器生成的用于识别 Kaspersky Security Center 云控制台的客户端 ID。您可以在与 Kaspersky Security Center 云控制台对应的服务器应用程序的属性窗口中的 ADFS 管理控制台中找到客户端 ID。
- 客户端私密
  当您指定与 Kaspersky Security Center 云控制台对应的服务器应用程序的属性时，您会在 ADFS 管理控制台中生成客户端密钥。
- 验证用户的域
  您选择的域成员将能够使用其域账户凭据登录Kaspersky Security Center 云控制台。完成网络轮询后，域名将显示在列表中。
- ID 令牌中用户 SID 的字段名
  引用 ID 令牌中的用户 SID 的字段名称。需要字段名称来识别 Kaspersky Security Center 云控制台中的用户。默认情况下，ID 令牌中的此字段称为“primarysid”。
- ID 令牌中用户组的 SID 阵列的字段名
  引用包含用户的 Active Directory 安全组的 SID 数组的字段名称。默认情况下，ID 令牌中的此字段称为“groupsid”。
单击“保存”按钮。

与 ADFS 的集成已完成。要使用 AD 账户凭据登录 Kaspersky Security Center 云控制台，请使用ADFS 整合设置部分中提供的链接（使用 ADFS 登录 Kaspersky Security Center 云控制台的链接）。

当您首次通过 ADFS 登录 Kaspersky Security Center 云控制台时，控制台可能会延迟响应。

');

Kaspersky Endpoint Security for Business Advanced: Adaptive security of your company

Web and device controls. Data encryption. Centralized and convenient management from a single console.

');

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).