Migrer des paramètres d'authentification personnalisés vers la liste des authentificateurs

Vous pouvez migrer vos authentificateurs SAML existants vers la liste des authentificateurs dans Paramètres, afin de les ajouter aux stratégies d'authentification pour les utilisateurs, les groupes ou votre locataire. Lorsque vous migrez les authentificateurs, vous devez mettre à jour l'URL d'authentification unique vers l'URL utilisée par Aurora Endpoint Security. Vous devez également mettre à jour la revendication NameID dans votre configuration IDP externe afin qu'elle renvoie une valeur persistante et immuable au lieu de l'adresse e-mail d'un utilisateur, ou créer une revendication dans le fournisseur d'identité qui peut être utilisé comme revendication d'ID fédéré.

Avant de migrer vos paramètres, en tant que sécurité intégrée, vous devez créer une stratégie d'authentification qui nécessite uniquement le mot de passe de la console Endpoint Defense et l'attribuer à un administrateur.

Remarque : Lorsque vous migrez les paramètres d'authentification personnalisés, dans le fournisseur d'identité externe, vous devez ajouter l'URL de demande de connexion Cylance Endpoint Security suivante : https://idp.blackberry.com/_/resume. Les configurations SAML externes prenant en charge une liste d'URL d'authentification unique ou de réponse de service d'abonné d'assertions, dans les configurations existantes, vous pouvez ajouter la nouvelle URL à la liste en tant qu'option secondaire ou remplacer l'URL d'origine. 

Pour en savoir plus sur les authentificateurs SAML, voir Considérations relatives à l'ajout d'authentificateurs SAML.

Téléchargez un exemplaire du certificat de signature de votre IDP.
  1. Dans la barre de menus de la console de gestion, cliquez sur Paramètres > Application.
  2. Dans la section Authentification personnalisée, effectuez les opérations suivantes :
    1. Copiez les informations suivantes dans un fichier texte :
      • Nom du fournisseur
      • URL de connexion
    2. Cochez la case Autoriser la connexion par mot de passe. Pour plus d'informations, reportez-vous à Configurer l'authentification personnalisée.
  3. Dans la barre de menus, cliquez sur Paramètres > Authentification.
  4. Dans l'onglet Authentificateurs, cliquez sur Ajouter un authentificateur.
  5. Dans la liste Type d'authentificateur, cliquez sur l'authentificateur SAML correspondant au fournisseur que vous avez copié à l'étape 2 (Entra ou Okta, par exemple) ou cliquez sur SAML personnalisé.
  6. Dans la section Informations générales, saisissez le nom de l'authentificateur.
  7. Dans la section Configuration SAML, si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez Validation requise.
  8. Dans le champ URL de demande de connexion, saisissez l'URL d'authentification unique du fournisseur d'identité.
  9. Dans le champ Certificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.
    Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ni le format des informations du certificat.
  10. Effectuez l'une des actions suivantes :

    Tâche

    Étapes

    Mettez à jour les valeurs de revendication NameID et email dans le fournisseur d'identité externe.
    1. Connectez-vous à votre fournisseur d'identité externe.
    2. Mettez à jour l'URL d'authentification unique de Aurora Endpoint Security en https://idp.blackberry.com/_/resume. Vous pouvez ajouter cette URL à l'URL login.<région>.cylance.com existante.
    3. Modifiez la revendication NameID afin qu'elle renvoie une valeur persistante et immuable (objectGUID ou UUID, par exemple) qui peut être utilisée dans la revendication d'ID fédéré au lieu de l'adresse e-mail de l'utilisateur. Pour obtenir des instructions, reportez-vous à la documentation du fournisseur d'identité.
    4. Créez une revendication email qui renverra l'adresse e-mail de l'utilisateur.

    Créez une revendication dans votre fournisseur d'identité externe et ajoutez-la aux paramètres de l'authentificateur.
    1. Connectez-vous à votre fournisseur d'identité externe.
    2. Mettez à jour l'URL d'authentification unique de Aurora Endpoint Security en https://idp.blackberry.com/_/resume. Vous pouvez ajouter cette URL à l'URL login.<région>.cylance.com existante.
    3. Créez une revendication qui renvoie un ID persistant et immuable pour un utilisateur. Pour obtenir des instructions, reportez-vous à la documentation du fournisseur d'identité.
    4. Dans la console de gestion Endpoint Defense, dans le champ Revendication d'e-mail, saisissez nameID. La valeur nameID doit utiliser un « n » minuscule.
    5. Dans le champ Revendication d'ID fédéré, saisissez le nom de la revendication que vous venez de créer dans le fournisseur d'identité externe.
  11. Cliquez sur Enregistrer.
  • Ajouter une stratégie d'utilisateur pour l'authentification.
  • En cas de problème de connexion à l'aide de l'authentificateur SAML dans le cadre d'une stratégie d'authentification, vous pouvez télécharger un exemple de réponse SAML à partir de votre IDP et valider les noms des revendications.