ADFS 統合の設定

すべて表示 | すべて非表示

組織の Active Directory（AD）に登録されているユーザーが Kaspersky Security Center Cloud コンソールにサインインできるようにするには、Active Directory フェデレーションサービス（ADFS）との統合を設定する必要があります。

Kaspersky Security Center Cloud コンソールは ADFS 3（Windows Server 2016）以降のバージョンをサポートします。ADFS はインターネット上で公開され、使用可能である必要があります。サービス通信証明書として、ADFS は公的に信頼された証明書を使用します。

ADFS 統合の設定を変更するには、ユーザー権限を変更するためのアクセス権が必要です。

次に進む前に、Active Directory のポーリングを完了したことを確認してください。

ADFS 統合を設定するには：

1. メインメニューで、管理サーバーの名前の横にある設定アイコン（）をクリックします。

   管理サーバーのプロパティウィンドウが開きます。

2. ［全般］タブで、［ADFS 連携の設定］セクションを選択します。
3. コールバック URL をコピーします。

   この URL は、ADFS 管理コンソールで統合を設定するために必要です。

4. ADFS 管理コンソールで、新しいアプリケーショングループを追加し、サーバーアプリケーションテンプレートを選択して新しいアプリケーションを追加します（Microsoft のインターフェイス要素の名前は英語表記です）。

   ADFS 管理コンソールで、新しいアプリケーションのクライアント ID が生成されます。クライアント ID は、Kaspersky Security Center Cloud コンソールで統合を設定するために必要です。

5. リダイレクト URI として、管理サーバーのプロパティウィンドウでコピーしたコールバック URL を指定します。
6. クライアント秘密鍵を生成します。クライアント秘密鍵は、Kaspersky Security Center Cloud コンソールで統合を設定するために必要です。
7. 追加したアプリケーションのプロパティを保存します。
8. 作成したアプリケーショングループに、新しいアプリケーションを追加します。ここでは Web API テンプレートを選択します。
9. ［識別子］タブの［証明書利用者の識別子］リストに、先ほど追加したサーバーアプリケーションのクライアント ID を追加します。
10. ［クライアントのアクセス許可］タブの［許可されているスコープ］リストで、［allatclaims］と［openid］の範囲を選択します。
11. ［発行変換規則］タブで、［LDAP 属性を要求として送信］テンプレートを選択して新しい規則を追加します。
    1. 規則に名前を付けます。たとえば、「グループ SID」という名前を付けることができます。
    2. 属性ストアとして［Active Directory］を選択し、出力方向の要求の種類の LDAP 属性として［Token-Groups（SID）］を「グループ SID」にマッピングします。
12. ［発行変換規則］タブで、［カスタム規則を使用して要求を送信］テンプレートを選択して新しい規則を追加します：
    1. 規則に名前を付けます。たとえば、「ActiveDirectoryUserSID」という名前を付けることができます。
    2. ［カスタム規則］に、次を入力します：

       c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

13. Kaspersky Security Center Cloud コンソールで、再び［ADFS 連携の設定］セクションを開きます。
14. スイッチを［ADFS 連携が［有効］です］に切り替えます。
15. ［設定］をクリックして、フェデレーションサーバーの 1 つ以上の証明書を含むファイルを指定します。
16. ［ADFS 連携の設定］をクリックして、次の設定を指定します：
    • 発行者の URL

      組織で利用中のフェデレーションサーバーの URL アドレス。

      具体的には、Kaspersky Security Center Cloud コンソールが「/.well-known/openid-configuration」を発行者の URL アドレスに追加し、追加後の URL アドレス（issuer_URL/.well-known/openid-configuration）を開いて発行者の設定の自動検出を試行します。

    • クライアント ID

      Kaspersky Security Center Cloud コンソールを識別するためにフェデレーションサーバーが生成するクライアント ID。ADFS 管理コンソールの、Kaspersky Security Center Cloud コンソールに対応するサーバーアプリケーションのプロパティウィンドウで、クライアント ID を確認できます。

    • クライアント秘密鍵

      クライアント秘密鍵は、Kaspersky Security Center Cloud コンソールに対応するサーバーアプリケーションのプロパティの指定時に、ADFS 管理コンソールで生成します。

    • ユーザーを認証するドメイン

      選択したドメインのメンバーは、ドメインアカウントの資格情報を使用して Kaspersky Security Center Cloud コンソールにサインインできるようになります。ネットワークポーリングの完了後に、ドメイン名がリストに表示されます。

    • ID トークンのユーザー SID のフィールド名

      ID トークンのユーザー SID を参照するフィールドの名前。フィールド名は、Kaspersky Security Center Cloud コンソールでユーザーを識別するために必要です。既定では、ID トークンのこのフィールドは「primarysid」と呼ばれます。

    • ID トークンのユーザーグループ SID 配列のフィールド名

      ユーザーが含まれる Active Directory セキュリティグループの SID 配列を参照するフィールドの名前。既定では、ID トークンのこのフィールドは「groupsid」と呼ばれます。

17. ［保存］をクリックします。

ADFS との統合が完了します。AD アカウントの資格情報で Kaspersky Security Center Cloud コンソールにサインインするには、［ADFS 連携の設定］セクションで確認できるリンク（［Kaspersky Security Center Cloud コンソールへのログインリンク（ADFS 使用）］）を使用します。

ADFS を使用した初回の Kaspersky Security Center Cloud コンソールへのサインイン時には、コンソールの応答が遅延する場合があります。