Active Directory-Verbunddienste konfigurieren

Prozedur

1. Navigieren Sie zu Starten → All Programs → Windows Administrative Tools → AD FS Management.
2. Gehen Sie in der AD FS-Verwaltungskonsole zu AD FS, klicken Sie mit der rechten Maustaste auf Relying Party Trusts und wählen Sie dann Add Relying Party Trust aus.
3. Vervollständigen Sie die Einstellungen für jeden Bildschirm im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite.
   1. Wählen Sie im Fenster Begrüßungsfenster Claims aware aus und klicken Sie auf Starten.
   2. Wählen Sie im Fenster Select Data Source Enter data about the relying party manually aus und klicken Sie auf Weiter.
   3. Geben Sie auf dem Bildschirm Specify Display Name einen Anzeigenamen an (z. B. Trend Micro Email Security End User Console) und klicken Sie auf Weiter.
   4. Klicken Sie auf dem Bildschirm Configure Certificate auf Weiter.

      Hinweis Es ist kein Verschlüsselungszertifikat erforderlich, und HTTPS wird für die Kommunikation zwischen Trend Vision One und Verbundservern verwendet.

   5. Wählen Sie auf dem Bildschirm Configure URL die Option Enable support for the SAML 2.0 WebSSO protocol aus, geben Sie die URL des SAML 2.0-Diensts für einmaliges Anmelden der vertrauenden Seite ein und klicken Sie dann auf Weiter.

      Hinweis Geben Sie die SAML 2.0 SSO-Service-URL für Ihre Region wie folgt an: https://euc.<domain_name>/uiserver/euc/ssoAssert?cmpID=<unique_identifier> In den vorhergehenden und folgenden URLs: Ersetzen Sie <unique_identifier> durch eine eindeutige Kennung. Notieren Sie die eindeutige Kennung, die verwendet wird, wenn Sie ein SSO-Profil auf der Cloud Email Gateway Protection-Administrator-Konsole erstellen. Ersetzen Sie <domain_name> mit einem der folgenden basierend auf Ihrem Standort: USA: tmes.trendmicro.com Deutschland: tmes.trendmicro.eu Australien: tmes-anz.trendmicro.com Japan: tmems-jp.trendmicro.com Singapur: tmes-sg.trendmicro.com Indien: tmes-in.trendmicro.com Vereinigte Arabische Emirate: tmes-uae.trendmicro.com Vereinigtes Königreich: tmes-uk.trendmicro.com

   6. Geben Sie auf dem Bildschirm Configure Identifiers die Kennung für die Vertrauensstellung der vertrauenden Seite ein, klicken Sie auf Hinzufügen und dann auf Weiter.

      Hinweis Geben Sie den Bezeichner für die Vertrauensstellung der vertrauenden Seite für Ihre Region wie folgt an: https://euc.<domain_name>/uiserver/euc/ssoLogin

   7. Wählen Sie auf dem Bildschirm Choose Access Control Policy eine Zugriffskontrollrichtlinie aus und klicken Sie auf Weiter.
   8. Klicken Sie im Assistenten weiterhin auf Weiter und klicken Sie schließlich auf Schließen.
4. Klicken Sie im Dialogfeld Edit Claim Issuance Policy for Trend Micro Email Security End User Console auf Regel hinzufügen im Tab Issuance Transform Rules.
5. Vervollständigen Sie die Einstellungen für jeden Bildschirm im Assistenten zum Hinzufügen einer Transformationsanspruchsregel.
   1. Wählen Sie im Fenster Select Rule Template Send LDAP Attributes as Claims für Claim rule template aus und klicken Sie auf Weiter.
   2. Geben Sie auf dem Bildschirm Configure Rule einen Regelname an und wählen Sie Active Directory für Attribute store aus.
   3. Wählen Sie LDAP-Attribute aus und geben Sie für jedes Attribut einen ausgehenden Anspruchstyp an. Wählen Sie beispielsweise E-Mail-Addresses und geben Sie email als ausgehenden Anspruchstyp ein.

      Wichtig Wenn Sie den Identitätsanspruchstyp für ein SSO-Profil auf Cloud Email Gateway Protection konfigurieren, stellen Sie sicher, dass Sie den hier angegebenen Anspruchstyp verwenden.

   4. (Optional) Konfigurieren Sie die Einstellungen für den Gruppenzuordnungstyp für Benutzergruppen.
      1. Wählen Sie auf dem Bildschirm Select Rule Template die Option Send Group Membership as a Claim für Claim rule template aus und klicken Sie anschließend auf Weiter.
      2. Geben Sie auf dem Bildschirm Configure Rule einen Anspruchsregel-Namen an, klicken Sie unter User's group auf Durchsuchen und wählen Sie AD-Gruppen aus.
      3. Geben Sie den ausgehenden Anspruchstyp und die ausgehenden Anspruchswerte an. Zum Beispiel, geben Sie euc_group und die AD-Gruppennamen ein.

      Wichtig Wenn Sie den Gruppenzugriffstyp für ein SSO-Profil auf Cloud Email Gateway Protection konfigurieren, stellen Sie sicher, dass Sie den hier angegebenen Gruppenzugriffstyp verwenden.

   5. Klicken Sie auf Finish.
   6. Klicken Sie auf OK, um den Assistenten zu schließen.
6. Wählen Sie im Menü AD FS → Relying Party Trust die Datei für die Vertrauensstellung der vertrauenden Seite aus, die Sie zuvor erstellt haben, und doppelklicken Sie darauf.
   1. Klicken Sie im Dialogfeld Test Properties auf die Registerkarte Erweitert.
   2. Wählen Sie SHA1 in der Dropdown-Liste Secure hash algorithm aus und klicken Sie auf OK.
7. Sammeln Sie die Single-Sign-On-Anmelde- und Abmelde-URLs und erhalten Sie ein Zertifikat zur Signaturvalidierung von AD FS.
   1. Navigieren Sie in der AD FS-Management-Konsole zu AD FS → Dienst → Endpunkte.
   2. Suchen Sie nach dem Endpunkt des Typs SAML 2.0/WS-Federation und erfassen Sie den URL-Pfad.

      Hinweis Der URL-Pfad wird verwendet, wenn Sie Anmelde- und Abmelde-URLs auf Cloud Email Gateway Protection konfigurieren. Anmelde-URL: <adfs_domain_name>/adfs/ls/ Abmelde-URL: <adfs_domain_name>/adfs/ls/?wa=wsignout1.0

   3. Navigieren Sie zu AD FS → Dienst → Zertifikate.
   4. Suchen Sie nach dem Zertifikat Token-signing, klicken Sie mit der rechten Maustaste darauf und wählen Sie dann View Certificate aus.
   5. Klicken Sie auf die Registerkarte Details und dann auf Copy to File.
   6. Verwenden Sie den Zertifikat-Export-Assistenten, um Base-64 Encoded X.509 (.CER) auszuwählen.
   7. Weisen Sie der Datei einen Namen zu, um den Export des Zertifikats in eine Datei abzuschließen.