Настройка интеграции с Microsoft Entra ID

Вам необходимо настроить интеграцию с Microsoft Entra ID, чтобы пользователи вашей организации могли входить в Kaspersky Security Center Cloud Console под учетными данными Microsoft Entra ID.

Интеграция с Microsoft Entra ID доступна только для главного Сервера администрирования. Вы не можете настроить интеграцию для подчиненных или виртуальных Серверов администрирования.

Чтобы настроить интеграцию с Microsoft Entra ID:

1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Microsoft Entra ID.
3. Включите переключатель Интеграция с Microsoft Entra ID.
4. Скопируйте ссылки из следующих полей:
   • URL-адрес обратного вызова
   • Веб-адрес выхода из переднего канала

     Эти адреса понадобятся вам для регистрации Kaspersky Security Center Cloud Console в тенанте Microsoft Entra ID.

   • Веб-адрес входа

     Этот URL понадобится вам, чтобы пользователи могли входить в рабочую область Kaspersky Security Center Cloud Console под своими учетными данными Microsoft Entra ID после завершения интеграции с Microsoft Entra ID.

5. Войдите в Microsoft Entra Admin Center и выберите тенант своей организации.

   У вас должна быть роль глобального администратора или администратора приложения в тенанте.

6. В главном меню выберите Identity → Applications → App registrations и нажмите на кнопку New registration.
7. В открывшемся окне выполните одно из следующих действий:
   • Укажите имя приложения Kaspersky Security Center Cloud Console.
   • В разделе Supported account types выберите параметр Accounts in this organizational directory only (<tenant_name> only - Single tenant).
   • В разделе Redirect URI выберите в раскрывающемся списке Web и введите URL обратного вызова, который вы скопировали в Kaspersky Security Center Cloud Console на шаге 4.
8. Нажмите на кнопку Register.

   Приложение Kaspersky Security Center Cloud Console зарегистрировано в Microsoft Entra ID, и открывается страница обзора приложения.

9. При необходимости добавьте Kaspersky Security Center Cloud Console в список приложений.

   Пользователи смогут открыть приложение Kaspersky Security Center Cloud Console, нажав на его название в списке приложений в Мои приложения и Office 365 Launcher без использования веб-адреса для входа.

10. Скопируйте Application (client) ID и Directory (tenant) ID и сохраните их любым удобным способом.

    Эти идентификаторы понадобятся вам при заполнении обязательных полей в Kaspersky Security Center Cloud Console на шаге 14.

11. В меню приложения Kaspersky Security Center Cloud Console перейдите в раздел Authentication и введите URL, которые вы скопировали из Kaspersky Security Center Cloud Console на шаге 4:
    • В разделе Web нажмите на кнопку Add URI и введите URL для входа.
    • В разделе Front-channel logout URL введите URL выхода из основного канала.
12. В меню приложения Kaspersky Security Center Cloud Console перейдите в раздел Certificates & secrets и выполните следующие действия:
    1. Перейдите на вкладку Client secrets и нажмите кнопку New client secret.
    2. В открывшемся окне укажите любое описание секрета клиента и выберите период, по истечении которого срок действия секрета истечет.

    Рекомендуется любым удобным способом скопировать дату, после которой истекает срок действия секрета, чтобы своевременно изменять секреты.

    1. Нажмите на кнопку Добавить.

       Созданный секрет отображается на вкладке Client secrets.

    2. Скопируйте информацию из столбца Value.

       Рекомендуется скопировать информацию сразу после создания секрета клиента.

13. В меню приложения Kaspersky Security Center Cloud Console перейдите в раздел Token configuration и выполните следующие действия:
    • Добавьте необязательное утверждение onprem_sid:
      1. Нажмите на кнопку Add optional claim.
      2. В открывшемся окне выберите тип токена ID и в столбце Claim установите флажок рядом с onprem_sid.
      3. Нажмите на кнопку Добавить.

      Необязательное утверждение onprem_sid отображается на странице Optional claims.

    • Добавьте необязательное утверждение preferred_username:
      1. Нажмите на кнопку Add optional claim.
      2. В открывшемся окне выберите тип токена Access и в столбце Claim установите флажок рядом с preferred_username.
      3. Нажмите на кнопку Добавить.

      Необязательное утверждение preferred_username отображается на странице Optional claims.

14. В меню приложения Kaspersky Security Center Cloud Console перейдите в раздел API permissions и добавьте разрешения:
    • User.Read.All
    • User.Export.All
    • GroupMember.Read.All
    • Directory.Read.All

    Чтобы добавить разрешения, выполните следующие действия:

    1. Нажмите на кнопку Add a permission и выберите вкладку Microsoft API.
    2. Выберите Microsoft Graph → Application permissions и выберите разрешение, которое вы хотите добавить.
    3. Нажмите на кнопку Add permission.

       Четыре разрешения добавлены и отображаются на странице Configured permissions.

    4. Нажмите на кнопку Grant admin consent for <tenant_name> и в открывшемся окне нажмите Yes, чтобы подтвердить согласие на добавленные вами разрешения.
15. Вернитесь в Kaspersky Security Center Cloud Console и на вкладке Общие заполните следующие обязательные поля:
    • Идентификатор тенанта. Значение поля Directory (tenant) ID, которое вы копируете на шаге 10.
    • Идентификатор клиента. Значение поля Application (client) ID, которое вы копируете на шаге 10.
    • Секрет клиента. Значение, которое вы копируете на шаге 12.
16. Нажмите на кнопку Проверить подключение, чтобы проверить правильность параметров, а затем после отображения статуса Подключено нажмите на кнопку Сохранить.

Параметры интеграции сохранены, интеграция с Microsoft Entra ID настроена.

После настройки интеграции с Microsoft Entra ID необходимо выполнить следующие действия:

1. В главном окне приложения Kaspersky Security Center Cloud Console перейти в раздел Пользователи и роли → Пользователи и группы, чтобы убедиться, что пользователи и группы из Microsoft Entra ID добавлены в Kaspersky Security Center Cloud Console.

   Если пользователи и группы в вашем тенанте Microsoft Entra ID синхронизированы из Active Directory вашей организации и настроен опрос Active Directory, то пользователи и группы уже добавлены в Kaspersky Security Center Cloud Console в результате опроса Active Directory.

   Иначе вам необходимо включить и запустить опрос Microsoft Entra ID, чтобы добавить пользователей и группы из вашего тенанта Microsoft Entra ID в Kaspersky Security Center Cloud Console.

2. Назначить необходимые роли пользователям и группам.

   При назначении ролей пользователю на виртуальном Сервере администрирования в главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи. Если вы выберете вкладку Группы и назначите роли группе, членом которой является пользователь, пользователь не сможет войти в Kaspersky Security Center Cloud Console.

3. Отправить пользователям URL для входа, который вы скопировали на шаге 4. Они будут вводить этот URL для входа в рабочую область Kaspersky Security Center Cloud Console, используя свои учетные данные Microsoft Entra ID.

   Когда пользователь выходит из учетной записи Microsoft Entra ID, которую он использовал для аутентификации в Kaspersky Security Center Cloud Console, и Kaspersky Security Center Cloud Console открыта на другой вкладке или в другом окне того же браузера, этот сеанс также заканчивается для Kaspersky Security Center Cloud Console и пользователь автоматически выходит из консоли.

   Если Kaspersky Security Center Cloud Console открыта в другом браузере или на других устройствах, сеанс продолжается, когда пользователь выходит из учетной записи Microsoft Entra ID.

Чтобы войти в Kaspersky Security Center Cloud Console с учетными данными Microsoft Entra ID, пользователи должны иметь возможность войти в свою учетную запись Microsoft Entra ID.