Bevor sich Benutzer über einen externen Identitätsanbieter mit SAML 2.0 bei Security Center anmelden können, müssen Sie eine Reihe von Schritten ausführen.
Schritt | Task | Wo finde ich weitere Informationen? |
---|---|---|
Machen Sie sich vor der Integration mit Voraussetzungen und zentralen Themen vertraut | ||
1 | Erfahren Sie mehr über die unterschiedlichen Komponenten und wie sie sich miteinander verbinden. | |
2 | Stellen Sie sicher, dass alle Security Center-Clients der Verbindung zu Ihrem Identitätsanbieter vertrauen. Um eine Vertrauensstellung herzustellen, muss das Public-Key-Zertifikat für den Identitätsanbieter von einer vertrauenswürdigen Zertifizierungsstelle auf dem Computer oder Mobilgerät signiert sein, der bzw. das eine Verbindung zu Security Center herstellt. |
|
3 | Stellen Sie sicher, dass Ihre Security Center-Lizenz SAML2-Integrationen umfasst. Gehen Sie zur Config Tool-Startseite, klicken Sie auf und bestätigen Sie, dass Anzahl der SAML2 -Integrationen eine oder mehrere ist. |
|
Vorbereitung von Security Center | ||
4 | Fügen Sie eine Authentifizierungsdienstrolle für SAML2 hinzu und klicken Sie auf die Registerkarte Netzwerkendpunkt. Möglicherweise müssen Sie den Task System neu starten, um die Endpunkte anzuzeigen. Die Endpunkte Umleitung und Abmelden sind erforderlich, um Ihren Identitätsanbieter zu konfigurieren. Für jeden Client-Typ gibt es unterschiedliche URIs:
BEMERKUNG: Mobile und SecurityCenter sind die Standardwebadressen für die Mobile Server-Rolle und die Web Server-Rolle. Jede Änderung dieser Webadressen wird in den entsprechenden URIs berücksichtigt.
Für die Arbeit mit Rollen-Failover sind für jeden Server, der die Rollen "Directory", "Mobile Server" und "Web Server" hosten kann, separate URIs Umleitung und Abmelden erforderlich. Stellen Sie sicher, dass das Rollen-Failover ordnungsgemäß konfiguriert ist, um alle erforderlichen Endpunkte anzuzeigen. Wenn neue Server hinzugefügt oder Server nach dem Einrichten des Identitätsanbieters ausgemustert werden, müssen Sie möglicherweise die Konfiguration aktualisieren, indem Sie nach Bedarf URIs hinzufügen oder entfernen. Alle Clients müssen den Endpunkt-URI für ihren Typ auflösen können. Wenn eine öffentliche Adresse verwendet wird, muss diese Adresse auf den richtigen Server für Clients aufgelöst werden, die eine Verbindung von Ihrem privaten Netzwerk herstellen. Security Center bietet außerdem ein SAML2-Metadatendokument, das alle erforderlichen Endpunkte enthält. Sie können von Ihrem Identitätsanbieter auf diesen Endpunkt verweisen, um die Einrichtung zu beschleunigen und sicherzustellen, dass immer die neueste Konfiguration verfügbar ist. |
|
Integration des externen Identitätsanbieters | ||
5 | Fügen Sie gemäß der Anleitung Ihres Identitätsanbieters Security Center als vertrauenswürdige Anwendung in diesem System hinzu. Für eine erfolgreiche Authentifizierung muss der Identitätsanbieter für Security Center Zusicherungen über die authentifizierte Partei in einem Zugriffstoken zurückgeben. Diese Zusicherungen müssen mindestens eine Zusicherung des Benutzernamens, eine Zusicherung der Namenskennung und eine Zusicherung der Gruppenmitgliedschaft enthalten. Das Security Center-SAML2-Metadatendokument beschreibt das erwartete Format der Namenskennung. |
|
6 | Fügen Sie autorisierte Benutzergruppen von Ihrem Identitätsanbieter zu Security Center hinzu und legen Sie Berechtigungen fest. Wenn Ihr Identitätsanbieter eine Gruppenliste im CSV-Format exportieren kann, kann diese Liste in Security Center importiert werden. In der Regel verwenden Identitätsanbieter Namen, um Benutzergruppen eindeutig zu identifizieren. Wenn Namen verwendet werden, müssen Security Center-Benutzergruppen genau den gleichen Namen wie die entsprechende Gruppe Ihres Identitätsanbieters haben und den Domainnamen enthalten. Zum Beispiel: Operators@YourCompany.com. Wenn Ihr Identitätsanbieter jedoch eine ID verwendet, um eine Benutzergruppe eindeutig zu identifizieren, muss diese ID der Eigenschaft Externe eindeutige Kennung für die entsprechende Benutzergruppe in Security Center hinzugefügt werden, bevor die Gruppe mit der Authentication Service-Rolle verknüpft wird. Benutzer werden automatisch erstellt und ihrer zugewiesenen Gruppe oder ihren zugewiesenen Gruppen hinzugefügt, wenn sie sich zum ersten Mal anmelden. |
|
7 | Konfigurieren Sie die Authentication Service-Rolle mit Informationen zu Ihrem Identitätsanbieter. Öffnen Sie die Authentication Service-Rolle für SAML2, klicken Sie auf die Registerkarte Eigenschaften und geben Sie die erforderlichen Felder ein. |