Erstellen von Authentication Service-Rollen für WS-Federation oder WS-Trust - Security Center 5.10

Security Center – Administratorhandbuch 5.10

Applies to
Security Center 5.10
Last updated
2021-03-19
Content type
Handbücher
Handbücher > Administrator-Handbücher
Language
Deutsch (Deutschland)
Product line
Security Center unified platform > Security Center
Version
5.10

Damit Security Center-Claims von einem ADFS-Server mithilfe der Protokolle WS-Trust oder WS-Federation erhalten kann, müssen Sie eine Authentication Service-Rolle erstellen und konfigurieren.

Bevor Sie beginnen

Was Sie noch wissen sollten

Die Rolle "Authentication Service" verbindet Security Center mit einem externen Identitätsprovider für externe Authentifizierungen.

Sie müssen in Security Center für jeden Root-ADFS eine Authentication Service-Rolle für WS-Trust oder WS-Federation erstellen. In unserem Beispielszenario ist der lokale ADFS-Server das Stamm-ADFS. Daher wird nur eine Authentication Service-Rolle benötigt.

Wenn Sie keinen lokalen ADFS-Server haben, sondern mehrere unabhängige ADFS-Server von Drittanbietern, die als Identitätsanbieter für Security Center fungieren, müssen Sie für jeden eine Authentication Service-Rolle erstellen.

Prozedur

  1. Öffnen Sie auf der Config Tool-Startseite den Task System und klicken Sie auf die Ansicht Rollen.
  2. Klicken Sie auf Einheit hinzufügen () > Authentication Service.
  3. Wählen Sie auf der Seite Spezifische Informationen WS-Federation oder WS-Trust aus und klicken Sie auf WeiterTest.
    BEMERKUNG: Diese Protokolle können nur bei der Rollenerstellung ausgewählt werden.
  4. Geben Sie auf der Seite Basisinformation einen Namen und eine Beschreibung für die Rolle ein.
  5. Wählen Sie die Partition, der diese Rolle angehört, und klicken Sie auf Weiter.
    Partitionen bestimmen, welche Security Center Benutzer Zugriff auf dieses Objekt haben. Nur Benutzer, denen Zugriff auf die Partition gewährt wurde, können die ADFS-Rolle sehen.
  6. Klicken Sie auf Weiter > Erzeugen > Schließen.
    Eine neue Authentication Service-Rolle () wird erstellt.
  7. Klicken Sie auf die Registerkarte Eigenschaften und konfigurieren Sie die Vertrauenskette (Domains).
    1. Klicken Sie auf Element hinzufügen (), konfigurieren Sie den ADFS-Server und klicken Sie dann auf OK.
      Domain
      Dies ist die Domain Ihres lokalen ADFS-Servers. Beispiel: IhreDomain.com.
      URL
      Dies ist die Adresse des Metadatendokuments für Ihren ADFS-Server. Sie wird immer in folgendem Format angezeigt: adfs.IhrUnternehmen.com

      Tauschen Sie adfs.IhrUnternehmen.com gegen den Namen Ihres ADFS-Servers aus.

      Security Center
      Vertrauende Seite
      Dies ist der Bezeichner, der als Bezeichner Vertrauende Seite eingegeben wurde, als Sie die vertrauende Seite für Security Center hinzugefügt haben.

      Damit identifiziert Security Center sich selbst als vertrauende Seite gegenüber dem ADFS-Server, und dies auch dann, wenn die Rolle bei einem Failover auf einen anderen Server wechselt.

      Webbasierte Authentifizierung (WS-Federation)
      Wählen Sie diese Option aus, um webbasierte Authentifizierung (DEFAULT = AUS) zu aktivieren.
      WICHTIG: Die überwachte Benutzeranmeldung funktioniert nicht, wenn Sie die webbasierte Authentifizierung aktivieren, da die Benutzerauthentifizierung außerhalb erfolgt.
    2. Klicken Sie auf Einen Eintrag hinzufügen (), konfigurieren Sie den ADFS-Remoteserver und klicken Sie dann auf OK.
      Domain
      Dies ist die Domain des Remote-ADFS-Servers. Beispiel: FirmaXYZ.com.
      Benutzer aus dieser Domäne müssen an Ihre Benutzernamen die Domäne anhängen, wenn sie sich in Security Center anmelden.
      Beispiel: johnny@FirmaXYZ.com.
      URL
      Dies ist die Adresse des Metadatendokuments des AD FS-Remoteservers. Sie wird immer in folgendem Format angezeigt: adfs.FirmaXYZ.com

      Tauschen Sie adfs.FirmaZYZ.com gegen den Namen des AD FS-Remoteservers aus.

      Vertrauende Partei überschreiben
      (Erweiterte Einstellung) Wählen Sie diese Option, wenn der Anspruchsanbieter auf dieser Domäne eine andere Zielgruppe in der Token-Anfrage der vertrauenden Seite erwartet, und geben Sie den erwarteten Wert ein.
    3. Wenn Sie mehr als einen AD FS-Remoteserver als Claim-Provider auf Ihrem lokalen AD FS-Server konfiguriert haben, fügen Sie sie jetzt hinzu.
  8. Konfigurieren Sie die externen Benutzergruppen, die Security Center akzeptieren wird.
    1. Klicken Sie im Abschnitt Akzeptierte Benutzergruppen auf Einen Eintrag hinzufügen ().
    2. Im angezeigten Dialogfeld wählen Sie nun die Benutzergruppen, die den ADFS-Remotegruppen zugeordnet wurden und klicken dann auf OK.
    Benutzer, die Mitglieder der akzeptierten Benutzergruppen sind, können sich bei Ihrem System anmelden. Security Center behält oder validiert ihre Passwörter nicht. Der ADFS-Server jedoch schon. Security Center vertraut ihnen als authentische Nutzer, wenn sie vom ADFS akzeptiert werden.
    BEMERKUNG: Externe Benutzer, die durch ADFS mithilfe des WS-Trust-Protokolls authentifiziert werden müssen, müssen auf der Security Center-Anmeldeseite ihren Domainnamen an den Benutzernamen anhängen, wie z. B. Username@CompanyXYZ.com.
  9. Klicken Sie auf Anwenden.