配置与 Microsoft Entra ID 的集成
您必须配置与 Microsoft Entra ID 的集成,才能让您组织中的用户使用其 Microsoft Entra ID 账户凭据登录 Kaspersky Security Center 云控制台。
配置与 Microsoft Entra ID 的集成仅适用于主管理服务器。您无法对从属或虚拟管理服务器配置集成。
要配置与 Microsoft Entra ID 的集成,请执行以下操作:
- 在主菜单,单击管理服务器名称旁边的“设置”图标 ()。
管理服务器属性窗口将打开。
- 在“常规”选项卡上,选择“Microsoft Entra ID”部分。
- 打开“Microsoft Entra ID 集成”切换按钮。
- 复制以下字段中的链接:
- 回调网址
- 前通道登出 URL
您将需要这些 URL,以在 Microsoft Entra ID 租户中注册 Kaspersky Security Center 云控制台。
- 登录 URL
在与 Microsoft Entra ID 集成完成后,您将需要此 URL,以允许用户使用其 Microsoft Entra ID 凭据登录 Kaspersky Security Center 云控制台工作区。
- 登录到 Microsoft Entra 管理中心,然后选择您组织的租户。
您必须在租户中指定全局管理员或应用程序管理员角色。
- 在主菜单中,转到“Identity”→“Applications”→“App registrations”,然后单击“New registration”按钮。
- 在打开的窗口中,执行以下操作:
- 为 Kaspersky Security Center 云控制台应用程序指定名称。
- 在“Supported account types”部分中,选择“Accounts in this organizational directory only (<tenant_name> only - Single tenant)”选项。
- 在“Redirect URI”部分中,从下拉列表中选择“Web”,然后输入您在步骤 4 中从 Kaspersky Security Center 云控制台复制的回调 URL。
- 单击“Register”按钮。
Kaspersky Security Center 云控制台应用程序即已在 Microsoft Entra ID 中注册,并且应用程序概览页面会打开。
- 如有必要,请将 Kaspersky Security Center 云控制台添加到应用程序列表中。
用户将能够通过单击我的应用和 Office 365 启动器中的应用程序名称来打开 Kaspersky Security Center 云控制台,而无需使用登录 URL。
- 复制应用程序(客户端)ID 和目录(租户)ID,并以任何方便的方式进行保存。
您在步骤 14 中填写 Kaspersky Security Center 云控制台中的必填字段时,将会需要这些 ID。
- 在 Kaspersky Security Center 云控制台应用程序的菜单中,转到“Authentication”部分,然后输入您在步骤 4 中从 Kaspersky Security Center 云控制台复制的 URL:
- 在“Web”部分中,单击“Add URI”按钮,然后输入登录 URL。
- 在“Front-channel logout URL”部分中,输入前通道登出 URL。
- 在 Kaspersky Security Center 云控制台应用程序的菜单中,转到“Certificates & secrets”部分,然后执行以下操作:
- 转到“Client secrets”选项卡,然后单击“New client secret”按钮。
- 在打开的窗口中,为客户端密码指定任何描述,然后选择密码到期的期限。
我们建议您以任何方便的方式复制密码到期的日期,以便及时轮换密码。
- 单击“添加”按钮。
所创建的密码会显示在“Client secrets”选项卡上。
- 复制“Value”列中的信息。
我们强烈建议您在创建客户端密码后立即复制相关信息。
- 在 Kaspersky Security Center 云控制台应用程序的菜单中,转到“Token configuration”部分,然后执行以下操作:
- 添加 onprem_sid 可选领取:
- 单击“Add optional claim”按钮。
- 在打开的窗口中,选择 ID 令牌类型,然后在“Claim”列中,选中 onprem_sid 旁边的复选框。
- 单击“添加”按钮。
onprem_sid 可选领取会显示在“Optional claims”页面上。
- 添加 Preferred_username 可选领取:
- 单击“Add optional claim”按钮。
- 在打开的窗口中,选择“Access”令牌类型,然后在“Claim”列中,选中 Preferred_username 旁边的复选框。
- 单击“添加”按钮。
Preferred_username 可选领取会显示在“Optional claims”页面上。
- 添加 onprem_sid 可选领取:
- 在 Kaspersky Security Center 云控制台应用程序的菜单中,转到“API permissions”部分,然后添加以下权限:
- User.Read.All
- User.Export.All
- GroupMember.Read.All
- Directory.Read.All
要添加权限,请执行以下操作:
- 单击“Add a permission”按钮,然后选择“Microsoft APIs”选项卡。
- 选择“Microsoft Graph”→“Application permissions”,然后选择要添加的权限。
- 单击“Add permission”按钮。
这四项权限会添加并显示在“Configured permissions”页面上。
- 单击“Grant admin consent for <tenant_name>”按钮,然后在打开的窗口中,单击“Yes”以确认同意授权所添加的权限。
- 返回 Kaspersky Security Center 云控制台,然后在“常规”选项卡上填写以下必填字段:
- 租户 ID。您在步骤 10 中复制的目录(租户)ID。
- 客户端 ID。您在步骤 10 中复制的应用程序(客户端)ID。
- 客户端私密。您在步骤 12 中复制的值。
- 单击“检查连接”按钮来检查设置是否正确,在显示“已连接”状态后,单击“保存”按钮。
集成设置即会保存,而与 Microsoft Entra ID 的集成即配置完毕。
配置与 Microsoft Entra ID 的集成后,您必须执行以下操作:
- 在 Kaspersky Security Center 云控制台主菜单中,转到“用户和角色”→“用户和组”,确保 Microsoft Entra ID 中的用户和群组已添加到 Kaspersky Security Center 云控制台。
如果 Microsoft Entra ID 租户中的用户和群组从您组织的 Active Directory 进行同步,并且已配置 Active Directory 轮询,则用户和群组已作为 Active Directory 轮询的结果添加到 Kaspersky Security Center 云控制台。
否则,您必须启用并运行 Microsoft Entra ID 轮询,才能将 Microsoft Entra ID 租户中的用户和群组添加到 Kaspersky Security Center 云控制台。
- 为用户和群组分配必要的角色。
当为虚拟管理服务器上的用户分配角色时,在主菜单中,转至用户和角色 → 用户和组,然后选择用户选项卡。如果您选择组选项卡,然后将角色分配给用户所属的组,则该用户将无法登录Kaspersky Security Center 云控制台。
- 将您在步骤 4 中复制的登录 URL 发送给用户。他们要输入此 URL,才能使用其 Microsoft Entra ID 凭据来登录 Kaspersky Security Center 云控制台工作区。
要使用 Microsoft Entra ID 账户凭据登录 Kaspersky Security Center 云控制台,用户必须能够登录其 Microsoft Entra ID 账户。