Skip Navigation

Überlegungen zum Hinzufügen von SAML-Authentifikatoren

Wenn Sie einen SAML-Authentifikator hinzufügen, sind die Werte für die Anmeldeanforderungs-URL und das IdP-Signaturzertifikat erforderlich. Beachten Sie bei optionalen Feldern die folgenden Hinweise.
Wenn Sie einen externen Identitätsanbieter konfigurieren, müssen Sie die URL für die Cylance Endpoint Security-Anmeldeanforderung hinzufügen. Die URL muss das Format https://login.eid.blackberry.com/_/resume/saml20/<
hash
> haben. Da externe SAML-Konfigurationen eine Liste von Single Sign-On- oder Assertion Consumer Service-Antwort-URLs unterstützen, können Sie in vorhandenen Konfigurationen die neue oder neu generierte URL als sekundäre Option zur Liste hinzufügen oder das Original ersetzen. Wenn Sie Ihren Authentifikator vor Dezember 2023 erstellt haben und Benutzer über Single Sign-On auf die Cylance-Konsole zugreifen können sollen, müssen Sie eine aktualisierte URL für die Anmeldeanforderung generieren. Weitere Informationen zur Aktualisierung Ihres Authentifikators finden Sie unter Erweiterte Authentifizierungsanmeldung.
Element
Beschreibung
NameID-Format
In diesem Feld können Sie ein optionales Format für die Namenskennung angeben, die vom Identitätsanbieter angefordert werden soll.
Anspruch auf Verbund-ID
In diesem Feld können Sie einen optionalen Anspruchswert angeben, der als Ihre Verbund-ID verwendet wird, um Konten systemübergreifend zu verknüpfen. Der Standardwert ist NameID.
Wenn Ihr IdP so eingerichtet ist, dass bei einem anderen Anspruch als „NameID“ die E-Mail-Adresse zurückgegeben wird, müssen Sie den Anspruch in diesem Feld angeben. Sie sollten einen eindeutigen, unveränderbaren und beständigen Wert in diesem Anspruch verwenden (z. B. eine objectGUID oder UUID). Es wird nicht empfohlen, einen Wert zu verwenden, der nicht eindeutig ist oder sich ändern kann, wie z. B. eine E-Mail-Adresse. Wenn sich Benutzer anmelden, verwendet
Cylance Endpoint Security
den Wert in „Anspruch auf Verbund-ID“, um eine eindeutige ID zu erstellen, mit der der Benutzer seine Identitäten in beiden Systemen zuordnen kann.
Nachdem Sie den Wert angegeben haben, der für „Anspruch auf Verbund-ID“ verwendet werden soll, kann er nicht geändert werden, da der Benutzer im externen Identitätsanbieter und
Cylance Endpoint Security
nach der erstmaligen Anmeldung darüber verknüpft wird.
Anspruch auf Active Directory
In diesem Feld können Sie einen optionalen Anspruchswert angeben, der verwendet wird, um objectGUIDs von Active Directory systemübergreifend abzugleichen und Benutzer zu validieren.
E-Mail-Anspruch
In diesem Feld können Sie einen optionalen Anspruchswert angeben, der für den systemübergreifenden Abgleich von E-Mail-Adressen verwendet wird. Der Standardwert ist „email“.
Cylance Endpoint Security
erfordert, dass alle SAML-Antworten die vollständige E-Mail-Adresse des Benutzers enthalten müssen. Diese muss mit der E-Mail-Adresse übereinstimmen, die bei
Cylance Endpoint Security
registriert ist. Wenn Ihr IdP so eingerichtet ist, dass bei einem anderen Anspruch als „email“ die E-Mail-Adresse zurückgegeben wird, müssen Sie den Anspruch in diesem Feld angeben. Wenn der bei Ihrem IdP konfigurierte Anspruch beispielsweise „emailAddress“ heißt, müssen Sie im Feld „E-Mail-Anspruch“ „emailAddress“ festlegen. Wenn diese Ansprüche nicht übereinstimmen, können sich die Benutzer nicht anmelden.
Entitätskennung des SP
In diesem Feld können Sie eine optionale Entitätskennung des Dienstanbieters (Service Provider, SP) angeben, die an den Identitätsanbieter gesendet werden soll (auch als Ausstellerzeichenfolge bezeichnet).
Für
Entra
SAML-Authentifikatoren ist dieses Feld erforderlich, und der eingegebene Wert muss mit der ID (Entitätskennung) in der SAML-Konfiguration in
Entra
übereinstimmen.
Entitätskennung des IdP
In diesem Feld können Sie eine optionale Entitätskennung des Identitätsanbieters angeben (auch als IdP-Aussteller bezeichnet). Wenn Sie diese angeben, wird der IdP-Aussteller bei allen Antworten validiert.
Akzeptierte Taktabweichung
In diesem Feld können Sie die zulässige Taktabweichung zwischen Client und Server in Millisekunden angeben.
Signatur-Algorithmus
In diesem Feld können Sie den Signatur-Algorithmus für Signaturanforderungen angeben.
Privater Signaturschlüssel
In diesem Feld können Sie einen optionalen privaten Schlüssel im PEM-Format angeben, der zum Signieren aller ausgehenden Anforderungen verwendet wird.