Migrieren benutzerdefinierter Authentifizierungseinstellungen in die Liste der Authentifikatoren
In den Einstellungen können Sie Ihre vorhandenen SAML-Authentifikatoren in die Liste der Authentifikatoren migrieren, sodass Sie sie zu Authentifizierungsrichtlinien für Benutzer und Gruppen oder Ihren Mandanten hinzufügen können. Wenn Sie die Authentifikatoren migrieren, müssen Sie die Single Sign-On-URL auf die von
Cylance Endpoint Security
verwendete URL aktualisieren. Sie müssen auch den NameID-Anspruch in Ihrer externen IdP-Konfiguration aktualisieren, damit er anstelle der E-Mail-Adresse eines Benutzers einen beständigen, unveränderbaren Wert zurückgibt, oder Sie müssen beim Identitätsanbieter einen Anspruch erstellen, der für „Anspruch auf Verbund-ID“ verwendet werden kann.Bevor Sie Ihre Einstellungen migrieren, sollten Sie als Sicherheitsmaßnahme eine Authentifizierungsrichtlinie erstellen, die nur das
Cylance
-Konsolenkennwort erfordert, und sie einem Administrator zuweisen.Wenn Sie die kundenspezifischen Authentifizierungseinstellungen zum externen Identitätsanbieter migrieren, müssen Sie die folgende URL für die Cylance Endpoint Security-Anmeldeanforderung hinzufügen:
https://idp.blackberry.com/_/resume
. Da externe SAML-Konfigurationen eine Liste von Single Sign-On- oder Assertion Consumer Service-Antwort-URLs unterstützen, können Sie in vorhandenen Konfigurationen die neue URL als sekundäre Option zur Liste hinzufügen oder das Original ersetzen.Weitere Informationen zu SAML-Authentifikatoren finden Sie unter Überlegungen zum Hinzufügen von SAML-Authentifikatoren.
Laden Sie eine Kopie des Signaturzertifikats für Ihren IdP herunter.
- Klicken Sie in der Menüleiste der Verwaltungskonsole aufEinstellungen>Anwendung.
- Führen Sie im AbschnittKundenspezifische Authentifizierungdie folgende Aktion aus:
- Kopieren Sie die folgenden Informationen in eine Textdatei:
- Anbietername
- Anmelde-URL
- Aktivieren Sie das KontrollkästchenKennwortanmeldung zulassen. Weitere Informationen zu der Einstellung finden Sie unter Benutzerdefinierte Authentifizierungsbeschreibungen.
- Klicken Sie in der Menüleiste aufEinstellungen>Authentifizierung.
- Klicken Sie auf der RegisterkarteAuthentifikatorenaufAuthentifikator hinzufügen.
- Klicken Sie in der Dropdown-ListeAuthentifikatortypauf den SAML-Authentifikator, der dem in Schritt 2 kopierten Anbieter entspricht (z. B.EntraoderOkta), oder klicken Sie auf „Benutzerdefinierte SAML“.
- Geben Sie im AbschnittAllgemeine Informationeneinen Namen für den Authentifikator ein.
- Aktivieren Sie im AbschnittSAML-Konfigurationdie OptionValidierung erforderlich, wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
- Geben Sie im FeldAnmeldeanforderungs-URLdie Single Sign-On-URL für den Identitätsanbieter ein.
- Fügen Sie im FeldIdP-Signaturzertifikatden Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Begin Certificate“ (Zertifikat beginnen) und „End Certificate“ (Zertifikat beenden).Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
- Führen Sie einen der folgenden Schritte aus:AufgabeSchritteAktualisieren Sie die Werte des NameID- und des E-Mail-Anspruchs im externen Identitätsanbieter.
- Melden Sie sich bei Ihrem externen Identitätsanbieter an.
- Aktualisieren Sie die Single Sign-On-URL fürCylance Endpoint Securityaufhttps://idp.blackberry.com/_/resume. Sie können diese URL zur vorhandenen URL login.<region>.cylance.com hinzufügen.
- Bearbeiten Sie den NameID-Anspruch so, dass er einen beständigen, unveränderbaren Wert (z. B. objectGUID oder UUID) zurückgibt, der unter „Anspruch auf Verbund-ID“ anstelle der E-Mail-Adresse des Benutzers verwendet werden kann. Anweisungen hierzu finden Sie in der Dokumentation des Identitätsanbieters.
- Erstellen Sie einen neuen E-Mail-Anspruch, der die E-Mail-Adresse des Benutzers zurückgibt.
Erstellen Sie einen neuen Anspruch in Ihrem externen Identitätsanbieter und fügen Sie ihn in den Authentifikator-Einstellungen hinzu.- Melden Sie sich bei Ihrem externen Identitätsanbieter an.
- Aktualisieren Sie die Single Sign-On-URL fürCylance Endpoint Securityaufhttps://idp.blackberry.com/_/resume. Sie können diese URL zur vorhandenen URL login.<region>.cylance.com hinzufügen.
- Erstellen Sie einen neuen Anspruch, der eine beständige, unveränderbare ID für einen Benutzer zurückgibt. Anweisungen hierzu finden Sie in der Dokumentation des Identitätsanbieters.
- Geben Sie in derCylance-Verwaltungskonsole im FeldE-Mail-AnspruchnameIDein. Der Wert für nameID muss kleingeschrieben werden („n“).
- Geben Sie in das FeldAnspruch auf Verbund-IDden Namen des neuen Anspruchs ein, den Sie im externen Identitätsanbieter erstellt haben.
- Klicken Sie aufSpeichern.
- Wenn bei der Anmeldung mit dem SAML-Authentifikator in einer Authentifizierungsrichtlinie Probleme auftreten, können Sie eine Beispiel-SAML-Antwort von Ihrem IdP herunterladen und die Anspruchsnamen validieren.