Skip Navigation
  1. BlackBerry Docs
  2. Cylance Endpoint Security
  3. Einrichtung
  4. Cylance Endpoint Security-Einrichtungshandbuch
  5. Hinzufügen von Benutzern und Geräten
  6. Hinzufügen eines Authentifikators

Hinzufügen eines Authentifikators

Sie fügen Authentifikatoren hinzu, damit Sie sie zu Authentifizierungsrichtlinien hinzufügen können. In der Regel wird mit dem Authentifikator eine Authentifizierungsmethode wie ein Kennwort (z. B. ein Kennwort für die
Cylance
-Konsole) oder eine Authentifizierung für Verbindungen zu Drittanbietern wie
Active Directory
,
Okta
 oder
Ping Identity
 konfiguriert. Sie fügen sie den Authentifizierungsrichtlinien hinzu, um die Authentifizierungstypen anzugeben, die Administratoren durchlaufen müssen, um sich bei der
Cylance
-Konsole anzumelden, und die Benutzer durchlaufen müssen, um
Cylance Endpoint Security
-Apps oder -Agenten zu aktivieren (z. B. die
CylancePROTECT Mobile
-App oder
CylanceGATEWAY
). Sie können mehrere Authentifikatoren in einer Authentifizierungsrichtlinie kombinieren, um mehrere Authentifizierungsschritte bereitzustellen. Sie können beispielsweise einen Unternehmensauthentifikator mit einer Eingabeaufforderung für ein Einmalkennwort in einer Richtlinie kombinieren, damit sich Benutzer sowohl mit ihren geschäftlichen Anmeldedaten als auch mit ihrem Kennwort für die
Cylance
-Konsole und einem Einmalkennwort authentifizieren müssen.
Wenn Sie einen SAML-Authentifikator hinzufügen, laden Sie eine Kopie des Signaturzertifikats für Ihren Identitätsanbieter (IDP) herunter.
  1. Klicken Sie in der Menüleiste auf
    Einstellungen > Authentifizierung
    .
  2. Klicken Sie auf
    Authentifikator hinzufügen
    .
  3. Wählen Sie in der Dropdown-Liste
    Authentifikatortyp
     einen der folgenden Authentifikatoren aus:
    Element
    Beschreibung
    Entra
     (SAML)
    Wählen Sie diese Option, wenn Benutzer ihre Anmeldedaten für
    Entra
     eingeben sollen. Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Aktivieren Sie die Option
      Validierung erforderlich
      , wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen. Der Code wird an die E-Mail-Adresse gesendet, die mit dem Benutzer in Ihrem Mandanten verknüpft ist.
    3. Geben Sie im Feld
      Anmeldeanforderungs-URL
       die Anmelde-URL ein, die in den Einstellungen für die einmalige Anmeldung bei der App-Registrierung für Ihren Identitätsanbieter angegeben ist. Gehen Sie beispielsweise im
      Entra
      -Portal zu Unternehmensanwendung > CylancePROTECT-Anwendung > Eigenschaften > Einstellungen für die einmalige Anmeldung > Anmelde-URL.
    4. Fügen Sie im Feld
      IdP-Signaturzertifikat
       den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Begin Certificate“ (Zertifikat beginnen) und „End Certificate“ (Zertifikat beenden).
      Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
    5. Geben Sie im Feld
      Entitätskennung des SP
       die
      ID (Entitätskennung)
       ein, die in der SAML-Konfiguration in
      Entra
       verwendet wird. Dieses Feld ist erforderlich, und der eingegebene Wert muss mit der ID (Entitätskennung) in
      Entra
       übereinstimmen.
    6. Legen Sie weitere optionale Einstellungen fest.
    7. Klicken Sie auf
      Speichern
      .
    Benutzerdefiniert (SAML)
    Wählen Sie diese Option, wenn Benutzer ihre benutzerdefinierten Anmeldedaten eingeben sollen. Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Aktivieren Sie die Option
      Validierung erforderlich
      , wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
    3. Geben Sie im Feld
      Anmeldeanforderungs-URL
       die Single Sign-On-URL für den Identitätsanbieter ein.
    4. Fügen Sie im Feld
      IdP-Signaturzertifikat
       den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Begin Certificate“ (Zertifikat beginnen) und „End Certificate“ (Zertifikat beenden).
      Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
    5. Legen Sie weitere optionale Einstellungen fest.
    6. Klicken Sie auf
      Speichern
      .
    Cylance-Administratorkennwort
    Wählen Sie diese Option, wenn Benutzer ihre
    Cylance
    -Konsolenanmeldedaten eingeben sollen. Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Klicken Sie auf
      Speichern
      .
    Direkte Authentifizierung
    Wählen Sie diese Option aus, wenn Sie eine Authentifizierungsrichtlinie verwenden möchten, um zu verhindern, dass Benutzer oder Gruppen von Benutzern auf die
    Cylance
    -Konsole oder einen anderen Dienst zugreifen. Sie können eine weitere Richtlinie oder eine App-Ausnahme hinzufügen, um den Zugriff auf eine Untergruppe von Benutzern zu ermöglichen.
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Klicken Sie auf
      Speichern
      .
    Duo
     MFA
    Wählen Sie diese Option aus, wenn Benutzer sich mithilfe der
    Duo
    ­Multi-Faktor-Authentifizierung authentifizieren sollen.
    Bevor Sie
    Duo
     als Authentifikator hinzufügen, sollten Sie eine API-Anwendung zur Authentifizierung erstellen. Weitere Informationen finden Sie in den Informationen von
    Duo
    .
    Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Geben Sie im Abschnitt
      Duo MFA-Konfiguration
       den API-Hostnamen, den Integrationsschlüssel und den geheimen Schlüssel ein. Diese Informationen finden Sie auf der Registerkarte „Anwendungen“ im
      Duo
      -Konto Ihres Unternehmens. Weitere Informationen finden Sie in der Duo-Dokumentation.
    Enterprise
    Wählen Sie diese Option aus, wenn Benutzer sich mit ihren Anmeldeinformationen für
    Active Directory
    , LDAP oder
    my
    Account
     authentifizieren sollen. Die Anmeldedaten, die ein Benutzer verwendet, hängen von dem Kontotyp ab, der als Ausgangsbasis für sein Benutzerkonto in der Konsole dient. Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Klicken Sie auf
      Speichern
      .
    FIDO
    Wählen Sie diese Option aus, wenn Benutzer ein
    FIDO2
     -Gerät registrieren und verwenden sollen, um ihre Identität zu verifizieren. Zu den unterstützten Gerätetypen gehören Smartphones, USB-Sicherheitsschlüssel oder
    Windows Hello
    .
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Klicken Sie auf
      Speichern
      .
    Wenn
    FIDO
     der erste Authentifizierungsfaktor ist und ein Benutzer ein Gerät zum ersten Mal registriert, wird auch ein einmaliges Kennwort an die E-Mail-Adresse gesendet, mit der er sich anmeldet. Wenn
    FIDO
     als zweiter Faktor in einer Richtlinie verwendet wird und ein Benutzer ein Gerät zum ersten Mal registriert, ist kein einmaliges Kennwort erforderlich.
    Informationen zum Entfernen registrierter Geräte aus einem Benutzerkonto finden Sie unter Entfernen eines registrierten
    FIDO
    -Geräts für ein Benutzerkonto     in der Dokumentation für Administratoren.
    Integriertes Verzeichnis (
    Active Directory
    /
    Entra ID
    /LDAP)
    Wählen Sie diese Option aus, wenn Benutzer ihr
    Active Directory
    -Kennwort eingeben sollen. Wenn Sie diese Option auswählen, muss der
    Cylance Endpoint Security
    -Mandant über eine Verbindung zur Unternehmensverzeichnis-Instanz verfügen. Weitere Informationen finden Sie unter Verknüpfung mit Ihrem Unternehmensverzeichnis. Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Klicken Sie auf
      Speichern
      .
    IP-Adresse
    Wählen Sie diese Option aus, wenn Sie den Zugriff der Benutzer basierend auf ihrer IP-Adresse einschränken möchten. Sie können mehrere Authentifikatoren für IP-Adressen erstellen und diese verwenden, um den Zugriff für verschiedene Gruppen zu verwalten. Sie können jedoch nur einen IP-Adressen-Authentifikator in einer Richtlinie zuweisen.
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Geben Sie im Feld
      IP-Adressbereiche
       eine oder mehrere IP-Adressen, IP-Bereiche oder CIDRs an. Trennen Sie die Einträge durch ein Komma.
    3. Klicken Sie auf
      Speichern
      .
    Lokales Konto
    Wählen Sie diese Option, wenn Benutzer ihre Anmeldedaten für
    BlackBerry Online Account
     (
    my
    Account
    ) eingeben sollen. Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Klicken Sie auf
      Speichern
      .
    Okta
     MFA
    Wählen Sie diese Option aus, wenn Benutzer sich mithilfe von
    Okta
     authentifizieren sollen. Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Geben Sie im Abschnitt
      Okta MFA-Konfiguration
       den API-Schlüssel und die Domäne des Authentifikators ein.
    3. Klicken Sie auf
      Speichern
      .
    Okta
     (OIDC)
    Wählen Sie diese Option aus, wenn Benutzer sich mithilfe von
    Okta
     authentifizieren sollen. Gehen Sie wie folgt vor:
    1. Wählen Sie in der Dropdown-Liste unter
      Okta
       die Option
      OIDC
       aus.
    2. Geben Sie einen Namen für den Authentifikator ein.
    3. Geben Sie im Abschnitt
      Client des Identitätsanbieters
       die URL des OIDC-Suchdokuments, die Client-ID und den privaten Schlüssel JWKS ein.
    4. Klicken Sie auf
      Speichern
      .
    Okta
     (SAML)
    Wählen Sie diese Option, wenn Benutzer ihre Anmeldedaten für
    Okta
     eingeben sollen. Gehen Sie wie folgt vor:
    1. Wählen Sie in der Dropdown-Liste unter
      Okta
       die Option
      SAML
       aus.
    2. Geben Sie einen Namen für den Authentifikator ein.
    3. Aktivieren Sie die Option
      Validierung erforderlich
      , wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
    4. Geben Sie im Feld
      Anmeldeanforderungs-URL
       die Single Sign-On-URL für den Identitätsanbieter ein.
    5. Fügen Sie im Feld
      IdP-Signaturzertifikat
       den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Begin Certificate“ (Zertifikat beginnen) und „End Certificate“ (Zertifikat beenden).
      Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
    6. Legen Sie weitere optionale Einstellungen fest.
    7. Klicken Sie auf
      Speichern
      .
    OneLogin
     (OIDC)
    Wählen Sie diese Option aus, wenn Benutzer sich mithilfe von
    OneLogin
     authentifizieren sollen. Gehen Sie wie folgt vor:
    1. Wählen Sie in der Dropdown-Liste unter
      OneLogin
       die Option
      OIDC
       aus.
    2. Geben Sie einen Namen für den Authentifikator ein.
    3. Aktivieren Sie die Option
      Validierung erforderlich
      , wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
    4. Geben Sie im Abschnitt
      OneLogin-Konfiguration
       die URL des OIDC-Suchdokuments, die Client-ID, den Client-Schlüssel und die Authentifizierungsmethode ein.
    5. Klicken Sie auf
      Speichern
      .
    OneLogin
     (SAML)
    Wählen Sie diese Option, wenn Benutzer ihre Anmeldedaten für
    OneLogin
     eingeben sollen. Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Aktivieren Sie die Option
      Validierung erforderlich
      , wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
    3. Geben Sie im Feld
      Anmeldeanforderungs-URL
       die Single Sign-On-URL für den Identitätsanbieter ein.
    4. Fügen Sie im Feld
      IdP-Signaturzertifikat
       den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Begin Certificate“ (Zertifikat beginnen) und „End Certificate“ (Zertifikat beenden).
      Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
    5. Legen Sie weitere optionale Einstellungen fest.
    6. Klicken Sie auf
      Speichern
      .
    Einmalkennwort
    Wählen Sie diese Option aus, wenn Benutzer zusätzlich zu einem anderen Authentifizierungstyp ein einmaliges Kennwort eingeben sollen.
    Wenn Sie diese Option auswählen, müssen Sie Ihrer Authentifizierungsrichtlinie auch einen anderen Authentifikator hinzufügen und diesen höher als das Einmalkennwort einstufen.
    Gehen Sie wie folgt vor:
    1. Geben Sie einen Namen für den Authentifikator ein.
    2. Wählen Sie im Abschnitt
      Einmalkennwort-Konfiguration
       in der ersten Dropdown-Liste eine Anzahl von Intervallen in der Dropdown-Liste aus. Jeder Code innerhalb des Fensters ist gültig, wenn er dem erwarteten Code um die von Ihnen angegebene Anzahl von Aktualisierungsintervallen vorangeht oder folgt. Das Aktualisierungsintervall beträgt 30 Sekunden und die Standardeinstellung ist 1.
    3. Geben Sie im Abschnitt
      Einmalkennwort-Konfiguration
       in der zweiten Dropdown-Liste an, wie oft Benutzer die Einrichtung der OTP-App überspringen und sich authentifizieren können, ohne einen Code einzugeben.
    Ping Identity
     (OIDC)
    Wählen Sie diese Option aus, wenn Benutzer sich mithilfe von
    Ping Identity
     authentifizieren sollen. Führen Sie die folgenden Schritte aus:
    1. Wählen Sie in der Dropdown-Liste unter
      Ping
       die Option
      OIDC
       aus.
    2. Geben Sie einen Namen für den Authentifikator ein.
    3. Geben Sie im Abschnitt
      Client des Identitätsanbieters
       die URL des OIDC-Suchdokuments, die Client-ID und den privaten Schlüssel JWKS ein.
    4. Wählen Sie in der Dropdown-Liste
      Signaturalgorithmus für ID-Token
       einen Signaturalgorithmus aus.
    5. Klicken Sie auf
      Speichern
      .
    Ping Identity
     (SAML)
    Wählen Sie diese Option, wenn Benutzer ihre Anmeldedaten für
    Ping Identity
     eingeben sollen. Gehen Sie wie folgt vor:
    1. Wählen Sie in der Dropdown-Liste unter
      Ping
       die Option
      SAML
       aus.
    2. Geben Sie einen Namen für den Authentifikator ein.
    3. Aktivieren Sie die Option
      Validierung erforderlich
      , wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
    4. Geben Sie im Feld
      Anmeldeanforderungs-URL
       die Single Sign-On-URL für den Identitätsanbieter ein.
    5. Fügen Sie im Feld
      IdP-Signaturzertifikat
       den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Begin Certificate“ (Zertifikat beginnen) und „End Certificate“ (Zertifikat beenden).
      Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
    6. Legen Sie weitere optionale Einstellungen fest.
    7. Klicken Sie auf
      Speichern
      .
  4. Klicken Sie auf
    Speichern
    .