Configurando a integração ADFS

Expandir tudo | Recolher tudo

Para permitir que os usuários registrados no Active Directory (AD) em sua organização entrem no Kaspersky Security Center Cloud Console, você deve configurar a integração com os Serviços de Federação do Active Directory (ADFS).

O Kaspersky Security Center Cloud Console é compatível com ADFS 3 (Windows Server 2016) ou uma versão posterior. O ADFS deve ser publicado e estar disponível na Internet. Como o certificado de comunicação de serviço, o ADFS usa um certificado publicamente confiável.

Para alterar as configurações de integração ADFS, você deve ter direito de acesso para alterar as permissões do usuário.

Antes de continuar, certifique-se de ter concluído a sondagem do Active Directory.

Para configurar a integração ADFS:

1. No menu principal, clique no ícone de configurações () ao lado do nome do Servidor de Administração.

   A janela Propriedades do Servidor de Administração é aberta.

2. Na guia Geral, selecione a seção Configurações de integração ADFS.
3. Copie a URL de callback.

   Você precisa dessa URL para configurar a integração no Console de Gerenciamento ADFS.

4. No Console de Gerenciamento ADFS, adicione um novo grupo de aplicativos. Depois, adicione um novo aplicativo, selecionando o modelo Server application (os nomes dos elementos da interface da Microsoft são fornecidos em inglês).

   O console de gerenciamento ADFS gera a ID de cliente para o novo aplicativo. Você precisa da ID do cliente para configurar a integração no Kaspersky Security Center Cloud Console.

5. Como um URI de redirecionamento, especifique a URL de callback copiada na janela de propriedades do Servidor de Administração.
6. Gere um segredo do cliente. Você precisa do segredo do cliente para configurar a integração no Kaspersky Security Center Cloud Console.
7. Salve as propriedades do aplicativo adicionado.
8. Adicione um novo aplicativo ao grupo de aplicativos criado. Desta vez, selecione o modelo de API da web.
9. Na guia Identificadores, para a lista Identificadores de partes confiáveis, adicione a ID do cliente do aplicativo de servidor adicionado antes.
10. Na guia Permissões de cliente, na lista Escopos permitidos, selecione os escopos allatclaims e openid.
11. Na guia Regras de Transformação de Emissão, adicione uma nova regra selecionando o modelo Enviar atributos LDAP como declarações:
    1. Dê um nome à regra. Por exemplo, você pode chamá-ao de 'SID de grupo'.
    2. Selecione Active Directory como um armazenamento de atributos e, em seguida, mapear Grupos de Token como SIDs como um atributo LDAP para 'SID de Grupo' como um tipo de declaração de saída.
12. Na guia Regras de Transformação de Emissão, adicione uma nova regra selecionando o modelo Enviar reivindicações usando uma regra personalizada:
    1. Dê um nome à regra. Por exemplo, você pode chamá-la de 'ActiveDirectoryUserSID'.
    2. No campo Regra personalizada digite:

       c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

13. No Kaspersky Security Center Cloud Console, abra novamente a seção Configurações de integração ADFS.
14. Ative o botão de alternância para a posição Integração ADFS Ativada.
15. Clique no link Configurações e especifique o arquivo contendo o certificado ou vários certificados para o servidor de federação.
16. Clique no link Configurações de integração ADFS e especifique as seguintes configurações:
    • URL do emissor

      O endereço de URL do servidor de federação operando em sua organização.

      Em particular, o Kaspersky Security Center Cloud Console adiciona '/.well-known/openid-configuration' ao endereço URL do emissor e tenta abrir o endereço de URL resultante (issuer_URL/.well-known/openid-configuration) para descobrir a configuração do emissor automaticamente.

    • ID do cliente

      ID do cliente que o servidor de federação gera para identificar o Kaspersky Security Center Cloud Console. Você pode encontrar a ID do cliente no Console de Gerenciamento ADFS na janela de propriedades do aplicativo do servidor que corresponde ao Kaspersky Security Center Cloud Console.

    • Segredo do cliente

      Você gera um segredo de cliente no Console de Gerenciamento ADFS ao especificar as propriedades do aplicativo de servidor que correspondem ao Kaspersky Security Center Cloud Console.

    • Domínio para autenticar usuários de

      Os membros do domínio selecionados poderão entrar no Kaspersky Security Center Cloud Console com suas credenciais de conta de domínio. Os nomes de domínio aparecem na lista depois de concluir a sondagem de rede.

    • Nome do campo para SID do usuário no token de ID

      Nome do campo referente à SID do usuário no token de ID. O nome do campo é necessário para identificar o usuário no Kaspersky Security Center Cloud Console. Por padrão, este campo no token de ID é denominado 'primarysid'.

    • Nome do campo para arranjo de SIDs dos grupos de usuários no token de ID

      Nome do campo referente à matriz de SIDs dos grupos de segurança do Active Directory em que o usuário está incluído. Por padrão, este campo no token de ID é chamado de 'groupsid'.

17. Clique no botão Salvar.

A integração com ADFS está concluída. Para entrar no Kaspersky Security Center Cloud Console com credenciais de conta AD, use o link fornecido na seção Configurações de integração ADFS (Link de login para o Kaspersky Security Center Cloud Console com ADFS).

Ao acessar o Kaspersky Security Center Cloud Console por meio do ADFS pela primeira vez, o console pode responder com um atraso.