Configurando a integração ADFS
Para permitir que os usuários registrados no Active Directory (AD) em sua organização entrem no Kaspersky Security Center Cloud Console, você deve configurar a integração com os Serviços de Federação do Active Directory (ADFS).
O Kaspersky Security Center Cloud Console é compatível com ADFS 3 (Windows Server 2016) ou uma versão posterior. O ADFS deve ser publicado e estar disponível na Internet. Como o certificado de comunicação de serviço, o ADFS usa um certificado publicamente confiável.
Para alterar as configurações de integração ADFS, você deve ter direito de acesso para alterar as permissões do usuário.
Antes de continuar, certifique-se de ter concluído a sondagem do Active Directory.
Para configurar a integração ADFS:
- No menu principal, clique no ícone de configurações () ao lado do nome do Servidor de Administração.
A janela Propriedades do Servidor de Administração é aberta.
- Na guia Geral, selecione a seção Configurações de integração ADFS.
- Copie a URL de callback.
Você precisa dessa URL para configurar a integração no Console de Gerenciamento ADFS.
- No Console de Gerenciamento ADFS, adicione um novo grupo de aplicativos. Depois, adicione um novo aplicativo, selecionando o modelo Server application (os nomes dos elementos da interface da Microsoft são fornecidos em inglês).
O console de gerenciamento ADFS gera a ID de cliente para o novo aplicativo. Você precisa da ID do cliente para configurar a integração no Kaspersky Security Center Cloud Console.
- Como um URI de redirecionamento, especifique a URL de callback copiada na janela de propriedades do Servidor de Administração.
- Gere um segredo do cliente. Você precisa do segredo do cliente para configurar a integração no Kaspersky Security Center Cloud Console.
- Salve as propriedades do aplicativo adicionado.
- Adicione um novo aplicativo ao grupo de aplicativos criado. Desta vez, selecione o modelo de API da web.
- Na guia Identificadores, para a lista Identificadores de partes confiáveis, adicione a ID do cliente do aplicativo de servidor adicionado antes.
- Na guia Permissões de cliente, na lista Escopos permitidos, selecione os escopos allatclaims e openid.
- Na guia Regras de Transformação de Emissão, adicione uma nova regra selecionando o modelo Enviar atributos LDAP como declarações:
- Dê um nome à regra. Por exemplo, você pode chamá-ao de 'SID de grupo'.
- Selecione Active Directory como um armazenamento de atributos e, em seguida, mapear Grupos de Token como SIDs como um atributo LDAP para 'SID de Grupo' como um tipo de declaração de saída.
- Na guia Regras de Transformação de Emissão, adicione uma nova regra selecionando o modelo Enviar reivindicações usando uma regra personalizada:
- Dê um nome à regra. Por exemplo, você pode chamá-la de 'ActiveDirectoryUserSID'.
- No campo Regra personalizada digite:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
- No Kaspersky Security Center Cloud Console, abra novamente a seção Configurações de integração ADFS.
- Ative o botão de alternância para a posição Integração ADFS Ativada.
- Clique no link Configurações e especifique o arquivo contendo o certificado ou vários certificados para o servidor de federação.
- Clique no link Configurações de integração ADFS e especifique as seguintes configurações:
- Clique no botão Salvar.
A integração com ADFS está concluída. Para entrar no Kaspersky Security Center Cloud Console com credenciais de conta AD, use o link fornecido na seção Configurações de integração ADFS (Link de login para o Kaspersky Security Center Cloud Console com ADFS).
Ao acessar o Kaspersky Security Center Cloud Console por meio do ADFS pela primeira vez, o console pode responder com um atraso.