Bereitstellen der Authentifizierung von Drittanbietern über ADFS mithilfe von WS-Federation oder WS-Trust - Security Center 5.10

Security Center – Administratorhandbuch 5.10

series
Security Center 5.10
revised_modified
2021-03-19
category_custom
Handbücher
Handbücher > Administrator-Handbücher

Sie können einen Active Directory Federation Services (ADFS)-Server als Identitätsanbieter für Security Center nutzen und Benutzern außerhalb Ihres Unternehmens erlauben, sich anzumelden. Erstellen Sie dazu eine Vertrauenskette von externen ADFS-Servern zum Security Center-Hauptserver.

Bevor Sie beginnen

  • Machen Sie sich mit den Konzepten der Drittanbieterauthentifizierung vertraut.
  • Prüfen Sie, ob Ihr ADFS-Server betriebsbereit ist. Weitere Informationen zur ADFS-Installation und -Konfiguration finden Sie in der Dokumentation zu Ihrer Version der Produktsoftware.

Was Sie noch wissen sollten

In diesem Bereitstellungsprozess wird das folgende Beispielszenario verwendet:
  • Benutzer von Firma XYZ müssen auf Ihr Security Center-System zugreifen.
  • Die Server der Firma XYZ sind nicht auf derselben Domain wie Ihr Unternehmensserver.
  • Die Firma XYZ verfügt über einen ADFS-Server, der WS-Trust oder WS-Federation verwendet und sich auf Active Directory als Identity-Provider stützt.

Deshalb muss für externe Benutzer der Firma XYZ für den Zugriff auf Security Center eine Vertrauenskette vom Active Directory der Firma XYZ zum Hauptserver Ihres Security Center-Systems eingerichtet werden.

BEMERKUNG: Security Center erfordert spezifische Attribute als Claims: Gruppe und UPN (User Principal Name).
BEST-PRACTICE: Wenn Sie Sicherheitsgruppen Ihres lokalen Active Directory als Security Center-Benutzergruppen verwenden möchten, verbinden Sie sie nicht über eine Authentication Service-Rolle, sondern importieren Sie sie aus Active Directory. Das Importieren aus Active Directory bietet mehr Funktionalitäten, wie z. B. Synchronisieren aller Standardfelder (Vorname, Nachname, E-Mail-Adresse usw.), benutzerdefinierte Feldzuordnung, und die Option, alle Benutzer gleich bei der Rollensynchronisation zu erstellen.

Prozedur

  1. Die Firma XYZ muss für Ihren ADFS-Server eine Vertrauensstellung der vertrauenden Seite zu ihrem ADFS-Server hinzufügen.
  2. Konfigurieren Sie Ihren lokalen ADFS-Server wie folgt:
    1. Fügen Sie für den externen ADFS-Server eine Claim-Provider-Vertrauensstellung hinzu.
    2. Konfigurieren Sie die Claim-Regeln für den externen Claim-Provider.
    3. Fügen Sie für Security Center eine Vertrauensstellung der vertrauenden Seite hinzu.
    4. Konfigurieren Sie die Claim-Regeln für Security Center:
  3. Konfigurieren Sie Security Center für die Drittanbieterauthentifizierung über ADFS.
    1. Verbinden Sie Ihr Security Center System mit Config Tool.
    2. Erstellen Sie eine Benutzergruppe für jede ADFS-Gruppe, die Sie als Security Center-Benutzergruppe akzeptieren.
    3. Erstellen Sie eine Authentication Service-Rolle für die Drittanbieterauthentifizierung mit WS-Trust oder WS-Federation.

Ergebnisse

Eingehende Benutzer können jetzt durch ADFS authentifiziert werden.
BEMERKUNG: Externe Benutzer, die durch ADFS mithilfe des WS-Trust-Protokolls authentifiziert werden müssen, müssen auf der Security Center-Anmeldeseite ihren Domainnamen an den Benutzernamen anhängen, wie z. B. Username@CompanyXYZ.com.
WICHTIG: Es gibt zurzeit ein bekanntes Problem in Bezug auf die Verwendung eines lokalen Active Directory und ADFS. Wenn in Ihrem System externe Benutzer vorhanden sind, die über AD FS authentifiziert wurden, müssen alle Benutzer, die aus Ihrem lokalen Active Directory importiert wurden, ebenfalls vollqualifizierte Benutzernamen verwenden, auch wenn sie zur gleichen Domäne gehören, wie Ihr Security Center System.