Implementar autenticação baseada em declarações pelo ADFS - Security Center 5.9

Guia do Administrador do Security Center 5.9

series
Security Center 5.9
revised_modified
2020-01-20

Você pode usar um servidor de Active Directory Federation Services (ADFS) como o provedor de declarações para o Security Center e permitir que usuários externos à sua empresa façam logon no seu sistema estabelecendo uma cadeia de confiança de servidores ADFS de terceiros para o servidor principal do Security Center da empresa.

Antes de iniciar

Presume-se que você esteja familiarizado com os conceitos de autenticação baseada em declarações e que o servidor ADFS da sua empresa esteja operacional. Para obter informações gerais sobre a instalação e configuração do ADFS, consulte a documentação fornecida pela Microsoft.

O que você deve saber

Para fins ilustrativos, vamos supor que você deseje permitir que usuários externos da empresa XYZ acessem o sistema Security Center da sua empresa. A empresa XYZ tem seu próprio servidor ADFS que depende de seu próprio Active Directory como provedor de reivindicações. Os servidores da empresa XYZ não estão no mesmo domínio que os servidores da sua empresa. O servidor ADFS da sua empresa depende do servidor ADFS da empresa XYZ como provedor de declarações e, por sua vez, atua como provedor de declarações no sistema Security Center da sua empresa. Portanto, uma cadeia de confianças deve ser estabelecida a partir do Active Directory da empresa XYZ para o servidor principal do sistema Security Center da sua empresa.
NOTA: O Security Center requer atributos específicos como declarações: Grupo e UPN (Nome Principal do Usuário).

MELHOR PRÁTICA: Se pretender aceitar grupos de segurança a partir do seu Active Directory local como grupos de utilizadores do Security Center, não faça a sua federação através da função ADFS, mas importe-os através da função Active Directory em vez disso. A última abordagem oferece mais funcionalidades, como a sincronização de todos os campos padrão (primeiro nome, sobrenome, endereço de e-mail e assim por diante), mapeamento de campos personalizados e a opção de criar todos os usuários no momento de sincronização de funções.

Procedimento

  1. Configure a cadeia de confiança fora do domínio da sua empresa.
    Certifique-se de que as seguintes tarefas sejam executadas pelo pessoal de TI da Empresa XYZ.
    1. Adicione um provedor de reivindicações ao servidor ADFS da Empresa XYZ para o Active Directory da Empresa XYZ.
    2. Adicione uma parte confiável do servidor ADFS da Empresa XYZ para o servidor ADFS da sua empresa.
  2. Configure o servidor ADFS local como o provedor de declarações para o sistema Security Center.
    1. No servidor ADFS da sua empresa, abra o snap-in Gerenciamento de ADFS.
    2. Adicione um provedor de declarações confiável ao seu ADFS para o servidor ADFS de terceiros.
    3. Configure as regras de declaração para o provedor de declarações de terceiros.
    4. Adicione uma parte confiável ao seu ADFS para o Security Center.
    5. Configure as regras de declaração para o Security Center, a parte confiável que você adicionou.
  3. Configure o sistema Security Center para receber declarações do seu servidor ADFS local.
    1. Conecte ao seu sistema Security Center com o Config Tool.
    2. Crie um grupo de usuários para cada grupo do ADFS que você aceitar como grupos de usuários do Security Center.
    3. Crie a função Active Directory Federation Services.

Resultados

Todos os usuários autenticados pelo ADFS devem fazer logon usando nomes de usuário totalmente qualificados, o que significa que eles devem adicionar seu nome de domínio aos seus nomes de usuário, como Username@CompanyXYZ.com.
IMPORTANTE: Há atualmente um problema conhecido sobre o uso de um Active Directory e ADFS locais. Quando você tiver usuários externos autenticados pelo ADFS no sistema, todos os usuários importados do Active Directory local também devem usar nomes de usuário totalmente qualificados, mesmo que pertençam ao mesmo domínio do sistema Security Center.