Skip Navigation

Migrieren benutzerdefinierter Authentifizierungseinstellungen in die Liste der Authentifikatoren

In den Einstellungen können Sie Ihre vorhandenen SAML-Authentifikatoren in die Liste der Authentifikatoren migrieren, sodass Sie sie zu Authentifizierungsrichtlinien für Benutzer und Gruppen oder Ihren Mandanten hinzufügen können. Wenn Sie die Authentifikatoren migrieren, müssen Sie die Single Sign-On-URL auf die von
Cylance Endpoint Security
verwendete URL aktualisieren. Sie müssen auch den NameID-Anspruch in Ihrer externen IdP-Konfiguration aktualisieren, damit er anstelle der E-Mail-Adresse eines Benutzers einen beständigen, unveränderbaren Wert zurückgibt, oder Sie müssen beim Identitätsanbieter einen Anspruch erstellen, der für „Anspruch auf Verbund-ID“ verwendet werden kann.
Bevor Sie Ihre Einstellungen migrieren, sollten Sie als Sicherheitsmaßnahme eine Authentifizierungsrichtlinie erstellen, die nur das
Cylance
-Konsolenkennwort erfordert, und sie einem Administrator zuweisen.
Wenn Sie die kundenspezifischen Authentifizierungseinstellungen zum externen Identitätsanbieter migrieren, müssen Sie die folgende URL für die Cylance Endpoint Security-Anmeldeanforderung hinzufügen:
https://idp.blackberry.com/_/resume
. Da externe SAML-Konfigurationen eine Liste von Single Sign-On- oder Assertion Consumer Service-Antwort-URLs unterstützen, können Sie in vorhandenen Konfigurationen die neue URL als sekundäre Option zur Liste hinzufügen oder das Original ersetzen.
Weitere Informationen zu SAML-Authentifikatoren finden Sie unter Überlegungen zum Hinzufügen von SAML-Authentifikatoren.
Laden Sie eine Kopie des Signaturzertifikats für Ihren IdP herunter.
  1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf
    Einstellungen
     >
    Anwendung
    .
  2. Führen Sie im Abschnitt
    Kundenspezifische Authentifizierung
    die folgende Aktion aus:
    1. Kopieren Sie die folgenden Informationen in eine Textdatei:
      • Anbietername
      • Anmelde-URL
    2. Aktivieren Sie das Kontrollkästchen
      Kennwortanmeldung zulassen
      . Weitere Informationen zu der Einstellung finden Sie unter Benutzerdefinierte Authentifizierungsbeschreibungen.
  3. Klicken Sie in der Menüleiste auf
    Einstellungen
     >
    Authentifizierung
    .
  4. Klicken Sie auf der Registerkarte
    Authentifikatoren
    auf
    Authentifikator hinzufügen
    .
  5. Klicken Sie in der Dropdown-Liste
    Authentifikatortyp
    auf den SAML-Authentifikator, der dem in Schritt 2 kopierten Anbieter entspricht (z. B.
    Entra
    oder
    Okta
    ), oder klicken Sie auf „Benutzerdefinierte SAML“.
  6. Geben Sie im Abschnitt
    Allgemeine Informationen
    einen Namen für den Authentifikator ein.
  7. Aktivieren Sie im Abschnitt
    SAML-Konfiguration
    die Option
    Validierung erforderlich
    , wenn Benutzer ihre E-Mail-Adresse bei der ersten Anmeldung mit einem einmaligen Code validieren sollen.
  8. Geben Sie im Feld
    Anmeldeanforderungs-URL
    die Single Sign-On-URL für den Identitätsanbieter ein.
  9. Fügen Sie im Feld
    IdP-Signaturzertifikat
    den Text des heruntergeladenen Signaturzertifikats ein, einschließlich der Zeilen „Begin Certificate“ (Zertifikat beginnen) und „End Certificate“ (Zertifikat beenden).
    Wenn Sie den Text des Zertifikats kopieren und einfügen, stellen Sie sicher, dass Sie keine Zeilenumbrüche und auch nicht das Format der Zertifikatsinformationen ändern.
  10. Führen Sie einen der folgenden Schritte aus:
    Aufgabe
    Schritte
    Aktualisieren Sie die Werte des NameID- und des E-Mail-Anspruchs im externen Identitätsanbieter.
    1. Melden Sie sich bei Ihrem externen Identitätsanbieter an.
    2. Aktualisieren Sie die Single Sign-On-URL für
      Cylance Endpoint Security
      auf
      https://idp.blackberry.com/_/resume
      . Sie können diese URL zur vorhandenen URL login.<
      region
      >.cylance.com hinzufügen.
    3. Bearbeiten Sie den NameID-Anspruch so, dass er einen beständigen, unveränderbaren Wert (z. B. objectGUID oder UUID) zurückgibt, der unter „Anspruch auf Verbund-ID“ anstelle der E-Mail-Adresse des Benutzers verwendet werden kann. Anweisungen hierzu finden Sie in der Dokumentation des Identitätsanbieters.
    4. Erstellen Sie einen neuen E-Mail-Anspruch, der die E-Mail-Adresse des Benutzers zurückgibt.
    Erstellen Sie einen neuen Anspruch in Ihrem externen Identitätsanbieter und fügen Sie ihn in den Authentifikator-Einstellungen hinzu.
    1. Melden Sie sich bei Ihrem externen Identitätsanbieter an.
    2. Aktualisieren Sie die Single Sign-On-URL für
      Cylance Endpoint Security
      auf
      https://idp.blackberry.com/_/resume
      . Sie können diese URL zur vorhandenen URL login.<
      region
      >.cylance.com hinzufügen.
    3. Erstellen Sie einen neuen Anspruch, der eine beständige, unveränderbare ID für einen Benutzer zurückgibt. Anweisungen hierzu finden Sie in der Dokumentation des Identitätsanbieters.
    4. Geben Sie in der
      Cylance
      -Verwaltungskonsole im Feld
      E-Mail-Anspruch
      nameID
      ein. Der Wert für nameID muss kleingeschrieben werden („n“).
    5. Geben Sie in das Feld
      Anspruch auf Verbund-ID
      den Namen des neuen Anspruchs ein, den Sie im externen Identitätsanbieter erstellt haben.
  11. Klicken Sie auf
    Speichern
    .
  • Wenn bei der Anmeldung mit dem SAML-Authentifikator in einer Authentifizierungsrichtlinie Probleme auftreten, können Sie eine Beispiel-SAML-Antwort von Ihrem IdP herunterladen und die Anspruchsnamen validieren.