Hinzufügen eines Authentifikators

Mit dem Authentifikator wird eine Authentifizierungsmethode wie ein Kennwort (z. B. ein Kennwort für die Endpoint Defense-Konsole) oder eine Verbindung zu Drittanbietern zur Authentifizierung wie Active Directory, Okta oder Ping Identity konfiguriert. Sie fügen sie zu Authentifizierungsrichtlinien hinzu, um die Arten der Authentifizierung anzugeben, die Administratoren durchführen müssen, um sich bei der Endpoint Defense-Konsole anzumelden. Sie können mehrere Authentifikatoren in einer Authentifizierungsrichtlinie kombinieren, um mehrere Authentifizierungsschritte bereitzustellen. Sie können beispielsweise einen Unternehmensauthentifikator mit einer Eingabeaufforderung für ein Einmalkennwort in einer Richtlinie kombinieren, damit sich Benutzer sowohl mit ihren geschäftlichen Anmeldedaten als auch mit ihrem Kennwort für die Endpoint Defense-Konsole und einem Einmalkennwort authentifizieren müssen.
  • Wichtig: Stellen Sie sicher, dass Sie die entsprechenden Schritte für Konfigurieren der Authentifizierung für die Anmeldung in der Endpoint Defense-Konsole geprüft und ausgeführt haben, bevor Sie Ihren IDP-SAML-Authentifikator konfigurieren. Wenn die erforderlichen Schritte nicht abgeschlossen werden, kann der Drittanbieter-Authentifikator nicht mit Cylance Endpoint Security kommunizieren. Weitere Informationen finden Sie unter:
  • Wenn Sie einen SAML-Authentifikator hinzufügen,
  1. Klicken Sie in der Menüleiste auf Einstellungen > Authentifizierung.
  2. Klicken Sie auf Authentifikator hinzufügen.
  3. Wählen Sie in der Liste Authentifikatortyp eine der folgenden Aktionen aus:
    • Entra (SAML): Benutzer müssen ihre Entra-Anmeldedaten auf der primären Anmeldeseite eingeben und IDP-initiierten Zugriff auf die Endpoint Defense-Konsole aktivieren.
      Anmerkung: Die SSO-Callback-URL wird generiert, wenn Sie den Authentifikator speichern, und hat das Format https://login.eid.blackberry.com/_/resume/saml20/<hash>.

      Sie müssen eine separate Callback-URL zu Ihrer IDP-Umgebung hinzufügen. Weitere Informationen finden Sie unter Aktualisieren Sie die Domain in einer Legacy-SSO-Callback-URL in der IDP-Umgebung.

      Gehen Sie folgendermaßen vor:
      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Aktivieren Sie die Option Validierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem Einmalcode validieren sollen.

        Der Code wird an die E-Mail-Adresse gesendet, die mit dem Benutzer in Ihrem Mandanten verknüpft ist.

      3. Geben Sie im Feld Anmeldeanforderungs-URL die Anmelde-URL ein, die in den Einstellungen für die einmalige Anmeldung bei der App-Registrierung für Ihren Identitätsanbieter angegeben ist. Gehen Sie beispielsweise im Entra-Portal zu Unternehmensanwendung > Name der neu erstellten Anwendung > Anwendungsnameeinrichten > Anmelde-URL.
      4. Fügen Sie im Feld IDP-Signaturzertifikat den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Zertifikat beginnen“ und „Zertifikat beenden“.

        Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.

      5. Geben Sie im Feld Entitätskennung des SP die ID (Entitätskennung) ein, die Sie in der SAML-Konfiguration im Entra-Portal notiert haben. Dies ist ein Pflichtfeld. Der Wert im Feld „Entitätskennung des SP“ muss der „ID (Entitätskennung)“ entsprechen, die Sie in der IDP-Konsole notiert haben.
      6. Aktivieren Sie Erweiterte Einstellungen anzeigen und fügen Sie im Feld E-Mail-Anspruch den Wert aus dem „Anspruchsnamen“ ein, den Sie im Entra-Portal notiert haben (z. B. http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress).
      7. Legen Sie weitere optionale Einstellungen fest.
      8. Klicken Sie auf Speichern.
      9. Öffnen Sie den hinzugefügten Authentifikator. Erfassen Sie die SSO-Callback-URL. Diese URL ist im Entra-Portal > SAML-Basiskonfiguration > Antwort-URL (Assertion Consumer-URL) erforderlich.
    • Custom (SAML): Benutzer müssen benutzerdefinierte Anmeldedaten auf der primären Anmeldeseite eingeben und IDP-initiierten Zugriff auf die Endpoint Defense-Konsole aktivieren.
      Anmerkung: Die SSO-Callback-URL wird generiert, wenn Sie den Authentifikator speichern, und hat das Format https://login.eid.blackberry.com/_/resume/saml20/<hash>.

      Sie müssen eine separate Callback-URL zu Ihrer IDP-Umgebung hinzufügen. Weitere Informationen finden Sie unter Aktualisieren Sie die Domain in einer Legacy-SSO-Callback-URL in der IDP-Umgebung.

      Gehen Sie folgendermaßen vor:

      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Aktivieren Sie die Option Validierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem Einmalcode validieren sollen.
      3. Geben Sie im Feld Anmeldeanforderungs-URL die Single-Sign-On-URL für den Identitätsanbieter ein.
      4. Fügen Sie im Feld IDP-Signaturzertifikat den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Zertifikat beginnen“ und „Zertifikat beenden“.

        Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.

      5. Geben Sie im Feld Entitätskennung des SP die „Audience-URI (Entitätskennung des SP)“ ein, die Sie im kundenspezifischen IDP-Portal notiert haben. Dies ist ein Pflichtfeld. Der Wert im Feld „Entitätskennung des SP“ muss der „Audience-URI (Entitätskennung des SP)“ entsprechen, die Sie in der IDP-Konsole notiert haben.
      6. Geben Sie im Feld Namenskennungsformat das Format der Namenskennung an, das vom IDP angefordert werden soll. Beispiel: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
      7. Geben Sie im Feld E-Mail-Anspruch NameID ein. Dieser Wert muss mit dem „Namenskennungsformat“ übereinstimmen, das Sie in der IDP-Konsole angegeben haben. Die E-Mail-Adresse stellt sicher, dass sich der richtige Benutzer bei der Verwaltungskonsole anmeldet.
      8. Legen Sie weitere optionale Einstellungen fest.
      9. Klicken Sie auf Speichern.
      10. Öffnen Sie den hinzugefügten Authentifikator. Notieren Sie die Single-Sign-On-URL. Diese URL wird zum kundenspezifischen IDP hinzugefügt.
    • Aurora-Administratorkennwort: Benutzer müssen ihre Endpoint Defense-Konsolenzugangsdaten eingeben.
      Gehen Sie folgendermaßen vor:
      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Klicken Sie auf Speichern.
    • Deny Authentication: Erfordert eine Authentifizierungsrichtlinie, um zu verhindern, dass Benutzer oder Benutzergruppen auf die Endpoint Defense-Konsole oder einen anderen Dienst zugreifen. Sie können eine weitere Richtlinie oder eine App-Ausnahme hinzufügen, um den Zugriff auf eine Untergruppe von Benutzern zu ermöglichen.
      Gehen Sie folgendermaßen vor:
      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Klicken Sie auf Speichern.
    • Duo MFA: Benutzer müssen sich mithilfe einer Duo Multi-Faktor-Authentifizierung authentifizieren.
      Anmerkung:

      Duo hat die Unterstützung für ihre übliche Duo-Aufforderung eingestellt. Weitere Informationen finden Sie in der Duo-Wissensdatenbank. Wenn dieser Authentifikator hinzugefügt wurde, wird er in der Konsole schreibgeschützt angezeigt. Informationen zum Hinzufügen einer Duo-Multi-Faktor-Authentifizierung finden Sie unter Duo.

      Bevor Sie Duo als Authentifikator hinzufügen, sollten Sie eine API-Anwendung zur Authentifizierung erstellen. Weitere Informationen finden Sie in den Informationen von Duo.

      Gehen Sie folgendermaßen vor:
      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Geben Sie im Abschnitt Duo MFA-Konfiguration den API-Hostnamen, den Integrationsschlüssel und den geheimen Schlüssel ein. Diese Informationen finden Sie auf der Registerkarte „Anwendungen“ im Duo-Konto Ihres Unternehmens. Weitere Informationen finden Sie in der Duo-Dokumentation.
    • Duo MFA Universal: Benutzer müssen sich mithilfe einer Duo Multi-Faktor-Authentifizierung authentifizieren.

      Bevor Sie Duo als Authentifikator hinzufügen, müssen Sie eine Web-SDK-Anwendung erstellen. Anweisungen hierzu finden Sie in der Duo Dokumentation.

      Gehen Sie folgendermaßen vor:
      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Geben Sie im Abschnitt DUO Universal MFA Konfiguration den API-Hostnamen, die Client-ID und den Client-Geheimschlüssel ein. Diese Informationen finden Sie auf der Registerkarte „Anwendungen“ im Duo-Konto Ihres Unternehmens. Weitere Informationen finden Sie in der Duo Dokumentation.
    • Enterprise: Benutzer müssen sich mit ihren Anmeldeinformationen für Active Directory, LDAP oder myAccount authentifizieren. Die Anmeldedaten, die ein Benutzer verwendet, hängen von dem Kontotyp ab, der als Ausgangsbasis für sein Benutzerkonto in der Konsole dient.
      Gehen Sie folgendermaßen vor:
      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Klicken Sie auf Speichern.
    • Okta MFA: Benutzer müssen sich über Okta authentifizieren.
      Gehen Sie folgendermaßen vor:
      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Geben Sie im Abschnitt Okta MFA-Konfiguration den API-Schlüssel und die Domäne des Authentifikators ein.
      3. Klicken Sie auf Speichern.
    • Okta > SAML: Benutzer müssen ihre Okta-Anmeldedaten auf der primären Anmeldeseite eingeben und IDP-initiierten Zugriff auf die Endpoint Defense-Konsole aktivieren.
      Anmerkung: Die SSO-Callback-URL wird generiert, wenn Sie den Authentifikator speichern, und hat das Format https://login.eid.blackberry.com/_/resume/saml20/<hash>.

      Sie müssen eine separate Callback-URL zu Ihrer IDP-Umgebung hinzufügen. Weitere Informationen finden Sie unter Aktualisieren Sie die Domain in einer Legacy-SSO-Callback-URL in der IDP-Umgebung.

      Gehen Sie folgendermaßen vor:

      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Aktivieren Sie die Option Validierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem Einmalcode validieren sollen.
      3. Geben Sie im Feld Anmeldeanforderungs-URL die Single-Sign-On-URL für den Identitätsanbieter ein.
      4. Fügen Sie im Feld IDP-Signaturzertifikat den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Zertifikat beginnen“ und „Zertifikat beenden“.

        Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.

      5. Geben Sie im Feld Entitätskennung des SP die „Audience-URI (Entitätskennung des SP)“ ein, die Sie im Okta-Portal notiert haben. Dies ist ein Pflichtfeld. Der Wert im Feld „Entitätskennung des SP“ muss der „Audience-URI (Entitätskennung des SP)“ entsprechen, die Sie in der IDP-Konsole notiert haben.
      6. Fügen Sie im Feld Entitätskennung des IDP den „IdentityProvider-Aussteller“ ein, den Sie in Okta notiert haben.
      7. Wählen Sie im Feld Namenskennungsformat das NameID-Format aus, das Sie im Okta angegeben haben (z. B. urn:oasis:names:tc:SAML:2.0:nameid-format:persistent).
      8. Geben Sie im Feld E-Mail-Anspruch Email ein. Dies muss mit dem „Attribut“-Namen übereinstimmen, den Sie in der Okta-Konsole konfiguriert haben. Die E-Mail-Adresse stellt sicher, dass sich der richtige Benutzer bei der Verwaltungskonsole anmeldet.
      9. Legen Sie weitere optionale Einstellungen fest.
      10. Klicken Sie auf Speichern.
      11. Öffnen Sie den hinzugefügten Authentifikator. Notieren Sie die Single-Sign-On-URL. Diese URL wird zu den folgenden Feldern in der Okta-Konsole > Bildschirm „SAML-Einstellungen“ hinzugefügt.
        • Single-Sign-On-URL
        • Anforderbare SSO-URLs
    • Okta > OIDC: Benutzer müssen sich über Okta authentifizieren.
      Gehen Sie folgendermaßen vor:
      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Geben Sie im Abschnitt Client des Identitätsanbieters die URL des OIDC-Suchdokuments, die Client-ID und den privaten Schlüssel JWKS ein.
      3. Klicken Sie auf Speichern.
    • Einmalkennwort: Benutzer müssen zusätzlich zu einem anderen Authentifizierungstyp ein Einmalkennwort eingeben.
      Anmerkung: Wenn Sie diese Option auswählen, müssen Sie Ihrer Authentifizierungsrichtlinie auch einen anderen Authentifikator hinzufügen und diesen höher als das Einmalkennwort einstufen.
      Gehen Sie folgendermaßen vor:
      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Wählen Sie im Abschnitt Einmalkennwort-Konfiguration in der ersten Liste eine Anzahl von Intervallen in der Liste aus. Jeder Code innerhalb des Fensters ist gültig, wenn er dem erwarteten Code um die von Ihnen angegebene Anzahl von Aktualisierungsintervallen vorangeht oder folgt. Das Aktualisierungsintervall beträgt 30 Sekunden und die Standardeinstellung ist 1.
      3. Geben Sie im Abschnitt Einmalkennwort-Konfiguration in der zweiten Liste an, wie oft Benutzer die Einrichtung der OTP-App überspringen und sich authentifizieren können, ohne einen Code einzugeben.
    • Ping-Identität > OIDC: Benutzer müssen sich über Ping Identity authentifizieren.
      Gehen Sie folgendermaßen vor:
      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Geben Sie im Abschnitt Client des Identitätsanbieters die URL des OIDC-Suchdokuments, die Client-ID und den privaten Schlüssel JWKS ein.
      3. Wählen Sie in der Liste Signaturalgorithmus für ID-Token einen Signaturalgorithmus aus.
      4. Klicken Sie auf Speichern.
    • Ping-Identität  > SAML: Benutzer müssen ihre Ping Identity-Anmeldedaten auf der primären Anmeldeseite eingeben und IDP-initiierten Zugriff auf die Endpoint Defense-Konsole aktivieren.
      Anmerkung: Die SSO-Callback-URL wird generiert, wenn Sie den Authentifikator speichern, und hat das Format https://login.eid.blackberry.com/_/resume/saml20/<hash>.

      Sie müssen eine separate Callback-URL zu Ihrer IDP-Umgebung hinzufügen. Weitere Informationen finden Sie unter Aktualisieren Sie die Domain in einer Legacy-SSO-Callback-URL in der IDP-Umgebung.

      Gehen Sie folgendermaßen vor:

      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Aktivieren Sie die Option Validierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem Einmalcode validieren sollen.
      3. Geben Sie im Feld Anmeldeanforderungs-URL die Single-Sign-On-URL für den Identitätsanbieter ein.
      4. Fügen Sie im Feld IDP-Signaturzertifikat den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Zertifikat beginnen“ und „Zertifikat beenden“.

        Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.

      5. Geben Sie im Feld Entitätskennung des SP die „Entitätskennung“ ein, die Sie in der PingOne-Konsole notiert haben. Dies ist ein Pflichtfeld. Der Wert im Feld „Entitätskennung des SP“ muss dem Wert „Entitätskennung“ entsprechen, den Sie in der IDP-Konsole notiert haben.
      6. Legen Sie weitere optionale Einstellungen fest.
      7. Klicken Sie auf Speichern.
      8. Öffnen Sie den hinzugefügten Authentifikator. Notieren Sie die Single-Sign-On-URL. Diese URL wird in den folgenden Feldern des Konfigurationsbildschirms für die PingOne-Konsole benötigt:
        • Assertion Consumer Service (ACS)
        • Anwendungs-URL
    • IP-Adresse: Erfordert eingeschränkten Zugriff der Benutzer basierend auf deren IP-Adresse. Sie können mehrere Authentifikatoren für IP-Adressen erstellen und diese verwenden, um den Zugriff für verschiedene Gruppen zu verwalten. Sie können jedoch nur einen IP-Adressen-Authentifikator in einer Richtlinie zuweisen.
      ACHTUNG: Authentifikatoren mit IP-Adresse sollten in einer Authentifizierungsrichtlinie zusammen mit anderen Authentifikatoren verwendet werden. Die alleinige Verwendung eines Authentifikators mit IP‑Adresse innerhalb einer Authentifizierungsrichtlinie bietet Ihrer Konsole nicht genügend Schutz.

      Gehen Sie folgendermaßen vor:

      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Geben Sie im Feld IP-Adressbereiche eine oder mehrere IP-Adressen, IP-Bereiche oder CIDRs an. Trennen Sie die Einträge durch ein Komma. Beispielsweise IP-Bereich: 192.168.0.100-192.168.1.255 oder CIDR: 192.168.0.10/24.
      3. Klicken Sie auf Speichern.
    • OneLogin > OIDC: Benutzer müssen sich über OneLogin authentifizieren.
      Gehen Sie folgendermaßen vor:
      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Aktivieren Sie die Option Validierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem Einmalcode validieren sollen.
      3. Geben Sie im Abschnitt OneLogin-Konfiguration die URL des OIDC-Suchdokuments, die Client-ID, den Client-Schlüssel und die Authentifizierungsmethode ein.
      4. Klicken Sie auf Speichern.
    • OneLogin (SAML) – Benutzer müssen ihre OneLogin-Anmeldedaten auf der primären Anmeldeseite eingeben und IdP-initiierten Zugriff auf die Endpoint Defense-Konsole aktivieren.
      Anmerkung: Die SSO-Callback-URL wird generiert, wenn Sie den Authentifikator speichern, und hat das Format https://login.eid.blackberry.com/_/resume/saml20/<hash>.

      Sie müssen eine separate Callback-URL zu Ihrer IDP-Umgebung hinzufügen. Weitere Informationen finden Sie unter Aktualisieren Sie die Domain in einer Legacy-SSO-Callback-URL in der IDP-Umgebung.

      Gehen Sie folgendermaßen vor:

      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Aktivieren Sie die Option Validierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem Einmalcode validieren sollen.
      3. Geben Sie im Feld Anmeldeanforderungs-URL die Single-Sign-On-URL für den Identitätsanbieter ein.
      4. Fügen Sie im Feld IDP-Signaturzertifikat den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Zertifikat beginnen“ und „Zertifikat beenden“.

        Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.

      5. Geben Sie im Feld Entitätskennung des SP die „ID (Entitätskennung)“ ein, die Sie in der OneLogin-Konsole notiert haben. Dies ist ein Pflichtfeld. Der Wert im Feld „Entitätskennung des SP“ muss der „ID (Entitätskennung)“ entsprechen, die Sie in der IDP-Konsole notiert haben.
      6. Legen Sie weitere optionale Einstellungen fest.
      7. Klicken Sie auf Speichern.
      8. Öffnen Sie den hinzugefügten Authentifikator. Notieren Sie die Single-Sign-On-URL. Diese URL wird den folgenden Feldern in der OneLogin-Konsole hinzugefügt:
        • ACS (Verbraucher) URL-Validator*
        • ACS (Verbraucher) URL*
        • Single-Logout-URL
    • FIDO: Benutzer müssen ein FIDO2-Gerät registrieren und es verwenden, um ihre Identität zu verifizieren. Zu den unterstützten Gerätetypen gehören Smartphones, USB-Sicherheitsschlüssel oder Windows Hello.

      Gehen Sie folgendermaßen vor:

      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Klicken Sie auf Speichern.

      Wenn FIDO der erste Authentifizierungsfaktor ist und ein Benutzer ein Gerät zum ersten Mal registriert, wird auch ein Einmalkennwort an die E-Mail-Adresse gesendet, mit der er sich anmelden kann. Wenn FIDO in einer Richtlinie als zweiter Faktor verwendet wird, ist ein Einmalkennwort nicht erforderlich, wenn ein Benutzer zum ersten Mal ein Gerät registriert.

      Informationen zum Entfernen registrierter Geräte aus einem Benutzerkonto finden Sie unter Entfernen eines registrierten FIDO-Geräts für ein Benutzerkonto in der Dokumentation für Administratoren.

    • Integriertes Verzeichnis (Active Directory/Entra ID/LDAP): Benutzer müssen ihr Active Directory-Kennwort eingeben. Wenn Sie diese Option auswählen, muss der Aurora Endpoint Security-Mandant über eine Verbindung zur Unternehmensverzeichnis-Instanz verfügen.
      Gehen Sie folgendermaßen vor:
      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Klicken Sie auf Speichern.
    • Lokales Konto: Benutzer müssen ihre Anmeldeinformationen für BlackBerry Online Account (myAccount) eingeben.
      Gehen Sie folgendermaßen vor:
      1. Geben Sie einen Namen für den Authentifikator ein.
      2. Klicken Sie auf Speichern.
  4. Klicken Sie auf Speichern.
Hinzufügen einer Benutzerrichtlinie für Authentifizierung und Konfigurieren der Standard-Authentifizierungsrichtlinien für Ihren Mandanten.