Migrieren benutzerdefinierter Authentifizierungseinstellungen in die Liste der Authentifikatoren

In den Einstellungen können Sie Ihre vorhandenen SAML-Authentifikatoren in die Liste der Authentifikatoren migrieren, sodass Sie sie zu Authentifizierungsrichtlinien für Benutzer und Gruppen oder Ihren Mandanten hinzufügen können. Wenn Sie die Authentifikatoren migrieren, müssen Sie die Single Sign-On-URL auf die von Aurora Endpoint Security verwendete URL aktualisieren. Sie müssen auch den NameID-Anspruch in Ihrer externen IdP-Konfiguration aktualisieren, damit er anstelle der E-Mail-Adresse eines Benutzers einen beständigen, unveränderbaren Wert zurückgibt, oder Sie müssen beim Identitätsanbieter einen Anspruch erstellen, der für „Anspruch auf Verbund-ID“ verwendet werden kann.

Bevor Sie Ihre Einstellungen migrieren, sollten Sie als Sicherheitsmaßnahme eine Authentifizierungsrichtlinie erstellen, die nur das Endpoint Defense-Konsolenkennwort erfordert, und sie einem Administrator zuweisen.

Anmerkung: Wenn Sie die benutzerdefinierten Authentifizierungseinstellungen zum externen Identitätsanbieter migrieren, müssen Sie die folgende URL für die Cylance Endpoint Security-Anmeldeanforderung hinzufügen: https://idp.blackberry.com/_/resume. Da externe SAML-Konfigurationen eine Liste von Single Sign-On- oder Assertion Consumer Service-Antwort-URLs unterstützen, können Sie in vorhandenen Konfigurationen die neue URL als sekundäre Option zur Liste hinzufügen oder das Original ersetzen. 

Weitere Informationen zu SAML-Authentifikatoren finden Sie unter Überlegungen zum Hinzufügen von SAML-Authentifikatoren.

Laden Sie eine Kopie des Signaturzertifikats für Ihren IdP herunter.
  1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Einstellungen > Anwendung.
  2. Führen Sie im Abschnitt Kundenspezifische Authentifizierung die folgenden Schritte aus:
    1. Kopieren Sie die folgenden Informationen in eine Textdatei:
      • Anbietername
      • Anmelde-URL
    2. Aktivieren Sie das Kontrollkästchen Kennwortanmeldung zulassen. Weitere Informationen finden Sie unter Konfigurieren der benutzerdefinierten Authentifizierung.
  3. Klicken Sie in der Menüleiste auf Einstellungen > Authentifizierung.
  4. Klicken Sie auf der Registerkarte Authentifikatoren auf Authentifikator hinzufügen.
  5. Klicken Sie in der Liste Authentifikatortyp auf den SAML-Authentifikator, der dem in Schritt 2 kopierten Anbieter entspricht (z. B. Entra oder Okta), oder klicken Sie auf „Benutzerdefinierte SAML“.
  6. Geben Sie im Abschnitt Allgemeine Informationen einen Namen für den Authentifikator ein.
  7. Aktivieren Sie im Abschnitt SAML-Konfiguration die Option Validierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
  8. Geben Sie im Feld Anmeldeanforderungs-URL die Single-Sign-On-URL für den Identitätsanbieter ein.
  9. Fügen Sie im Feld IdP-Signaturzertifikat den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Begin Certificate“ (Zertifikat beginnen) und „End Certificate“ (Zertifikat beenden).
    Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und nicht das Format der Zertifikatsinformationen ändern.
  10. Führen Sie einen der folgenden Schritte aus:

    Aufgabe

    Schritte

    Aktualisieren Sie die Werte des NameID- und des E-Mail-Anspruchs im externen Identitätsanbieter.
    1. Melden Sie sich bei Ihrem externen Identitätsanbieter an.
    2. Aktualisieren Sie die Single Sign-On-URL für Aurora Endpoint Security auf https://idp.blackberry.com/_/resume. Sie können diese URL zur vorhandenen URL login.<Region> .cylance.com hinzufügen.
    3. Bearbeiten Sie den NameID-Anspruch so, dass er einen beständigen, unveränderbaren Wert (z. B. objectGUID oder UUID) zurückgibt, der unter „Anspruch auf Verbund-ID“ anstelle der E-Mail-Adresse des Benutzers verwendet werden kann. Anweisungen hierzu finden Sie in der Dokumentation des Identitätsanbieters.
    4. Erstellen Sie einen neuen E-Mail-Anspruch, der die E-Mail-Adresse des Benutzers zurückgibt.

    Erstellen Sie einen neuen Anspruch in Ihrem externen Identitätsanbieter und fügen Sie ihn in den Authentifikator-Einstellungen hinzu.
    1. Melden Sie sich bei Ihrem externen Identitätsanbieter an.
    2. Aktualisieren Sie die Single Sign-On-URL für Aurora Endpoint Security auf https://idp.blackberry.com/_/resume. Sie können diese URL zur vorhandenen URL login.<Region> .cylance.com hinzufügen.
    3. Erstellen Sie einen neuen Anspruch, der eine beständige, unveränderbare ID für einen Benutzer zurückgibt. Anweisungen hierzu finden Sie in der Dokumentation des Identitätsanbieters.
    4. Geben Sie in der Endpoint Defense-Verwaltungskonsole im Feld E-Mail-AnspruchnameID ein. Der Wert für nameID muss kleingeschrieben werden („n“).
    5. Geben Sie in das Feld Anspruch auf Verbund-ID den Namen des neuen Anspruchs ein, den Sie im externen Identitätsanbieter erstellt haben.
  11. Klicken Sie auf Speichern.