Hinzufügen eines Authentifikators
Sie fügen Authentifikatoren hinzu, damit Sie sie zu Authentifizierungsrichtlinien hinzufügen können. In der Regel wird mit dem Authentifikator eine Authentifizierungsmethode wie ein Kennwort (z. B. ein Kennwort für die
Cylance
-Konsole) oder eine Authentifizierung für Verbindungen zu Drittanbietern wie Active
Directory
, Okta
oder Ping Identity
konfiguriert. Sie fügen sie den Authentifizierungsrichtlinien hinzu, um die Authentifizierungstypen anzugeben, die Administratoren durchlaufen müssen, um sich bei der Cylance
-Konsole anzumelden, und die Benutzer durchlaufen müssen, um Cylance Endpoint Security
-Apps oder -Agenten zu aktivieren (z. B. die CylancePROTECT Mobile
-App oder CylanceGATEWAY
). Sie können mehrere Authentifikatoren in einer Authentifizierungsrichtlinie kombinieren, um mehrere Authentifizierungsschritte bereitzustellen. Sie können beispielsweise einen Unternehmensauthentifikator mit einer Eingabeaufforderung für ein Einmalkennwort in einer Richtlinie kombinieren, damit sich Benutzer sowohl mit ihren geschäftlichen Anmeldedaten als auch mit ihrem Kennwort für die Cylance
-Konsole und einem Einmalkennwort authentifizieren müssen.Wenn Sie einen SAML-Authentifikator hinzufügen, laden Sie eine Kopie des Signaturzertifikats für Ihren Identitätsanbieter (IDP) herunter.
- Klicken Sie in der Menüleiste aufEinstellungen > Authentifizierung.
- Klicken Sie aufAuthentifikator hinzufügen.
- Wählen Sie in der Dropdown-ListeAuthentifikatortypeinen der folgenden Authentifikatoren aus:ElementBeschreibungAzure(SAML)Wählen Sie diese Option, wenn Benutzer ihre Anmeldedaten fürAzureeingeben sollen. Gehen Sie wie folgt vor:
- Geben Sie einen Namen für den Authentifikator ein.
- Aktivieren Sie die OptionValidierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen. Der Code wird an die E-Mail-Adresse gesendet, die mit dem Benutzer in Ihrem Mandanten verknüpft ist.
- Geben Sie im FeldAnmeldeanforderungs-URLdie Anmelde-URL ein, die in den Einstellungen für die einmalige Anmeldung bei der App-Registrierung für Ihren Identitätsanbieter angegeben ist. Gehen Sie beispielsweise imAzure-Portal zu Unternehmensanwendung > CylancePROTECT-Anwendung > Eigenschaften > Einstellungen für die einmalige Anmeldung > Anmelde-URL.
- Fügen Sie im FeldIdP-Signaturzertifikatden Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Begin Certificate“ (Zertifikat beginnen) und „End Certificate“ (Zertifikat beenden).Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
- Geben Sie im FeldEntitätskennung des SPdieID (Entitätskennung)ein, die in der SAML-Konfiguration inAzureverwendet wird. Dieses Feld ist erforderlich, und der eingegebene Wert muss mit der ID (Entitätskennung) inAzureübereinstimmen.
- Legen Sie weitere optionale Einstellungen fest.
- Klicken Sie aufSpeichern.
Benutzerdefiniert (SAML)Wählen Sie diese Option, wenn Benutzer ihre benutzerdefinierten Anmeldedaten eingeben sollen. Gehen Sie wie folgt vor:- Geben Sie einen Namen für den Authentifikator ein.
- Aktivieren Sie die OptionValidierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
- Geben Sie im FeldAnmeldeanforderungs-URLdie Single Sign-On-URL für den Identitätsanbieter ein.
- Fügen Sie im FeldIdP-Signaturzertifikatden Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Begin Certificate“ (Zertifikat beginnen) und „End Certificate“ (Zertifikat beenden).Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
- Legen Sie weitere optionale Einstellungen fest.
- Klicken Sie aufSpeichern.
Cylance-AdministratorkennwortWählen Sie diese Option, wenn Benutzer ihreCylance-Konsolenanmeldedaten eingeben sollen. Gehen Sie wie folgt vor:- Geben Sie einen Namen für den Authentifikator ein.
- Klicken Sie aufSpeichern.
Direkte AuthentifizierungWählen Sie diese Option aus, wenn Sie eine Authentifizierungsrichtlinie verwenden möchten, um zu verhindern, dass Benutzer oder Gruppen von Benutzern auf dieCylance-Konsole oder einen anderen Dienst zugreifen. Sie können eine weitere Richtlinie oder eine App-Ausnahme hinzufügen, um den Zugriff auf eine Untergruppe von Benutzern zu ermöglichen.- Geben Sie einen Namen für den Authentifikator ein.
- Klicken Sie aufSpeichern.
DuoMFAWählen Sie diese Option aus, wenn Benutzer sich mithilfe derDuoMulti-Faktor-Authentifizierung authentifizieren sollen.Bevor SieDuoals Authentifikator hinzufügen, sollten Sie eine API-Anwendung zur Authentifizierung erstellen. Weitere Informationen finden Sie in den Informationen vonDuo.Gehen Sie wie folgt vor:- Geben Sie einen Namen für den Authentifikator ein.
- Geben Sie im AbschnittDuo MFA-Konfigurationden API-Hostnamen, den Integrationsschlüssel und den geheimen Schlüssel ein. Diese Informationen finden Sie auf der Registerkarte „Anwendungen“ imDuo-Konto Ihres Unternehmens. Weitere Informationen finden Sie in der Duo-Dokumentation.
EnterpriseWählen Sie diese Option aus, wenn Benutzer sich mit ihren Anmeldeinformationen fürActive Directory, LDAP oderauthentifizieren sollen. Die Anmeldedaten, die ein Benutzer verwendet, hängen von dem Kontotyp ab, der als Ausgangsbasis für sein Benutzerkonto in der Konsole dient. Gehen Sie wie folgt vor:myAccount- Geben Sie einen Namen für den Authentifikator ein.
- Klicken Sie aufSpeichern.
FIDOWählen Sie diese Option aus, wenn Benutzer einFIDO2-Gerät registrieren und verwenden sollen, um ihre Identität zu verifizieren. Zu den unterstützten Gerätetypen gehören Smartphones, USB-Sicherheitsschlüssel oderWindows Hello.- Geben Sie einen Namen für den Authentifikator ein.
- Klicken Sie aufSpeichern.
WennFIDOder erste Authentifizierungsfaktor ist und ein Benutzer ein Gerät zum ersten Mal registriert, wird auch ein einmaliges Kennwort an die E-Mail-Adresse gesendet, mit der er sich anmeldet. WennFIDOals zweiter Faktor in einer Richtlinie verwendet wird und ein Benutzer ein Gerät zum ersten Mal registriert, ist kein einmaliges Kennwort erforderlich.Informationen zum Entfernen registrierter Geräte aus einem Benutzerkonto finden Sie unter Entfernen eines registriertenFIDO-Geräts für ein Benutzerkonto in der Dokumentation für Administratoren.Integriertes Verzeichnis (Active Directory/Azure AD/LDAP)Wählen Sie diese Option aus, wenn Benutzer ihrActive Directory-Kennwort eingeben sollen. Wenn Sie diese Option auswählen, muss derCylance Endpoint Security-Mandant über eine Verbindung zur Unternehmensverzeichnis-Instanz verfügen. Weitere Informationen finden Sie unter Verknüpfung mit Ihrem Unternehmensverzeichnis. Gehen Sie wie folgt vor:- Geben Sie einen Namen für den Authentifikator ein.
- Klicken Sie aufSpeichern.
IP-AdresseWählen Sie diese Option aus, wenn Sie den Zugriff der Benutzer basierend auf ihrer IP-Adresse einschränken möchten. Sie können mehrere Authentifikatoren für IP-Adressen erstellen und diese verwenden, um den Zugriff für verschiedene Gruppen zu verwalten. Sie können jedoch nur einen IP-Adressen-Authentifikator in einer Richtlinie zuweisen.- Geben Sie einen Namen für den Authentifikator ein.
- Geben Sie im FeldIP-Adressbereicheeine oder mehrere IP-Adressen, IP-Bereiche oder CIDRs an. Trennen Sie die Einträge durch ein Komma.
- Klicken Sie aufSpeichern.
Lokales KontoWählen Sie diese Option, wenn Benutzer ihre Anmeldedaten fürBlackBerry Online Account() eingeben sollen. Gehen Sie wie folgt vor:myAccount- Geben Sie einen Namen für den Authentifikator ein.
- Klicken Sie aufSpeichern.
OktaMFAWählen Sie diese Option aus, wenn Benutzer sich mithilfe vonOktaauthentifizieren sollen. Gehen Sie wie folgt vor:- Geben Sie einen Namen für den Authentifikator ein.
- Geben Sie im AbschnittOkta MFA-Konfigurationden API-Schlüssel und die Domäne des Authentifikators ein.
- Klicken Sie aufSpeichern.
Okta(OIDC)Wählen Sie diese Option aus, wenn Benutzer sich mithilfe vonOktaauthentifizieren sollen. Gehen Sie wie folgt vor:- Wählen Sie in der Dropdown-Liste unterOktadie OptionOIDCaus.
- Geben Sie einen Namen für den Authentifikator ein.
- Geben Sie im AbschnittClient des Identitätsanbietersdie URL des OIDC-Suchdokuments, die Client-ID und den privaten Schlüssel JWKS ein.
- Klicken Sie aufSpeichern.
Okta(SAML)Wählen Sie diese Option, wenn Benutzer ihre Anmeldedaten fürOktaeingeben sollen. Gehen Sie wie folgt vor:- Wählen Sie in der Dropdown-Liste unterOktadie OptionSAMLaus.
- Geben Sie einen Namen für den Authentifikator ein.
- Aktivieren Sie die OptionValidierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
- Geben Sie im FeldAnmeldeanforderungs-URLdie Single Sign-On-URL für den Identitätsanbieter ein.
- Fügen Sie im FeldIdP-Signaturzertifikatden Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Begin Certificate“ (Zertifikat beginnen) und „End Certificate“ (Zertifikat beenden).Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
- Legen Sie weitere optionale Einstellungen fest.
- Klicken Sie aufSpeichern.
OneLogin(OIDC)Wählen Sie diese Option aus, wenn Benutzer sich mithilfe vonOneLoginauthentifizieren sollen. Gehen Sie wie folgt vor:- Wählen Sie in der Dropdown-Liste unterOneLogindie OptionOIDCaus.
- Geben Sie einen Namen für den Authentifikator ein.
- Aktivieren Sie die OptionValidierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
- Geben Sie im AbschnittOneLogin-Konfigurationdie URL des OIDC-Suchdokuments, die Client-ID, den Client-Schlüssel und die Authentifizierungsmethode ein.
- Klicken Sie aufSpeichern.
OneLogin(SAML)Wählen Sie diese Option, wenn Benutzer ihre Anmeldedaten fürOneLogineingeben sollen. Gehen Sie wie folgt vor:- Geben Sie einen Namen für den Authentifikator ein.
- Aktivieren Sie die OptionValidierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
- Geben Sie im FeldAnmeldeanforderungs-URLdie Single Sign-On-URL für den Identitätsanbieter ein.
- Fügen Sie im FeldIdP-Signaturzertifikatden Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Begin Certificate“ (Zertifikat beginnen) und „End Certificate“ (Zertifikat beenden).Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
- Legen Sie weitere optionale Einstellungen fest.
- Klicken Sie aufSpeichern.
EinmalkennwortWählen Sie diese Option aus, wenn Benutzer zusätzlich zu einem anderen Authentifizierungstyp ein einmaliges Kennwort eingeben sollen.Gehen Sie wie folgt vor:Wenn Sie diese Option auswählen, müssen Sie Ihrer Authentifizierungsrichtlinie auch einen anderen Authentifikator hinzufügen und diesen höher als das Einmalkennwort einstufen.- Geben Sie einen Namen für den Authentifikator ein.
- Wählen Sie im AbschnittEinmalkennwort-Konfigurationin der ersten Dropdown-Liste eine Anzahl von Intervallen in der Dropdown-Liste aus. Jeder Code innerhalb des Fensters ist gültig, wenn er dem erwarteten Code um die von Ihnen angegebene Anzahl von Aktualisierungsintervallen vorangeht oder folgt. Das Aktualisierungsintervall beträgt 30 Sekunden und die Standardeinstellung ist 1.
- Geben Sie im AbschnittEinmalkennwort-Konfigurationin der zweiten Dropdown-Liste an, wie oft Benutzer die Einrichtung der OTP-App überspringen und sich authentifizieren können, ohne einen Code einzugeben.
Ping Identity(OIDC)Wählen Sie diese Option aus, wenn Benutzer sich mithilfe vonPing Identityauthentifizieren sollen. Führen Sie die folgenden Schritte aus:- Wählen Sie in der Dropdown-Liste unterPingdie OptionOIDCaus.
- Geben Sie einen Namen für den Authentifikator ein.
- Geben Sie im AbschnittClient des Identitätsanbietersdie URL des OIDC-Suchdokuments, die Client-ID und den privaten Schlüssel JWKS ein.
- Wählen Sie in der Dropdown-ListeSignaturalgorithmus für ID-Tokeneinen Signaturalgorithmus aus.
- Klicken Sie aufSpeichern.
Ping Identity(SAML)Wählen Sie diese Option, wenn Benutzer ihre Anmeldedaten fürPing Identityeingeben sollen. Gehen Sie wie folgt vor:- Wählen Sie in der Dropdown-Liste unterPingdie OptionSAMLaus.
- Geben Sie einen Namen für den Authentifikator ein.
- Aktivieren Sie die OptionValidierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
- Geben Sie im FeldAnmeldeanforderungs-URLdie Single Sign-On-URL für den Identitätsanbieter ein.
- Fügen Sie im FeldIdP-Signaturzertifikatden Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Begin Certificate“ (Zertifikat beginnen) und „End Certificate“ (Zertifikat beenden).Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
- Legen Sie weitere optionale Einstellungen fest.
- Klicken Sie aufSpeichern.
- Klicken Sie aufSpeichern.