Configurazione dell'integrazione ADFS
Espandi tutto | Comprimi tutto
Per consentire agli utenti registrati in Active Directory (AD) nell'organizzazione di accedere a Kaspersky Security Center Cloud Console, è necessario configurare l'integrazione con Active Directory Federation Services (ADFS).
Kaspersky Security Center Cloud Console supporta ADFS 3 (Windows Server 2016) o una versione successiva. ADFS deve essere pubblicato e disponibile su Internet. Come certificato di comunicazione del servizio, ADFS utilizza un certificato attendibile pubblicamente.
Per modificare le impostazioni di integrazione ADFS, è necessario disporre del diritto di accesso per modificare le autorizzazioni utente.
Prima di procedere, assicurarsi di aver completato il polling di Active Directory.
Per configurare l'integrazione ADFS:
- Nel menu principale, fare clic sull'icona delle impostazioni () accanto al nome di Administration Server.
Verrà visualizzata la finestra delle proprietà di Administration Server.
- Nella scheda Generale, selezionare la sezione Impostazioni per l'integrazione ADFS.
- Copiare l'URL di callback.
Questa URL sarà necessaria per configurare l'integrazione in Console di gestione di ADFS.
- In Console di gestione di ADFS aggiungere un nuovo gruppo di applicazioni, quindi aggiungere una nuova applicazione selezionando il modello Applicazione server (i nomi degli elementi di interfaccia Microsoft sono disponibili in inglese).
Console di gestione di ADFS genera l'ID client per la nuova applicazione. L'ID client sarà necessario per configurare l'integrazione in Kaspersky Security Center Cloud Console.
- Come URI di reindirizzamento, specificare l'URL di callback copiata nella finestra delle proprietà di Administration Server.
- Generare un segreto client. Il segreto client sarà necessario per configurare l'integrazione in Kaspersky Security Center Cloud Console.
- Salvare le proprietà dell'applicazione aggiunta.
- Aggiungere una nuova applicazione al gruppo di applicazioni creato. Questa volta selezionare il modello API Web.
- Nella scheda Identificatori, nell'elenco Identificatori componente aggiungere l'ID client dell'applicazione server aggiunta in precedenza.
- Nella scheda Autorizzazioni client, nell'elenco Ambiti consentiti selezionare gli ambiti allatclaims e openid.
- Nella scheda Regole di trasformazione rilascio aggiungere una nuova regola selezionando il modello Inviare attributi LDAP come attestazioni:
- Assegnare un nome alla regola. È ad esempio possibile denominarla "SID gruppo".
- Selezionare Active Directory come archivio di attributi, quindi eseguire il mapping di Token-Groups come SID come attributo LDAP su "SID gruppo" come tipo di attestazione in uscita.
- Nella scheda Regole di trasformazione rilascio aggiungere una nuova regola selezionando il modello Inviare attestazioni mediante una regola personalizzata:
- Assegnare un nome alla regola. È ad esempio possibile denominarla "ActiveDirectoryUserSID".
- Nel campo Regola personalizzata digitare:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
- In Kaspersky Security Center Cloud Console aprire nuovamente la sezione Impostazioni per l'integrazione ADFS.
- Spostare l'interruttore sulla posizione Integrazione ADFS Abilitata.
- Fare clic sul collegamento Impostazioni e specificare il file contenente il certificato o più certificati per il server federativo.
- Fare clic sul collegamento Impostazioni per l'integrazione ADFS, quindi specificare le seguenti impostazioni:
- Fare clic sul pulsante Salva.
L'integrazione con ADFS è stata completata. Per accedere a Kaspersky Security Center Cloud Console con le credenziali di un account AD, utilizzare il collegamento disponibile nella sezione Impostazioni per l'integrazione ADFS (Collegamento per l'accesso a Kaspersky Security Center Cloud Console con ADFS).
Quando si accede a Kaspersky Security Center Cloud Console tramite ADFS per la prima volta, la console potrebbe rispondere con ritardo.