Configuration d’AD FS pour TaaS

Pour utiliser Active Directory Federation Services (AD FS) en tant que fournisseur d’identité pour TaaS, vous devez d’abord le configurer. Pour plus d’informations sur la configuration d’AD FS, consultez la section Comment configurer AD FS en tant que fournisseur d’identité SAML avec un groupe d’utilisateurs Amazon Cognito ?

Créer une application SAML et fournir les métadonnées à Tanium

  1. Dans la console de gestion AD FS, accédez à Actions (Actions) > AD FS (AD FS) > Add Relying Party Trust... (Ajouter une approbation de partie de confiance…).
    1. À l’étape Welcome (Accueil), sélectionnez Claims aware (Prise en charge des revendications), puis cliquez sur Start (Démarrer).
    2. À l’étape Select Data Source (Sélectionner une source de données), sélectionnez Enter data about the relying party manually (Entrer manuellement les données concernant la partie de confiance), puis cliquez sur Next (Suivant).
    3. À l’étape Specify Display Name (Spécifier le nom d’affichage), entrez un nom, tel que Tanium ou TaaS, puis cliquez sur Next (Suivant).
    4. À l’étape Configure Certificate (Configurer le certificat), cliquez sur Next (Suivant). Un certificat du fournisseur de services n’est pas requis pour TaaS.
    5. À l’étape Configure URL (Configurer l’URL), sélectionnez Enable support for the SAML 2.0 WebSSO protocol (Activer la prise en charge du protocole WebSSO SAML 2.0), saisissez la valeur SSO URL (URL SSO) de votre e-mail de bienvenue depuis Tanium, puis cliquez sur Next (Suivant).
    6. À l’étape Configure Identifiers (Configurer les identificateurs), saisissez la valeur Audience URI (SP Entity ID) (URI d’audience (ID entité SP)) de votre e-mail de bienvenue de Tanium et cliquez sur Add (Ajouter), puis sur Next (Suivant).
    7. À l’étape Choose Access Control (Sélectionner un contrôle d’accès), sélectionnez une stratégie de contrôle d’accès appropriée pour votre organisation, puis cliquez sur Next (Suivant).

      Vous devez accorder l’accès à l’utilisateur qui est répertorié en tant que Primary TaaS Admin Username (Nom d’utilisateur de l’administrateur principal de TaaS) dans votre e-mail de bienvenue de Tanium. Cet utilisateur est le seul utilisateur qui est créé dans TaaS pendant le processus d’attribution. Des utilisateurs supplémentaires peuvent être créés dans TaaS par cet utilisateur ou d’autres utilisateurs délégués.

    8. À l’étape Ready to Add Trust (Prêt à ajouter l’approbation), cliquez sur Next (Suivant).
    9. À l’étape Finish (Terminer), vérifiez que l’option Configure claims issuance policy for this application (Configurer une stratégie d’émission de revendications pour cette application) est sélectionnée, puis cliquez sur Close (Fermer).
    10. Si la fenêtre Edit Claim Issuance Policy for <applicationDisplayName> (Modifier la stratégie d’émission de revendication pour <applicationDisplayName>) n’apparaît pas automatiquement, faites un clic droit sur Relying Party Trust for <applicationDisplayName> (Approbation de partie de confiance pour <applicationDisplayName>), puis cliquez sur Edit Claim Issuance Policy... (Modifier la stratégie d’émission de revendication…).

  2. Dans la fenêtre Edit Claim Issuance Policy for <applicationDisplayName> (Modifier la stratégie d’émission de revendication pour <applicationDisplayName>), cliquez sur Add Rule... (Ajouter une règle...) pour créer la règle permettant d’envoyer les adresses e-mail d’AD à TaaS dans les attributs de l’adresse e-mail et de l’ID du nom.
    1. Saisissez un nom dans Claim rule name (Nom de la règle de revendication), par ex. Send E-mail Addresses (Envoyer des adresses e-mail).
    2. Dans le menu déroulant Attribute store (Magasin d’attributs), sélectionnez Active Directory.
    3. Dans la première ligne de Mapping of LDAP attributes to outgoing claim types (Mappage des attributs LDAP aux types de revendications sortantes), sélectionnez E-Mail-Addresses (Adresses e-mail) pour la colonne LDAP Attribute (Attribut LDAP) et E-Mail Address (Adresse e-mail) pour la colonne Outgoing claim type (Type de revendication sortante).
    4. Dans la deuxième ligne de Mapping of LDAP attributes to outgoing claim types (Mappage des attributs LDAP aux types de revendications sortantes), sélectionnez E-Mail-Addresses (Adresses e-mail) pour la colonne LDAP Attribute (Attribut LDAP) et Name ID (ID du nom) pour la colonne Outgoing Claim Type (Type de revendication sortante).
    5. Cliquez sur OK (OK) pour enregistrer la règle et fermer la fenêtre.
    6. Cliquez sur OK (OK) pour enregistrer la stratégie d’émission de revendications et fermer la fenêtre.
  3. Remplacez <yourADFSServer> dans l’URL suivante par le nom de votre serveur/ferme de serveurs AD FS, puis fournissez le fichier XML à Tanium.
    https://<yourADFSServer>/FederationMetadata/2007-06/FederationMetadata.xml

Amazon Cognito, qui est utilisé pour la fédération des identités avec TaaS, ne prend pas en charge l’authentification unique SSO initiée par PDi. Pour vous connecter à TaaS, vous devez d’abord accéder à votre URL de console TaaS depuis votre e-mail de bienvenue de Tanium. Vous ne pouvez pas vous connecter depuis la page d’authentification SSO initiée par PDi d’AD FS.