Bereitstellung von Claim-basierter Authentifizierung durch AD FS - Security Center 5.9

Security Center – Administratorhandbuch 5.9

Applies to
Security Center 5.9
Last updated
2020-05-19
Content type
Handbücher
Handbücher > Administrator-Handbücher
Language
Deutsch (Deutschland)
Product line
Security Center unified platform > Security Center
Version
5.9

Sie können einen Active Directory Federation Services (ADFS)-Server als Claim-Anbieter für Security Center nutzen und Benutzern außerhalb Ihres Unternehmens erlauben, sich in Ihrem System anzumelden, indem eine Vertrauenskette von den AD FS-Servern Dritter zum Security Center Hauptserver Ihres Unternehmens aufgebaut wird.

Bevor Sie beginnen

Es wird davon ausgegangen, dass Sie mit den Konzepten der Claim-basierten Authentifizierung vertraut sind und dass der AD FS-Server Ihres Unternehmens betriebsbereit ist. Allgemeine Informationen über AD FS Installation und Konfiguration finden Sie in der Dokumentation von Microsoft®.

Was Sie noch wissen sollten

Zur Veranschaulichung: Lassen Sie uns davon ausgehen, dass Sie einem externer Benutzer der Firma XYZ den Zugriff auf das Security Center System Ihres Unternehmens erlauben möchten. Die Firma XYZ hat ihren eigenen AD FS-Server, der seinem eigenen Active Directory als Anspruchsanbieter vertraut. Die Server der Firma XYZ sind nicht auf der gleichen Domäne, wie Ihr Unternehmensserver. Der AD FS-Server Ihres Unternehmens vertraut dem AD FS-Server von Firma XYZ als Anspruchsanbieter, der wiederum als Anspruchsanbieter für das Security Center System Ihres Unternehmens auftritt. Deshalb muss eine Vertrauenskette vom Active Directory der Firma XYZ zum Hauptserver des Security Center Systems Ihres Unternehmens eingerichtet werden.
BEMERKUNG: Security Center erfordert spezifische Attribute als Claims: Gruppe und UPN (User Principal Name).

BEST-PRACTICE: Wenn Sie Sicherheitsgruppen Ihres lokalen Active Directory als Security Center Benutzergruppen akzeptieren möchten, verbinden Sie sie nicht über die AD FS-Rolle, sondern führen Sie stattdessen einen Import über die Active Directory Rolle durch. Dieser Ansatz bietet mehr Funktionalitäten wie Synchronisation aller Standardfelder (Vorname, Nachname, E-Mail-Adresse usw.), benutzerdefinierte Feldzuordnung und die Option, alle Benutzer gleich bei der Rollensynchronisation zu erstellen.

Prozedur

  1. Konfigurieren Sie die Vertrauenskette außerhalb der Domäne Ihres Unternehmens.
    Stellen Sie sicher, dass die IT-Mitarbeiter der Firma XYZ folgende Aufgaben durchführen:
    1. Dem AD FS-Server der Firma XYZ eine Claims Provider-Vertrauensstellung für das Active Directory der Firma XYZ hinzufügen.
    2. Dem AD FS-Server der Firma XYZ eine vertrauende Seite für das Active Directory Ihres Unternehmens hinzufügen.
  2. Konfigurieren Sie Ihren lokalen AD FS-Server als Claim-Provider für Ihr Security Center System.
    1. Öffnen Sie auf dem AD FS-Server Ihres Unternehmens das AD FS Management Snap-In.
    2. Fügen Sie auf Ihrem AD FS für den externen AD FS-Server eine Claim-Provider-Vertrauensstellung hinzu.
    3. Konfigurieren Sie die Claim-Regeln für den externen Claim-Provider.
    4. Fügen Sie Ihrem AD FS-Server eine vertrauende Seite Security Center hinzu.
    5. Konfigurieren Sie die Claim-Regeln für Security Center, die vertrauende Seite, die Sie gerade hinzugefügt haben.
  3. Konfigurieren Sie Ihr Security Center System auf dem Empfang von Claims Ihres lokalen AD FS-Servers.
    1. Verbinden Sie Ihr Security Center System mit Config Tool.
    2. Erstellen Sie eine Benutzergruppe für jede AD FS Gruppe, die Sie als Security Center Benutzergruppe akzeptieren.
    3. Erzeugen Sie die Active Directory Federation Services Rolle.

Ergebnisse

Alle Benutzer, die über AD FS authentifiziert werden, müssen sich mit vollqualifizierten Benutzernamen anmelden, d. h.: sie müssen ihren Benutzernamen deren Domänenname hinzufügen, zum Beispiel Benutzer@FirmaXYZ.com.
WICHTIG: Es gibt zurzeit ein bekanntes Problem in Bezug auf die Verwendung eines lokalen Active Directory und AD FS. Wenn in Ihrem System externe Benutzer vorhanden sind, die über AD FS authentifiziert wurden, müssen alle Benutzer, die aus Ihrem lokalen Active Directory importiert wurden, ebenfalls vollqualifizierte Benutzernamen verwenden, auch wenn sie zur gleichen Domäne gehören, wie Ihr Security Center System.