Passer la navigation

Migrer des paramètres d‘authentification personnalisés vers la liste des authentificateurs

Vous pouvez migrer vos authentificateurs SAML existants vers la liste des authentificateurs dans Paramètres, afin de les ajouter aux stratégies d‘authentification pour les utilisateurs, les groupes ou votre locataire. Lorsque vous migrez les authentificateurs, vous devez mettre à jour l‘URL d‘authentification unique vers l‘URL utilisée par
Cylance Endpoint Security
. Vous devez également mettre à jour la revendication NameID dans votre configuration IDP externe afin qu‘elle renvoie une valeur persistante et immuable au lieu de l‘adresse e-mail d‘un utilisateur, ou créer une revendication dans le fournisseur d‘identité qui peut être utilisé comme revendication d‘ID fédéré.
Avant de migrer vos paramètres, en tant que sécurité intégrée, vous devez créer une stratégie d‘authentification qui nécessite uniquement le mot de passe de la console 
Cylance
et l‘attribuer à un administrateur.
Lorsque vous migrez les paramètres d‘authentification personnalisés, dans le fournisseur d‘identité externe, vous devez ajouter l‘URL de demande de connexion Cylance Endpoint Security suivante :
https://idp.blackberry.com/_/resume
. Les configurations SAML externes prenant en charge une liste d‘URL d‘authentification unique ou de réponse de service d‘abonné d‘assertions, dans les configurations existantes, vous pouvez ajouter la nouvelle URL à la liste en tant qu‘option secondaire ou remplacer l‘URL d‘origine.
Pour en savoir plus sur les authentificateurs SAML, voir Considérations relatives à l‘ajout d‘authentificateurs SAML.
Téléchargez un exemplaire du certificat de signature de votre IDP.
  1. Dans la barre de menus de la console de gestion, cliquez sur
    Paramètres
     > 
    Application
    .
  2. Dans la section
    Authentification personnalisée
    , effectuez les opérations suivantes :
    1. Copiez les informations suivantes dans un fichier texte :
      • Nom du fournisseur
      • URL de connexion
    2. Cochez la case
      Autoriser la connexion par mot de passe
      . Pour plus d‘informations sur ce paramètre, consultez Descriptions de l'authentification personnalisée.
  3. Dans la barre de menus, cliquez sur
    Paramètres
     > 
    Authentification
    .
  4. Dans l‘onglet
    Authentificateurs
    , cliquez sur
    Ajouter un authentificateur
    .
  5. Dans la liste déroulante
    Type d‘authentificateur
    , cliquez sur l‘authentificateur SAML correspondant au fournisseur que vous avez copié à l‘étape 2 (
    Entra
    ou
    Okta
    , par exemple) ou cliquez sur SAML personnalisé.
  6. Dans la section
    Informations générales
    , saisissez le nom de l‘authentificateur.
  7. Dans la section
    Configuration SAML
    , si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez
    Validation requise
    .
  8. Dans le champ
    URL de demande de connexion
    , saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
  9. Dans le champ
    Certificat de signature IDP
    , collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.
    Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
  10. Effectuez l‘une des opérations suivantes :
    Tâche
    Étapes
    Mettez à jour les valeurs de revendication NameID et email dans le fournisseur d‘identité externe.
    1. Connectez-vous à votre fournisseur d‘identité externe.
    2. Mettez à jour l‘URL d‘authentification unique de
      Cylance Endpoint Security
      en
      https://idp.blackberry.com/_/resume
      . Vous pouvez ajouter cette URL à l‘URL login.<
      region
      >.cylance.com existante.
    3. Modifiez la revendication NameID afin qu‘elle renvoie une valeur persistante et immuable (objectGUID ou UUID, par exemple) qui peut être utilisée dans la revendication d‘ID fédéré au lieu de l‘adresse e-mail de l‘utilisateur. Pour obtenir des instructions, reportez-vous à la documentation du fournisseur d‘identité.
    4. Créez une revendication email qui renverra l‘adresse e-mail de l‘utilisateur.
    Créez une revendication dans votre fournisseur d‘identité externe et ajoutez-la aux paramètres de l‘authentificateur.
    1. Connectez-vous à votre fournisseur d‘identité externe.
    2. Mettez à jour l‘URL d‘authentification unique de
      Cylance Endpoint Security
      en
      https://idp.blackberry.com/_/resume
      . Vous pouvez ajouter cette URL à l‘URL login.<
      region
      >.cylance.com existante.
    3. Créez une revendication qui renvoie un ID persistant et immuable pour un utilisateur. Pour obtenir des instructions, reportez-vous à la documentation du fournisseur d‘identité.
    4. Dans la console de gestion 
      Cylance
      , dans le champ
      Revendication d‘e-mail
      , saisissez
      nameID
      . La valeur nameID doit utiliser un « n » minuscule.
    5. Dans le champ
      Revendication d‘ID fédéré
      , saisissez le nom de la revendication que vous venez de créer dans le fournisseur d‘identité externe.
  11. Cliquez sur
    Enregistrer
    .
  • En cas de problème de connexion à l‘aide de l‘authentificateur SAML dans le cadre d‘une stratégie d‘authentification, vous pouvez télécharger un exemple de réponse SAML à partir de votre IDP et valider les noms des revendications.