Implementar autenticación basada en notificaciones a través de ADFS - Security Center 5.8

Guía para el Administrador de Security Center 5.8
Applies to
Security Center 5.8
Last updated
2019-08-28
Language
Español
Product
Security Center
Version
5.8

Puede usar un servidor de Active Directory Federation Services (ADFS) como proveedor de notificaciones para Security Center y permitir que los usuarios ajenos a su empresa inicien sesión en su sistema al establecer una cadena de confianza desde los servidores de ADFS de terceros al servidor principal de Security Center de su empresa.

Antes de comenzar

Se supone que está familiarizado con los conceptos de autenticación basada en notificaciones y que el servidor de ADFS de su empresa está en condiciones de funcionamiento. Para obtener información general sobre la instalación y configuración de ADFS, consulte la documentación provista por Microsoft.

Lo que debe saber

Para fines de ilustración, supongamos que desea permitir que unos usuarios externos de la Compañía XYZ accedan al sistema de Security Center de su empresa. La Compañía XYZ tiene su propio servidor de ADFS que se sirve de su propio Active Directory como proveedor de reclamos. Los servidores de la Compañía XYZ no se encuentran en el mismo dominio que los de su empresa. El servidor de ADFS de su empresa se sirve del servidor de ADFS de la Compañía XYZ como proveedor de notificaciones y, a su vez, actúa como proveedor de notificaciones para el sistema de Security Center de su empresa. Por lo tanto, se debe establecer una cadena de relaciones de confianza desde el Active Directory de la Compañía XYZ hasta el servidor principal del sistema de Security Center de su empresa.
NOTA: Security Center requiere atributos específicos como notificaciones: Grupo y UPN (nombre principal del usuario).

MEJOR PRÁCTICA: Si desea aceptar grupos de seguridad desde su Active Directory local como grupos de usuarios de Security Center, no los federe a través de la función de ADFS, sino impórtelos mediante la función del Active Directory. Este último enfoque ofrece más funcionalidades, como la sincronización de todos los campos estándar (nombre, apellido, dirección de correo electrónico y demás), asociación de campos personalizados y la opción de crear todos los usuarios al momento de la sincronización de la función.

Procedimiento

  1. Configure la cadena de confianza fuera del dominio de su empresa.
    Asegúrese de que el personal de TI de la Compañía XYZ realice las siguientes tareas.
    1. Agregue un fondo de proveedor de notificaciones al servidor de ADFS de la Compañía XYZ para el Active Directory de la Compañía XYZ.
    2. Agregue una relación de confianza para usuario autenticado al servidor de ADFS de la Compañía XYZ para el servidor de ADFS de su empresa.
  2. Configure su servidor de ADFS local como el proveedor de notificaciones para su sistema de Security Center.
    1. En el servidor de ADFS de su empresa, abra el complemento de Administración de AD FS.
    2. Agregue una relación de confianza de proveedor de notificaciones a sus ADFS para el servidor de ADFS del tercero.
    3. Configure las reglas de notificaciones para el tercero proveedor de notificaciones.
    4. Agregue una relación de confianza para usuario autenticado a su servidor de ADFS para Security Center.
    5. Configure las reglas de notificaciones para Security Center, el usuario de confianza que acaba de agregar.
  3. Configure su sistema de Security Center para recibir notificaciones desde su servidor de ADFS local.
    1. Conéctese a su sistema de Security Center con Config Tool.
    2. Cree un grupo de usuarios para cada grupo de ADFS que acepte como grupos de usuarios de Security Center.
    3. Cree la función de Active Directory Federation Services.

Resultados

Todos los usuarios autenticados a través de ADFS deben iniciar sesión con nombres de usuario completos, lo que significa que deben agregar su nombre de dominio a sus nombres de usuario, como en Nombredeusuario@CompañíaXYZ.com.
IMPORTANTE: En este momento, se tiene conocimiento de un problema con respecto al uso de un ADFS y Active Directory local. Cuando tiene usuarios externos autenticados a través de ADFS en su sistema, todos los usuarios importados desde su Active Directory local también deben usar nombres de usuario completos, aunque pertenezcan al mismo dominio que su sistema de Security Center.