Skip Navigation

Hinzufügen eines Authentifikators

Sie fügen Authentifikatoren hinzu, damit Sie sie zu Authentifizierungsrichtlinien hinzufügen können. In der Regel wird mit dem Authentifikator eine Authentifizierungsmethode wie ein Kennwort (z. B. ein Kennwort für die
Cylance
-Konsole) oder eine Authentifizierung für Verbindungen zu Drittanbietern wie
Active Directory
,
Okta
oder
Ping Identity
konfiguriert. Sie fügen sie den Authentifizierungsrichtlinien hinzu, um die Authentifizierungstypen anzugeben, die Administratoren durchlaufen müssen, um sich bei der
Cylance
-Konsole anzumelden, und die Benutzer durchlaufen müssen, um
Cylance Endpoint Security
-Apps oder -Agenten zu aktivieren (z. B. die
CylancePROTECT Mobile
-App oder
CylanceGATEWAY
). Sie können mehrere Authentifikatoren in einer Authentifizierungsrichtlinie kombinieren, um mehrere Authentifizierungsschritte bereitzustellen. Sie können beispielsweise einen Unternehmensauthentifikator mit einer Eingabeaufforderung für ein Einmalkennwort in einer Richtlinie kombinieren, damit sich Benutzer sowohl mit ihren geschäftlichen Anmeldedaten als auch mit ihrem Kennwort für die
Cylance
-Konsole und einem Einmalkennwort authentifizieren müssen.
  1. Klicken Sie in der Menüleiste auf
    Einstellungen > Authentifizierung
    .
  2. Klicken Sie auf
    Authentifikator hinzufügen
    .
  3. Wählen Sie in der Dropdown-Liste
    Authentifikatortyp
    einen der folgenden Authentifikatoren aus:
    Element
    Beschreibung
    Entra
    (SAML)
    Wählen Sie diese Option aus, wenn Benutzer ihre
    Entra
    -Anmeldedaten auf der primären Anmeldeseite eingeben und IDP-initiierten Zugriff auf die
    Cylance
    -Konsole aktivieren möchten.
    Eine Anleitung zu den Schritten zur Konfiguration Ihres
    Entra
    (SAML) finden Sie unter:
    Die SSO-Callback-URL wird generiert, wenn Sie den Authentifikator speichern, und hat das Format https://login.eid.blackberry.com/_/resume/saml20/<
    hash
    >.
    Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Aktivieren Sie die Option
      Validierung erforderlich
      , wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen. Der Code wird an die E-Mail-Adresse gesendet, die mit dem Benutzer in Ihrem Mandanten verknüpft ist.
    3. Geben Sie im Feld
      Anmeldeanforderungs-URL
      die Anmelde-URL ein, die in den Einstellungen für die einmalige Anmeldung bei der App-Registrierung für Ihren Identitätsanbieter angegeben ist. Gehen Sie beispielsweise im
      Entra
      -Portal zu „Unternehmensanwendung“ > <
      Name of the newly created application
      > > „Einrichten von
      application name
      “ > Anmelde-URL.
    4. Fügen Sie im Feld
      IDP-Signaturzertifikat
      den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Zertifikat beginnen“ und „Zertifikat beenden“.
      Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
    5. Geben Sie im Feld
      Entitätskennung des SP
      die
      ID (Entitätskennung)
      ein, die Sie in der SAML-Konfiguration im
      Entra
      -Portal notiert haben. Dies ist ein Pflichtfeld. Der Wert im Feld „Entitätskennung des SP“ muss der „ID (Entitätskennung)“ entsprechen, die Sie in der IDP-Konsole notiert haben.
    6. Aktivieren Sie
      Erweiterte Einstellungen anzeigen
      , und fügen Sie im Feld
      E-Mail-Anspruch
      den Wert aus dem „Anspruchsnamen“ ein, den Sie im
      Entra
      -Portal notiert haben (z. B. http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress).
    7. Legen Sie weitere optionale Einstellungen fest.
    8. Klicken Sie auf
      Speichern
      .
    9. Öffnen Sie den hinzugefügten Authentifikator. Notieren Sie die
      SSO-Callback-URL
      . Diese URL ist im
      Entra
      -Portal > „SAML-Basiskonfiguration“ > „Antwort-URL“ (Assertion Consumer-URL)“ erforderlich.
    Benutzerdefiniert (SAML)
    Wählen Sie diese Option aus, wenn Benutzer kundenspezifische Anmeldedaten auf der primären Anmeldeseite eingeben und IDP-initiierten Zugriff auf die
    Cylance
    -Konsole aktivieren möchten.
    Eine Anleitung zu den Schritten zur Konfiguration Ihrer kundenspezifischen (SAML) finden Sie unter:
    Die SSO-Callback-URL wird generiert, wenn Sie den Authentifikator speichern, und hat das Format https://login.eid.blackberry.com/_/resume/saml20/<
    hash
    >.
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Aktivieren Sie die Option
      Validierung erforderlich
      , wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
    3. Geben Sie im Feld
      Anmeldeanforderungs-URL
      die Single Sign-On-URL für den Identitätsanbieter ein.
    4. Fügen Sie im Feld
      IDP-Signaturzertifikat
      den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Zertifikat beginnen“ und „Zertifikat beenden“.
      Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
    5. Geben Sie im Feld
      Entitätskennung des SP
      die „Audience-URI (Entitätskennung des SP)“ ein, die Sie im kundenspezifischen IDP-Portal notiert haben. Dies ist ein Pflichtfeld. Der Wert im Feld „Entitätskennung des SP“ muss der „Audience-URI (Entitätskennung des SP)“ entsprechen, die Sie in der IDP-Konsole notiert haben.
    6. Geben Sie im Feld
      Namenskennungsformat
      das Format der Namenskennung an, das vom IDP angefordert werden soll (z. B. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress).
    7. Geben Sie im Feld
      E-Mail-Anspruch
      den Wert
      NameID
      ein. Dieser Wert muss mit dem „NameID-Format“ übereinstimmen, das Sie in der IDP-Konsole angegeben haben. Die E-Mail-Adresse stellt sicher, dass sich der richtige Benutzer bei der Verwaltungskonsole anmeldet.
    8. Legen Sie weitere optionale Einstellungen fest.
    9. Klicken Sie auf
      Speichern
      .
    10. Öffnen Sie den hinzugefügten Authentifikator. Notieren Sie die
      Single-Sign-On-URL
      . Diese URL wird zum kundenspezifischen IDP hinzugefügt.
    Cylance-Administratorkennwort
    Wählen Sie diese Option, wenn Benutzer ihre
    Cylance
    -Konsolenanmeldedaten eingeben sollen. Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Klicken Sie auf
      Speichern
      .
    Direkte Authentifizierung
    Wählen Sie diese Option aus, wenn Sie eine Authentifizierungsrichtlinie verwenden möchten, um zu verhindern, dass Benutzer oder Gruppen von Benutzern auf die
    Cylance
    -Konsole oder einen anderen Dienst zugreifen. Sie können eine weitere Richtlinie oder eine App-Ausnahme hinzufügen, um den Zugriff auf eine Untergruppe von Benutzern zu ermöglichen.
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Klicken Sie auf
      Speichern
      .
    Duo
    MFA
    Wählen Sie diese Option aus, wenn Benutzer sich mithilfe der
    Duo
    ­Multi-Faktor-Authentifizierung authentifizieren sollen.
    Bevor Sie
    Duo
    als Authentifikator hinzufügen, sollten Sie eine API-Anwendung zur Authentifizierung erstellen. Weitere Informationen finden Sie in den Informationen von
    Duo
    .
    Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Geben Sie im Abschnitt
      Duo MFA-Konfiguration
      den API-Hostnamen, den Integrationsschlüssel und den geheimen Schlüssel ein. Diese Informationen finden Sie auf der Registerkarte „Anwendungen“ im
      Duo
      -Konto Ihres Unternehmens. Weitere Informationen finden Sie in der Duo-Dokumentation.
    Enterprise
    Wählen Sie diese Option aus, wenn Benutzer sich mit ihren Anmeldeinformationen für
    Active Directory
    , LDAP oder
    my
    Account
    authentifizieren sollen. Die Anmeldedaten, die ein Benutzer verwendet, hängen von dem Kontotyp ab, der als Ausgangsbasis für sein Benutzerkonto in der Konsole dient. Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Klicken Sie auf
      Speichern
      .
    FIDO
    Wählen Sie diese Option aus, wenn Benutzer ein
    FIDO2
    -Gerät registrieren und verwenden sollen, um ihre Identität zu verifizieren. Zu den unterstützten Gerätetypen gehören Smartphones, USB-Sicherheitsschlüssel oder
    Windows Hello
    .
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Klicken Sie auf
      Speichern
      .
    Wenn
    FIDO
    der erste Authentifizierungsfaktor ist und ein Benutzer ein Gerät zum ersten Mal registriert, wird auch ein einmaliges Kennwort an die E-Mail-Adresse gesendet, mit der er sich anmeldet. Wenn
    FIDO
    als zweiter Faktor in einer Richtlinie verwendet wird und ein Benutzer ein Gerät zum ersten Mal registriert, ist kein einmaliges Kennwort erforderlich.
    Informationen zum Entfernen registrierter Geräte aus einem Benutzerkonto finden Sie unter Entfernen eines registrierten
    FIDO
    -Geräts für ein Benutzerkonto
    in der Dokumentation für Administratoren.
    Integriertes Verzeichnis (
    Active Directory
    /
    Entra ID
    /LDAP)
    Wählen Sie diese Option aus, wenn Benutzer ihr
    Active Directory
    -Kennwort eingeben sollen. Wenn Sie diese Option auswählen, muss der
    Cylance Endpoint Security
    -Mandant über eine Verbindung zur Unternehmensverzeichnis-Instanz verfügen. Weitere Informationen finden Sie unter Verknüpfung mit Ihrem Unternehmensverzeichnis. Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Klicken Sie auf
      Speichern
      .
    IP-Adresse
    Wählen Sie diese Option aus, wenn Sie den Zugriff der Benutzer basierend auf ihrer IP-Adresse einschränken möchten. Sie können mehrere Authentifikatoren für IP-Adressen erstellen und diese verwenden, um den Zugriff für verschiedene Gruppen zu verwalten. Sie können jedoch nur einen IP-Adressen-Authentifikator in einer Richtlinie zuweisen.
    Eine Anleitung zum Hinzufügen oder Entfernen von IP-Adressbeschränkungen für die Konsole finden Sie unter Hinzufügen eines Authentifikators für die IP-Adressbeschränkung in der Cylance-Konsole.
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Geben Sie im Feld
      IP-Adressbereiche
      eine oder mehrere IP-Adressen, IP-Bereiche oder CIDRs an. Trennen Sie die Einträge durch ein Komma. Beispiel: IP-Bereich 192.168.0.100-192.168.1.255 oder CIDR: 192.168.0.10/24.
    3. Klicken Sie auf
      Speichern
      .
    Lokales Konto
    Wählen Sie diese Option, wenn Benutzer ihre Anmeldedaten für
    BlackBerry Online Account
    (
    my
    Account
    ) eingeben sollen. Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Klicken Sie auf
      Speichern
      .
    Okta
    MFA
    Wählen Sie diese Option aus, wenn Benutzer sich mithilfe von
    Okta
    authentifizieren sollen. Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Geben Sie im Abschnitt
      Okta MFA-Konfiguration
      den API-Schlüssel und die Domäne des Authentifikators ein.
    3. Klicken Sie auf
      Speichern
      .
    Okta
    (OIDC)
    Wählen Sie diese Option aus, wenn Benutzer sich mithilfe von
    Okta
    authentifizieren sollen. Gehen Sie wie folgt vor:
    1. Wählen Sie in der Dropdown-Liste unter
      Okta
      die Option
      OIDC
      aus.
    2. Geben Sie einen Namen für den Authentifikator ein.
    3. Geben Sie im Abschnitt
      Client des Identitätsanbieters
      die URL des OIDC-Suchdokuments, die Client-ID und den privaten Schlüssel JWKS ein.
    4. Klicken Sie auf
      Speichern
      .
    Okta
    (SAML)
    Wählen Sie diese Option aus, wenn Benutzer ihre
    Okta
    -Anmeldedaten auf der primären Anmeldeseite eingeben und IDP-initiierten Zugriff auf die
    Cylance
    -Konsole aktivieren möchten.
    Eine Anleitung zu den Schritten zur Konfiguration Ihres
    Okta
    (SAML) finden Sie unter:
    Die SSO-Callback-URL wird generiert, wenn Sie den Authentifikator speichern, und hat das Format https://login.eid.blackberry.com/_/resume/saml20/<
    hash
    >.
    1. Wählen Sie in der Dropdown-Liste unter
      Okta
      die Option
      SAML
      aus.
    2. Geben Sie einen Namen für den Authentifikator ein.
    3. Aktivieren Sie die Option
      Validierung erforderlich
      , wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
    4. Geben Sie im Feld
      Anmeldeanforderungs-URL
      die Single Sign-On-URL für den Identitätsanbieter ein.
    5. Fügen Sie im Feld
      IDP-Signaturzertifikat
      den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Zertifikat beginnen“ und „Zertifikat beenden“.
      Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
    6. Geben Sie im Feld
      Entitätskennung des SP
      die „Audience-URI (Entitätskennung des SP)“ ein, die Sie im
      Okta
      -Portal notiert haben. Dies ist ein Pflichtfeld. Der Wert im Feld „Entitätskennung des SP“ muss der „Audience-URI (Entitätskennung des SP)“ entsprechen, die Sie in der IDP-Konsole notiert haben.
    7. Fügen Sie im Feld
      Entitätskennung des IDP
      den „IdentityProvider-Aussteller“ ein, den Sie in
      Okta
      notiert haben.
    8. Wählen Sie im Feld
      Namenskennungsformat
      das NameID-Format aus, das Sie im
      Okta
      angegeben haben (z. B. urn:oasis:names:tc:SAML:2.0:nameid-format:persistent).
    9. Geben Sie im Feld
      E-Mail-Anspruch
      den Wert
      Email
      ein. Er muss mit dem „Attribut“-Namen übereinstimmen, den Sie in der Okta-Konsole konfiguriert haben. Die E-Mail-Adresse stellt sicher, dass sich der richtige Benutzer bei der Verwaltungskonsole anmeldet.
    10. Legen Sie weitere optionale Einstellungen fest.
    11. Klicken Sie auf
      Speichern
      .
    12. Öffnen Sie den hinzugefügten Authentifikator. Notieren Sie die Single-Sign-On-URL. Diese URL wird zu den folgenden Feldern in der
      Okta
      -Konsole > Bildschirm „SAML-Einstellungen“ hinzugefügt.
      • Single-Sign-On-URL
      • Anforderbare SSO-URLs
    OneLogin
    (OIDC)
    Wählen Sie diese Option aus, wenn Benutzer sich mithilfe von
    OneLogin
    authentifizieren sollen. Gehen Sie wie folgt vor:
    1. Wählen Sie in der Dropdown-Liste unter
      OneLogin
      die Option
      OIDC
      aus.
    2. Geben Sie einen Namen für den Authentifikator ein.
    3. Aktivieren Sie die Option
      Validierung erforderlich
      , wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
    4. Geben Sie im Abschnitt
      OneLogin-Konfiguration
      die URL des OIDC-Suchdokuments, die Client-ID, den Client-Schlüssel und die Authentifizierungsmethode ein.
    5. Klicken Sie auf
      Speichern
      .
    OneLogin
    (SAML)
    Wählen Sie diese Option aus, wenn Benutzer ihre
    OneLogin
    -Anmeldedaten auf der primären Anmeldeseite eingeben und IDP-initiierten Zugriff auf die
    Cylance
    -Konsole aktivieren möchten.
    Eine Anleitung zu den Schritten zur Konfiguration Ihres
    OneLogin
    (SAML) finden Sie unter:
    Die SSO-Callback-URL wird generiert, wenn Sie den Authentifikator speichern, und hat das Format https://login.eid.blackberry.com/_/resume/saml20/<
    hash
    >.
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Aktivieren Sie die Option
      Validierung erforderlich
      , wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
    3. Geben Sie im Feld
      Anmeldeanforderungs-URL
      die Single Sign-On-URL für den Identitätsanbieter ein.
    4. Fügen Sie im Feld
      IDP-Signaturzertifikat
      den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Zertifikat beginnen“ und „Zertifikat beenden“.
      Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
    5. Geben Sie im Feld
      Entitätskennung des SP
      die „ID (Entitätskennung)“ ein, die Sie in der OneLogin-Konsole notiert haben. Dies ist ein Pflichtfeld. Der Wert im Feld „Entitätskennung des SP“ muss der „ID (Entitätskennung)“ entsprechen, die Sie in der IDP-Konsole notiert haben.
    6. Legen Sie weitere optionale Einstellungen fest.
    7. Klicken Sie auf
      Speichern
      .
    8. Öffnen Sie den hinzugefügten Authentifikator. Notieren Sie die Single-Sign-On-URL. Diese URL wird den folgenden Feldern in der OneLogin-Konsole hinzugefügt:
      • ACS (Verbraucher) URL-Validator*
      • ACS (Verbraucher) URL*
      • Single-Logout-URL
    Einmalkennwort
    Wählen Sie diese Option aus, wenn Benutzer zusätzlich zu einem anderen Authentifizierungstyp ein einmaliges Kennwort eingeben sollen.
    Wenn Sie diese Option auswählen, müssen Sie Ihrer Authentifizierungsrichtlinie auch einen anderen Authentifikator hinzufügen und diesen höher als das Einmalkennwort einstufen.
    Eine Anleitung zum Hinzufügen und Entfernen einer Authentifizierung per Einmalkennwort für Administratoren finden Sie unter:
    Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Wählen Sie im Abschnitt
      Einmalkennwort-Konfiguration
      in der ersten Dropdown-Liste eine Anzahl von Intervallen in der Dropdown-Liste aus. Jeder Code innerhalb des Fensters ist gültig, wenn er dem erwarteten Code um die von Ihnen angegebene Anzahl von Aktualisierungsintervallen vorangeht oder folgt. Das Aktualisierungsintervall beträgt 30 Sekunden und die Standardeinstellung ist 1.
    3. Geben Sie im Abschnitt
      Einmalkennwort-Konfiguration
      in der zweiten Dropdown-Liste an, wie oft Benutzer die Einrichtung der OTP-App überspringen und sich authentifizieren können, ohne einen Code einzugeben.
    Ping Identity
    (OIDC)
    Wählen Sie diese Option aus, wenn Benutzer sich mithilfe von
    Ping Identity
    authentifizieren sollen. Führen Sie die folgenden Schritte aus:
    1. Wählen Sie in der Dropdown-Liste unter
      Ping
      die Option
      OIDC
      aus.
    2. Geben Sie einen Namen für den Authentifikator ein.
    3. Geben Sie im Abschnitt
      Client des Identitätsanbieters
      die URL des OIDC-Suchdokuments, die Client-ID und den privaten Schlüssel JWKS ein.
    4. Wählen Sie in der Dropdown-Liste
      Signaturalgorithmus für ID-Token
      einen Signaturalgorithmus aus.
    5. Klicken Sie auf
      Speichern
      .
    Ping Identity
    (SAML)
    Wählen Sie diese Option aus, wenn Benutzer ihre
    Ping Identity
    -Anmeldedaten auf der primären Anmeldeseite eingeben und IDP-initiierten Zugriff auf die
    Cylance
    -Konsole aktivieren möchten.
    Eine Anleitung zu den Schritten zur Konfiguration Ihres
    Ping Identity
    (SAML) finden Sie unter:
    Die SSO-Callback-URL wird generiert, wenn Sie den Authentifikator hinzufügen, und hat das Format https://login.eid.blackberry.com/_/resume/saml20/<
    hash
    >.
    1. Wählen Sie in der Dropdown-Liste unter
      Ping-Identität
      die Option
      SAML
      aus.
    2. Geben Sie einen Namen für den Authentifikator ein.
    3. Aktivieren Sie die Option
      Validierung erforderlich
      , wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
    4. Geben Sie im Feld
      Anmeldeanforderungs-URL
      die Single Sign-On-URL für den Identitätsanbieter ein.
    5. Fügen Sie im Feld
      IDP-Signaturzertifikat
      den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Zertifikat beginnen“ und „Zertifikat beenden“.
      Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
    6. Geben Sie im Feld
      Entitätskennung des SP
      die „ID (Entitätskennung)“ ein, die Sie in der PingOne-Konsole notiert haben. Dies ist ein Pflichtfeld. Der Wert im Feld „Entitätskennung des SP“ muss dem Wert „Entitätskennung“ entsprechen, den Sie in der IDP-Konsole notiert haben.
    7. Legen Sie weitere optionale Einstellungen fest.
    8. Klicken Sie auf
      Speichern
      .
    9. Öffnen Sie den hinzugefügten Authentifikator. Notieren Sie die
      Single-Sign-On
      -URL. Diese URL wird in den folgenden Feldern des Konfigurationsbildschirms für die PingOne-Konsole benötigt:
      • Assertion Consumer Service (ACS)
      • Anwendungs-URL
  4. Klicken Sie auf
    Speichern
    .