Настройка единого входа через Azure Active Directory с VMware Carbon Black Cloud

1. В браузере перейдите на соответствующую страницу входа для вашего региона и войдите в систему с учетной записью администратора.
   Примечание. Ниже перечислены страницы входа по регионам.

   • Северная и Южная Америка = https://defense-prod05.conferdeploy.net/
   • Европа = https://defense-eu.conferdeploy.net/
   • Азиатско-Тихоокеанский регион = https://defense-prodnrt.conferdeploy.net/
   • Австралия и Новая Зеландия: https://defense-prodsyd.conferdeploy.net
2. Раскройте Settings.
   
3. Выберите Users.
   
4. Выберите Enabled в разделе конфигурации SAML, чтобы собрать информацию, необходимую для SSO, из среды Carbon Black.
5. Скопируйте выделенные зеленым цветом части информации в том виде, в котором они необходимы во время конфигурации Azure.
   • Выделенные оранжевым цветом части информации требуются от Azure и собираются в разделе Azure ниже.
     Примечание.

     • Эта информация зависит от экземпляра Carbon Black, в котором зарегистрирована среда.
     • В среду не вносятся изменения до тех пор, пока не будут заполнены и сохранены URL-адрес для единого входа (привязка HTTP-перенаправления) и сертификат X509.
     
     

1. Войдите на портал Azure в https://portal.azure.com с помощью учетной записи с привилегиями администратора приложения или более высокими.
2. Перейдите в Enterprise applications, выполнив поиск на верхней панели.
   
3. На экране «Enterprise Applications» нажмите All applications в меню слева Manage, затем нажмите параметр New Application.
   
4. Выберите параметр Create your own application.
   
5. В области Создать собственное приложение укажите имя приложения, выберите переключатель Интегрировать любое другое приложение, которого нет в коллекции (Не из коллекции), затем нажмите кнопку Создать.
   
   Примечание. Это действие может занять несколько минут.
6. В созданном приложении выберите Единый вход в меню «Управление » слева.
   
7. На панели Select a single sign-on method выберите SAML в качестве метода единого входа.
   
8. Нажмите значок Edit в правом верхнем углу раздела Basic SAML Configuration.
   
9. Вставьте URL-адрес аудитории из консоли VMware Carbon Black Cloud в поле Идентификатор (идентификатор объекта) и задайте значение по умолчанию.
   
10. Вставьте ACS (Consumer) URL с консоли VMware Carbon Black Cloud в поле Reply URL (Assertion Consumer Service URL) и установите его в качестве значения по умолчанию.
    
11. Нажмите значок Save в верхнем левом углу панели Basic SAML Configuration.
    
12. Нажмите значок Edit в правом верхнем углу раздела User Attributes & Claims.
    
13. Нажмите на три точки для дополнительных заявок user.surname, user.userprincipalname, user.givenname и удалите эти параметры. В результате остается user.mail в качестве единственной заявки в разделе «Дополнительные заявки».
    
    
14. Нажмите Unique User Identifier в разделе Required Claim, чтобы изменить требование.
15. Измените исходный атрибут на user.userprincipalname на user.mail.
    
16. Раскройте Choose name identifier format.
    
17. Измените Name identifier format на Default.
    
18. Нажмите значок Save в верхнем левом углу.
19. Выберите Claim name подзаголовком «Additional Claims».
    
20. Измените Name на mail.
    Примечание.

    • Если не задать имя, произойдет INVALID_ASSERTION Сбоев.
    • Убедитесь, что пространство имен очищено. Любые записи в этом поле приводят к INVALID_ASSERTION Сбоев.
    
    
21. Сохраните изменения (нажмите Save) и закройте (close) панель User Attributes & Claims.
22. В разделе SAML Signing Certificate нажмите Download рядом с параметром Certificate (Base64) и сохраните файл сертификата. Используется при конфигурации консоли Carbon Black Cloud.
    
23. Скопируйте URL-адрес для входа из раздела «Настройка <имени> приложения». Используется при конфигурации консоли Carbon Black Cloud.
    
24. Для входа в систему пользователи должны быть добавлены в приложение. Выберите Users and groups из меню Manage слева.
    
25. Выберите параметр Add user/group.
    
26. Нажмите None Selected, чтобы добавить пользователя.
    
27. Назначьте соответствующих пользователей и группы, затем нажмите Выбрать.
    Примечание. Все назначенные пользователи должны быть добавлены в консоль VMware Carbon Black Cloud и иметь соответствующий набор ролей в консоли VMware Carbon Black Cloud вручную. Дополнительные сведения о ролях см. в статье Добавление администраторов VMware Carbon Black Cloud.
    
    
28. После добавления пользователей нажмите Assign в левом нижнем углу.
    
    

Получите доступ к сертификату подписи SAML и URL-адресу входа в разделе «Azure Configuration».

1. В браузере перейдите на соответствующую страницу входа для вашего региона и войдите в систему с учетной записью администратора.
   Примечание. Ниже перечислены страницы входа по регионам.

   • Северная и Южная Америка = https://defense-prod05.conferdeploy.net/
   • Европа = https://defense-eu.conferdeploy.net/
   • Азиатско-Тихоокеанский регион = https://defense-prodnrt.conferdeploy.net/
   • Австралия и Новая Зеландия: https://defense-prodsyd.conferdeploy.net
2. Раскройте Settings.
   
3. Выберите Users.
   
4. Выберите Enabled в «SAML Config», чтобы обновить конфигурацию SAML для SSO.
5. Вставьте Login URL из раздела Azure Configuration в поле Single sign-on URL (HTTP-redirect binding).
   
6. Щелкните правой кнопкой мыши сертификат подписи SAML, ранее скачанный из Azure, и выберите Open with….
   
7. Выберите Notepad или предпочтительный текстовый редактор в списке, чтобы открыть файл .cer.
   
8. Скопируйте содержимое файла сертификата и вставьте его в поле X509 certificate.
   
   
   Примечание. Это поле автоматически усекает строки-возвраты, а также текст верхнего и нижнего колонтитулов.
   
   
   
9. Нажмите Save. В верхней части экрана появится сообщение, подтверждающее обновление конфигурации SAML.
   

1. В браузере перейдите на соответствующую страницу входа для вашего региона и выберите параметр Sign in via SSO.
   Примечание. Ниже перечислены страницы входа по регионам.

   • Северная и Южная Америка = https://defense-prod05.conferdeploy.net/
   • Европа = https://defense-eu.conferdeploy.net/
   • Азиатско-Тихоокеанский регион = https://defense-prodnrt.conferdeploy.net/
   • Австралия и Новая Зеландия: https://defense-prodsyd.conferdeploy.net
   
   
2. Введите адрес электронной почты пользователя, назначенного приложению Azure, затем выберите Sign In.
   
3. Войдите в Azure, затем примите Соглашение с конечным пользователем , чтобы перейти к консоли Carbon Black Cloud (если она еще не принята для этой учетной записи пользователя).
   
   Среда VMware Carbon Black Cloud загружается надлежащим образом.