Überlegungen zum Hinzufügen von SAML-Authentifikatoren

Anmerkung: Wenn Sie einen externen Identitätsanbieter konfigurieren, müssen Sie die URL für die Cylance Endpoint Security-Anmeldeanforderung hinzufügen. Die URL muss das Format https://login.eid.blackberry.com/_/resume/saml20/<hash> haben. Da externe SAML-Konfigurationen eine Liste von Single Sign-On- oder Assertion Consumer Service-Antwort-URLs unterstützen, können Sie in vorhandenen Konfigurationen die neue oder neu generierte URL als sekundäre Option zur Liste hinzufügen oder das Original ersetzen. Wenn Sie Ihren Authentifikator vor Dezember 2023 erstellt haben und Benutzer über Single Sign-On auf die Cylance-Konsole zugreifen können sollen, müssen Sie eine aktualisierte URL für die Anmeldeanforderung generieren. Weitere Informationen zur Aktualisierung Ihres Authentifikators finden Sie unter Konfigurieren der Authentifizierung für die Anmeldung.
Wenn Sie einen SAML-Authentifikator hinzufügen, sind die Werte für die Anmeldeanforderungs-URL und das IdP-Signaturzertifikat erforderlich. Beachten Sie bei diesen optionalen Feldern die folgenden Informationen:
  • Namenskennungsformat: Verwenden Sie dieses Feld, um ein optionales Namenskennungsformat anzugeben, das vom Identitätsanbieter angefordert werden soll.
  • Anspruch auf Verbund-ID: Verwenden Sie dieses Feld, um einen optionalen Anspruchswert anzugeben, der als Ihre Verbund-ID verwendet wird, um Konten systemübergreifend zu verknüpfen. Der Standardwert ist NameID.

    Wenn Ihr IDP so eingerichtet ist, dass bei einem anderen Anspruch als NameID die E-Mail-Adresse zurückgegeben wird, müssen Sie den Anspruch in diesem Feld angeben. Sie sollten einen eindeutigen, unveränderlichen und persistenten Wert in diesem Anspruch verwenden. Zum Beispiel eine objectGUID oder UUID. Es wird nicht empfohlen, einen Wert zu verwenden, der nicht eindeutig ist oder sich ändern kann, z. B. eine E-Mail-Adresse. Wenn sich Benutzer anmelden, verwendet Aurora Endpoint Security den Wert in „Anspruch auf Verbund-ID“, um eine eindeutige ID zu erstellen, mit der der Benutzer seine Identitäten in beiden Systemen zuordnen kann.

    Nachdem Sie den Wert angegeben haben, der für „Anspruch auf Verbund-ID“ verwendet werden soll, kann er nicht geändert werden, da der Benutzer im externen Identitätsanbieter und Aurora Endpoint Security nach der erstmaligen Anmeldung darüber verknüpft wird.

  • Active Directory-Anspruch: Verwenden Sie dieses Feld, um einen optionalen Anspruchswert anzugeben, der für den systemübergreifenden Abgleich von Active Directory‑objectGUIDs zur Benutzerüberprüfung verwendet wird.
  • E-Mail-Anspruch: Verwenden Sie dieses Feld, um einen optionalen Anspruchswert anzugeben, der für den systemübergreifenden Abgleich von E-Mail-Adressen verwendet wird. Der Standardwert ist E-Mail.

    Aurora Endpoint Security erfordert, dass alle SAML-Antworten die vollständige E-Mail-Adresse des Benutzers enthalten müssen. Diese muss mit der E-Mail-Adresse übereinstimmen, die bei Aurora Endpoint Security registriert ist. Wenn Ihr IDP so eingerichtet ist, dass bei einem anderen Anspruch als E-Mail die E-Mail-Adresse zurückgegeben wird, müssen Sie den Anspruch in diesem Feld angeben. Wenn der bei Ihrem IDP konfigurierte Anspruch beispielsweise emailAddress heißt, müssen Sie im Feld E-Mail-Anspruch emailAddress festlegen. Wenn diese Ansprüche nicht übereinstimmen, können sich die Benutzer nicht anmelden.

  • Entitätskennung des SP: Verwenden Sie dieses Feld, um eine optionale Entitätskennung des Dienstanbieters (Service Provider, SP) anzugeben, die an den Identitätsanbieter gesendet werden soll (auch als Ausstellerzeichenfolge bezeichnet).

    Für Entra SAML-Authentifikatoren ist dieses Feld erforderlich, und der eingegebene Wert muss mit der ID (Entitätskennung) in der SAML-Konfiguration in Entra übereinstimmen.

  • Entitätskennung des IDP: Verwenden Sie dieses Feld, um eine optionale Entitätskennung des Identitätsanbieters anzugeben (auch als IDP-Aussteller bezeichnet). Wenn angegeben, wird der IDP-Aussteller bei allen Antworten validiert.
  • Zugelassene Taktabweichung: In diesem Feld können Sie die zulässige Taktabweichung zwischen Client und Server in Millisekunden angeben.
  • Signaturalgorithmus: In diesem Feld können Sie den Signaturalgorithmus für Signaturanfragen angeben.
  • Privater Signaturschlüssel: In diesem Feld können Sie optional einen privaten Schlüssel im PEM-Format angeben, der zum Signieren aller ausgehenden Anforderungen verwendet wird.