Migrer des paramètres d‘authentification personnalisés vers la liste des authentificateurs
Vous pouvez migrer vos authentificateurs SAML existants vers la liste des authentificateurs dans Paramètres, afin de les ajouter aux stratégies d‘authentification pour les utilisateurs, les groupes ou votre locataire. Lorsque vous migrez les authentificateurs, vous devez mettre à jour l‘URL d‘authentification unique vers l‘URL utilisée par
Cylance Endpoint Security
. Vous devez également mettre à jour la revendication NameID dans votre configuration IDP externe afin qu‘elle renvoie une valeur persistante et immuable au lieu de l‘adresse e-mail d‘un utilisateur, ou créer une revendication dans le fournisseur d‘identité qui peut être utilisé comme revendication d‘ID fédéré.Avant de migrer vos paramètres, en tant que sécurité intégrée, vous devez créer une stratégie d‘authentification qui nécessite uniquement le mot de passe de la console
Cylance
et l‘attribuer à un administrateur.Lorsque vous migrez les paramètres d‘authentification personnalisés, dans le fournisseur d‘identité externe, vous devez ajouter l‘URL de demande de connexion Cylance Endpoint Security suivante :
https://idp.blackberry.com/_/resume
. Les configurations SAML externes prenant en charge une liste d‘URL d‘authentification unique ou de réponse de service d‘abonné d‘assertions, dans les configurations existantes, vous pouvez ajouter la nouvelle URL à la liste en tant qu‘option secondaire ou remplacer l‘URL d‘origine.Pour en savoir plus sur les authentificateurs SAML, voir Considérations relatives à l‘ajout d‘authentificateurs SAML.
Téléchargez un exemplaire du certificat de signature de votre IDP.
- Dans la barre de menus de la console de gestion, cliquez surParamètres>Application.
- Dans la sectionAuthentification personnalisée, effectuez les opérations suivantes :
- Copiez les informations suivantes dans un fichier texte :
- Nom du fournisseur
- URL de connexion
- Cochez la caseAutoriser la connexion par mot de passe. Pour plus d‘informations sur ce paramètre, consultez Descriptions de l'authentification personnalisée.
- Dans la barre de menus, cliquez surParamètres>Authentification.
- Dans l‘ongletAuthentificateurs, cliquez surAjouter un authentificateur.
- Dans la liste déroulanteType d‘authentificateur, cliquez sur l‘authentificateur SAML correspondant au fournisseur que vous avez copié à l‘étape 2 (EntraouOkta, par exemple) ou cliquez sur SAML personnalisé.
- Dans la sectionInformations générales, saisissez le nom de l‘authentificateur.
- Dans la sectionConfiguration SAML, si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activezValidation requise.
- Dans le champURL de demande de connexion, saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
- Dans le champCertificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
- Effectuez l‘une des opérations suivantes :TâcheÉtapesMettez à jour les valeurs de revendication NameID et email dans le fournisseur d‘identité externe.
- Connectez-vous à votre fournisseur d‘identité externe.
- Mettez à jour l‘URL d‘authentification unique deCylance Endpoint Securityenhttps://idp.blackberry.com/_/resume. Vous pouvez ajouter cette URL à l‘URL login.<region>.cylance.com existante.
- Modifiez la revendication NameID afin qu‘elle renvoie une valeur persistante et immuable (objectGUID ou UUID, par exemple) qui peut être utilisée dans la revendication d‘ID fédéré au lieu de l‘adresse e-mail de l‘utilisateur. Pour obtenir des instructions, reportez-vous à la documentation du fournisseur d‘identité.
- Créez une revendication email qui renverra l‘adresse e-mail de l‘utilisateur.
Créez une revendication dans votre fournisseur d‘identité externe et ajoutez-la aux paramètres de l‘authentificateur.- Connectez-vous à votre fournisseur d‘identité externe.
- Mettez à jour l‘URL d‘authentification unique deCylance Endpoint Securityenhttps://idp.blackberry.com/_/resume. Vous pouvez ajouter cette URL à l‘URL login.<region>.cylance.com existante.
- Créez une revendication qui renvoie un ID persistant et immuable pour un utilisateur. Pour obtenir des instructions, reportez-vous à la documentation du fournisseur d‘identité.
- Dans la console de gestionCylance, dans le champRevendication d‘e-mail, saisisseznameID. La valeur nameID doit utiliser un « n » minuscule.
- Dans le champRevendication d‘ID fédéré, saisissez le nom de la revendication que vous venez de créer dans le fournisseur d‘identité externe.
- Cliquez surEnregistrer.
- En cas de problème de connexion à l‘aide de l‘authentificateur SAML dans le cadre d‘une stratégie d‘authentification, vous pouvez télécharger un exemple de réponse SAML à partir de votre IDP et valider les noms des revendications.