In diesem Abschnitt wird beschrieben, wie Sie einen Verbundserver mithilfe von AD FS 3.0 für die Arbeit mit Cloud-App-Sicherheitkonfigurieren.
Bei einem Verbundserver handelt es sich um einen Computer, auf dem ein spezieller Webdienst ausgeführt wird, der Anfragen für Sicherheitstoken und Identitätsverwaltung ausgeben, verwalten und überprüfen kann. Sicherheitstoken bestehen aus einer Sammlung von Identitätsansprüchen, wie z. B. dem Namen oder der Rolle eines Benutzers. Der Verbundserver kann nur für den Intranet-Zugriff konfiguriert werden, um externen Zugriff aus dem Internet zu vermeiden.
Hinweis
Hinweis
Cloud-App-Sicherheit unterstützt die Verbindung zum Verbundserver mithilfe von AD FS 2.0 und 3.0.
Die häufig als AD FS 2012 R2 bezeichneten Active Directory-Verbunddienste (AD FS) 3.0 bieten Unterstützung für anspruchsberechtigte Identitätslösungen, die Windows Server- und Active Directory-Technologie umfassen. AD FS 3.0 unterstützt die Protokolle WS-Trust, WS-Federation und Security Assertion Markup Language (SAML).
Bevor Sie mit der Konfiguration von AD FS beginnen, stellen Sie sicher, dass Folgendes zutrifft:
  • Es ist ein Windows Server mit AD FS 3.0 installiert, der als Verbundserver fungiert.
  • Sie sind als globaler Cloud-App-Sicherheit -Administrator bei der Verwaltungskonsole angemeldet.

Prozedur

  1. Navigieren Sie zu StartAlle ProgrammeAdministrator-Tools, um die AD FS-Management-Konsole zu öffnen.
  2. Klicken Sie im Navigationsbereich auf der linken Seite auf AD FS und klicken Sie im Bereich Aktion auf der rechten Seite auf Vertrauensstellung der vertrauenden Seite hinzufügen....
  3. Vervollständigen Sie die Einstellungen auf jeder Registerkarte des Fensters Assistent zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite.
    1. Klicken Sie auf der Registerkarte Willkommen auf Start.
    2. Wählen Sie auf der Registerkarte Datenquelle auswählen die Option Daten über die vertrauende Seite manuell eingeben aus und klicken Sie auf Weiter.
    3. Geben Sie auf der Registerkarte Specify Display Name einen Anzeigenamen für Cloud-App-Sicherheitan, z. B. Trend Micro Cloud App-Sicherheit und klicken Sie auf Nächster.
    4. Wählen Sie auf der Registerkarte Profil auswählen den Eintrag AD FS-Profil aus und klicken Sie auf Weiter.
    5. Klicken Sie auf der Registerkarte Zertifikat konfigurieren auf Weiter.
      Hinweis
      Hinweis
      Es ist kein Verschlüsselungszertifikat erforderlich und HTTPS wird für die Kommunikation zwischen Cloud-App-Sicherheit und Verbundservern verwendet.
    6. Wählen Sie auf der Registerkarte URL konfigurieren die Option Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren aus, geben Sie die URL des SAML 2.0-Diensts für einmaliges Anmelden der vertrauenden Seite ein und klicken Sie dann auf Weiter.
      Hinweis
      Hinweis
      Die URL des SAML 2.0-SSO-Dienstes lautet Cloud App Security_admin_site /ssoLogin Abhängig von Ihrer Bereitstellungsseite. Wenn beispielsweise die URL Ihrer Cloud-App-Sicherheit -Verwaltungskonsole in der Adressleiste nach der Anmeldung „https://admin-eu.tmcas.trendmicro.com“ lautet, lautet die URL des SAML 2.0-SSO-Diensteshttps://admin-eu.tmcas.trendmicro.com/ssoLogin .
    7. Geben Sie auf der Registerkarte Configure Identifiers die Kennung für die Vertrauensstellung der vertrauenden Seite ein, klicken Sie auf Hinzufügenund dann auf Nächster. Dies wird auf der Cloud-App-Sicherheit -Verwaltungskonsole auch als Anwendungsbezeichner bezeichnet.
    8. Lassen Sie auf der Registerkarte Möchten Sie jetzt die mehrstufige Authentifizierung konfigurieren? die mehrstufige Authentifizierung standardmäßig zu und klicken Sie auf Weiter.
    9. Wählen Sie auf der Registerkarte Ausstellungsautorisierungsregeln wählen die Option Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben aus und klicken Sie auf Weiter.
    10. Klicken Sie auf der Registerkarte Bereit zum Hinzufügen der Vertrauensstellung auf Weiter.
    11. Wählen Sie auf der Registerkarte Fertig stellen die Option Nach Abschluss des Assistenten das Dialogfeld "Anspruchsregeln bearbeiten" für diese Anspruchsanbieter-Vertrauensstellung öffnen und klicken Sie dann auf Schließen.
      Das Fenster Anspruchsregeln bearbeiten wird angezeigt.
  4. Klicken Sie auf der Registerkarte Ausstellungstransformationsregeln auf Regel hinzufügen....
  5. Vervollständigen Sie die Einstellungen auf jeder Registerkarte des Fensters Assistent zum Hinzufügen einer Transformationsanspruchsregel.
    1. Wählen Sie auf der Registerkarte Regeltyp auswählen in der Dropdown-Liste Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden aus und klicken Sie auf Weiter.
    2. Geben Sie auf der Registerkarte Anspruchsregel konfigurieren den Namen einer Anspruchsregel im Textfeld Anspruchsregelname ein und wählen Sie in der Dropdown-Liste Attributspeicher den Eintrag Active Directory aus.
    3. Wählen Sie die folgenden LDAP-Attribute aus und geben Sie für jedes Attribut den Typ eines ausgehenden Anspruchs an: Wählen Sie das Attribut E-Mail-Adressen aus und wählen Sie E-Mail-Adresse aus der Dropdown-Liste Typ des ausgehenden Anspruchs aus; wählen Sie das Attribut Benutzerprinzipalname aus und wählen Sie Name aus der Dropdown-Liste Typ des ausgehenden Anspruchs aus.
    4. Klicken Sie auf Fertig stellen.
      Die zuvor erstellte Transformationsanspruchsregel wird auf der Registerkarte Ausstellungstransformationsregeln angezeigt.
  6. Klicken Sie auf Regel hinzufügen....
  7. Vervollständigen Sie die Einstellungen auf jeder Registerkarte des Fensters Assistent zum Hinzufügen einer Transformationsanspruchsregel.
    1. Wählen Sie auf der Registerkarte Regeltyp auswählen in der Dropdown-Liste Anspruchsregelvorlage den Eintrag Eingehenden Anspruch transformieren aus und klicken Sie auf Weiter.
    2. Geben Sie auf der Registerkarte Anspruchsregel konfigurieren in das Textfeld Anspruchsregelname einen Anspruchsregelnamen ein und wählen Sie E-Mail-Adresse als Typ des eingehenden Anspruchs, Namens-ID als Typ des ausgehenden Anspruchs und E-Mail als ID-Format des ausgehenden Namens ein.
    3. Wählen Sie Alle Anspruchswerte zulassen aus und klicken Sie auf Fertig stellen.
      Die zuvor erstellte Transformationsanspruchsregel wird auf der Registerkarte Ausstellungstransformationsregeln angezeigt.
  8. Klicken Sie auf Übernehmen und dann auf OK.
  9. Erfassen Sie die Single-Sign-On-URL und exportieren Sie ein Zertifikat für die AD FS-Signaturvalidierung auf der Cloud-App-Sicherheit -Verwaltungskonsole.
    1. Navigieren Sie in der AD FS-Management-Konsole zu AD FSDienstEndpunkte.
    2. Suchen Sie im Bereich Endpunkte den Typ SAML 2.0/WS-Federation und erfassen Sie die URL /adfs/ls/.
    3. Navigieren Sie zu AD FSDienstZertifikate.
    4. Suchen Sie nach dem Zertifikat Tokensignatur, klicken Sie mit der rechten Maustaste darauf und wählen Sie dann Zertifikat anzeigen aus.
    5. Klicken Sie im daraufhin angezeigten Fenster Zertifikat auf die Registerkarte Details und dann auf In Datei kopieren.
    6. Wählen Sie im daraufhin angezeigten Fenster Zertifikatexport-Assistent den Eintrag Base-64-codiert X.509 (.CER) und klicken Sie auf Weiter.
    7. Geben Sie im Textfeld Dateiname einen Namen für die Datei ein und klicken Sie auf Weiter.
    8. Klicken Sie auf Fertig stellen, um den Export des Zertifikats in eine Datei abzuschließen.
  10. Konfigurieren Sie die Authentifizierungsmethoden.
    1. Navigieren Sie in der AD FS-Management-Konsole zu AD FSAuthentifizierungsrichtlinien.
    2. Klicken Sie im Bereich Authentifizierungsrichtlinien unter Primäre Authentifizierung neben Allgemeine Einstellungen auf Bearbeiten.
      Das Fenster Globale Authentifizierungsrichtlinie bearbeiten wird angezeigt.
    3. Wählen Sie auf der Registerkarte Primär im Bereich Extranet die Optionen Formularauthentifizierung und Zertifikatauthentifizierung und im Bereich Intranet die Optionen Formularauthentifizierung und Windows-Authentifizierung aus.
    4. Klicken Sie auf OK.