Erstellen von Active Directory Federation Services-Rollen - Security Center 5.9

Security Center – Administratorhandbuch 5.9
series
Security Center 5.9
revised_modified
2020-05-19
category_custom
Handbücher
Handbücher > Administrator-Handbücher
prodname_custom
Security Center unified platform > Security Center
vrm_version
5.9

Damit Security Center Claims von einem AD FS-Server erhalten kann, müssen Sie in Security Center eine AD FS-Rolle erstellen und konfigurieren.

Bevor Sie beginnen

Was Sie noch wissen sollten

Active Directory Federation Services (ADFS) sind eine Komponente des Betriebssystems Microsoft® Windows®. Sie gibt Ansprüche aus, wandelt diese um und implementiert föderierte Identitäten. Sie ist außerdem eine Rolle, die Security Center den Empfang von Ansprüchen von einem externen ADFS-Server ermöglicht.

Sie müssen für jeden Ihrer Stamm-AD FS in Security Center eine AD FS-Rolle erstellen. In unserem Beispielszenario ist Ihr lokaler AD FS-Server der Stamm-AD FS. Sie müssen daher nur eine AD FS-Rolle erstellen.

Wenn Sie keinen lokalen AD FS-Server haben, sondern mehrere unabhängige, externe AD FS-Server als Sicherheitstokendienst für Security Center eingesetzt werden, müssen Sie für jeden einzelnen davon eine AD FS-Rolle erstellen und in Security Center jeder AD FS-Serverkonfiguration eine vertrauende Seite hinzufügen.

Prozedur

  1. Öffnen Sie auf der Config Tool-Homepage des Tasks System und klicken Sie auf die Ansicht Rollen.
  2. Klicken Sie auf Ein Objekt hinzufügen () > Active Directory Federation Services.
  3. Geben Sie auf der Seite Basisinformation einen Namen und eine Beschreibung für die Rolle ein.
  4. Wählen Sie die Partition, der diese Rolle angehört, und klicken Sie auf Weiter.
    Partitionen bestimmen, welche Security Center Benutzer Zugriff auf dieses Objekt haben. Nur Benutzer, denen Zugriff auf die Partition gewährt wurde, können die ADFS-Rolle sehen.
  5. Klicken Sie auf Weiter > Erzeugen > Schließen.
    Eine neue AD FS-Rolle () wurde erstellt.
  6. Klicken Sie auf die Registerkarte Eigenschaften und konfigurieren Sie die Vertrauenskette (Domänen).
    1. Klicken Sie auf Einen Eintrag hinzufügen (), konfigurieren Sie den AD FS-Server und klicken Sie dann auf OK.
      Domäne
      Dies ist die Domäne Ihres lokalen AD FS-Servers. Beispiel: IhreDomäne.com.
      URL
      Dies ist die Adresse des Metadatendokuments Ihres AD FS-Servers. Sie wird immer in folgendem Format angezeigt: adfs.IhrUnternehmen.com

      Tauschen Sie adfs.IhrUnternehmen.com gegen den Namen Ihres ADFS-Servers aus.

      Vertrauende Seite
      Dies ist der Bezeichner, der als Bezeichner Vertrauende Seite eingegeben wurde, als Sie die vertrauende Seite für Security Center hinzugefügt haben.

      Damit identifiziert Security Center sich selbst als vertrauende Seite gegenüber dem AD FS-Server, und dies auch dann, wenn die Rolle bei einem Failover auf einen anderen Server wechselt.

      Passive Authentifizierung aktivieren
      Wählen Sie diese Option aus, um passive Authentifizierung (DEFAULT = AUS) zu aktivieren.
      WICHTIG: Die überwachte Benutzeranmeldung funktioniert nicht, wenn Sie die passive Authentifizierung aktivieren. Dies liegt daran, dass die Benutzerauthentifizierung außerhalb von Security Center erfolgt.
    2. Klicken Sie auf Einen Eintrag hinzufügen (), konfigurieren Sie den AD FS-Remoteserver und klicken Sie dann auf OK.
      Domäne
      Dies ist die Domäne Ihres AD FS-Remoteservers. Beispiel: FirmaXYZ.com.
      Benutzer aus dieser Domäne müssen an Ihre Benutzernamen die Domäne anhängen, wenn sie sich in Security Center anmelden.
      Beispiel: johnny@FirmaXYZ.com.
      URL
      Dies ist die Adresse des Metadatendokuments des AD FS-Remoteservers. Sie wird immer in folgendem Format angezeigt: adfs.FirmaXYZ.com

      Tauschen Sie adfs.FirmaZYZ.com gegen den Namen des AD FS-Remoteservers aus.

      Vertrauende Partei überschreiben
      (Erweiterte Einstellung) Wählen Sie diese Option, wenn der Anspruchsanbieter auf dieser Domäne eine andere Zielgruppe in der Token-Anfrage der vertrauenden Seite erwartet, und geben Sie den erwarteten Wert ein.
    3. Wenn Sie mehr als einen AD FS-Remoteserver als Claim-Provider auf Ihrem lokalen AD FS-Server konfiguriert haben, fügen Sie sie jetzt hinzu.
  7. Konfigurieren Sie die externen Benutzergruppen, die Security Center akzeptieren wird.
    1. Klicken Sie im Abschnitt Akzeptierte Benutzergruppen auf Einen Eintrag hinzufügen ().
    2. Im angezeigten Dialogfeld wählen Sie nun die Benutzergruppen, die den AD FS Remotegruppen zugeordnet wurden und klicken dann auf OK.
    Alle Benutzer, die Mitglieder der akzeptierten Benutzergruppen sind, könnten sich in Ihrem System anmelden. Alle müssen hierfür ihren Domänennamen an den Benutzernamen anhängen. Security Center behält und überprüft keine Passwörter. Der AD FS-Server tut dies jedoch. Security Center vertraut ihnen als authentische Nutzer, wenn sie vom AD FS akzeptiert werden.
  8. Klicken Sie auf Anwenden.