Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

SAML Single Sign-on-Authentifizierung

Security Assertion Markup Language (SAML) ist ein Framework für die Authentifizierung und Autorisierung zwischen einem Service Provider (SP) und einem Identity Provider (IDP), bei dem die Authentifizierung mithilfe von digital signierten XML-Dokumenten ausgetauscht wird. Der Service Provider stimmt zu, dem Identitätsanbieter zu vertrauen, um Benutzer zu authentifizieren. Im Gegenzug generiert der Identitätsanbieter eine Authentifizierungsbehauptung, die angibt, dass ein Benutzer authentifiziert wurde.

Durch die Verwendung der SAML-Authentifizierungsfunktion können Sie JSA ganz einfach in Ihren Corporate Identity Server integrieren, um Single Sign-On zu ermöglichen und die Wartung von JSA-lokalen Benutzern zu vermeiden. Benutzer, die bei Ihrem Identitätsserver authentifiziert sind, können sich automatisch bei JSA authentifizieren. Sie müssen sich nicht jedes Mal, wenn sie auf JSA zugreifen, separate Passwörter merken oder Anmeldeinformationen eingeben.

JSA ist vollständig kompatibel mit SAML 2.0 Web-SSO-Profil als Service Provider. Es unterstützt sowohl SP- als auch IDP-initiiertes Single Sign-On und Single Logout.

Konfigurieren der SAML-Authentifizierung

Sie können JSA so konfigurieren, dass das Single Signon Framework Security Assertion Markup Language (SAML) 2.0 für Benutzerauthentifizierung und Autorisierung verwendet wird.

Um die SAML-Konfiguration in JSA abzuschließen, müssen Sie eine XML-Metadatendatei auf Ihrem Identity Provider (SAML)-Server generieren.

Führen Sie die folgenden Schritte aus, um die SAML-Authentifizierung auf Ihrem JSA-Host zu konfigurieren. Nachdem Sie diese Aufgabe abgeschlossen haben, müssen Sie den Identitätsanbieter so konfigurieren, dass er mit JSA funktioniert.

  1. Klicken Sie auf der Registerkarte Admin auf Authentifizierung.

  2. Klicken Sie auf Authentifizierungsmoduleinstellungen.

  3. Wählen Sie in der Liste Authentifizierungsmodul SAML 2.0 aus.

  4. Klicken Sie im Abschnitt Identity Provider-Konfiguration auf Metadatendatei auswählen, navigieren Sie zu der XML-Metadatendatei, die vom Identitätsanbieter erstellt wurde, und klicken Sie dann auf Öffnen.

  5. Geben Sie im Abschnitt Service Provider-Konfiguration die Entitäts-ID-URL ein.

  6. Wählen Sie ein NameID-Format aus:

    • Nicht spezifiziert (Standard)

    • Persistente

    • E-Mail-Adresse

    • X509-Zertifikatsname

    • Windows-Domänenname

    • Kerberos

    Hinweis:

    Verwenden Sie Nicht spezifiziert, es sei denn, Ihr Identitätsanbieter unterstützt dies nicht.

  7. Wählen Sie das Request Binding Protocol aus:

    • HTTP-POST

    • HTTP-Weiterleitung

  8. Wählen Sie " Ja " für "Request Signed Assertion", es sei denn, das Gerät, mit dem Sie eine Verbindung herstellen, unterstützt signierte Assertionen nicht.

    VORSICHT:

    Die Auswahl von "Nein" führt zu einer nicht authentifizierten Kommunikation mit dem SAML-Gerät und wird nicht empfohlen, da sie einem nicht authentifizierten netzwerkbasierten Angreifer den Zugriff auf geschützte Ressourcen ermöglicht.

  9. Wenn die vom Identitätsanbieter zurückgegebene Assertion mithilfe eines JSA-Zertifikats verschlüsselt werden soll, wählen Sie "Ja" für verschlüsselte Assertion anfordern aus.

    Hinweis:

    Die Aktivierung der Verschlüsselung erfordert die Installation uneingeschränkter SDK JCE-Richtliniendateien.

  10. Wenn Sie die Authentifizierungsanforderung mithilfe eines JSA-Zertifikats signieren möchten, wählen Sie "Ja " für "Authentifizierungsanforderung" aus.

  11. Wenn Sie Benutzer automatisch beim Identitätsanbieter abmelden möchten, wenn sie sich bei JSA abmelden, wählen Sie "Ja " für "Enable Service Provider Initiated Single Logout".

    Hinweis:

    Diese Option ist nur verfügbar, wenn sie von Ihrem Identitätsanbieter unterstützt wird.

  12. Verwenden Sie eine der folgenden Methoden, um ein Zertifikat für das Signieren und Entschlüsseln zu konfigurieren:

    Tabelle 1: Konfigurieren eines Zertifikats für das Signieren und Entschlüsseln

    Option

    Beschreibung

    Verwenden Sie das bereitgestellte QRadar_SAML-Zertifikat

    Verwenden Sie die Links in der Quickinfo, um die Root-CA-Dateien, Root CA CRL, Intermediate CA und Intermediate CA CRL des Zertifikats herunterzuladen, das in den vertrauenswürdigen Zertifikatspeicher des Identity Provider-Servers hochgeladen werden sollte.

    Neues Zertifikat hinzufügen

    Klicken Sie auf Hinzufügen , und befolgen Sie die Anweisungen unter Importieren eines neuen Zertifikats zum Signieren und Entschlüsseln, um ein benutzerdefiniertes Zertifikat hinzuzufügen.

    Erneuern oder Aktualisieren eines vorhandenen Zertifikats

    Klicken Sie auf Erneuern , um das QRadar_SAML Zertifikat zu erneuern, wenn es abgelaufen ist oder bald abläuft. Klicken Sie auf Aktualisieren , um ein benutzerdefiniertes Zertifikat zu aktualisieren, das abgelaufen ist oder bald abläuft. Diese Optionen werden basierend auf dem von Ihnen genutzten Zertifikat angezeigt

  13. Wählen Sie eine der folgenden Methoden zur Autorisierung von Benutzern aus:

    Tabelle 2: Konfigurieren eines Zertifikats für das Signieren und Entschlüsseln

    Option

    Beschreibung

    Lokal

    Sie müssen lokale JSA-Benutzer erstellen und deren Rollen und Sicherheitsprofile im Benutzermanager konfigurieren.

    Benutzerattribute

    JSA verwendet die in SAML-Assertionen bereitgestellten Attribute, um lokale Benutzer automatisch bei Authentifizierungsanforderungen zu erstellen. Rollen und Sicherheitsprofile werden entsprechend dem Wert des Rollenattributes und des Sicherheitsprofil-Attributs zugewiesen. Diese Attribute müssen in den Assertionen angegeben werden, und die Rollen und Sicherheitsprofile müssen bereits in JSA vorhanden sein. Benutzernamen, Benutzerrollen und Sicherheitsprofile unterscheiden die Groß- und Kleinschreibung.

    Hinweis:

    Wenn Sie eine Rolle mit Admin-Funktionen verwenden, muss der Wert des Sicherheitsprofil-Attributs Admin sein.
    Hinweis:

    In einer Umgebung mit mehrfacher Mandantenfähigkeit müssen Sie auch das Tenant-Attribut konfigurieren, um Benutzer Mandanten zuzuweisen. Wenn das Mandantenattribute nicht angegeben wird, wird der erstellte Benutzer keinem Mandanten zugewiesen.

  14. Klicken Sie auf Authentifizierungsmodul speichern.

    Die JSA SAML-Metadatendatei wird automatisch heruntergeladen.

  15. Klicken Sie auf der Registerkarte Admin auf Änderungen bereitstellen.

    Nach der Konfiguration von JSA müssen Sie Ihren Identitätsanbieter mithilfe der gespeicherten XML-Metadatendatei konfigurieren.

    Wenn Sie lokale Autorisierung ausgewählt haben, gehen Sie zu Benutzerverwaltung , um lokale Benutzer zu erstellen. Wenn Sie Benutzerattribute ausgewählt haben, erstellen Sie nach Bedarf Rollen, Sicherheitsprofile und Mandanten, und stellen Sie sie dann bereit.

Installation uneingeschränkter SDK JCE-Richtliniendateien

Die Verwendung von Verschlüsselungstechnologie wird durch us-amerikanisches Gesetz gesteuert. JSA Solution Developer Kits (SDKs) umfassen starke, aber begrenzte Richtliniendateien für die Zuständigkeit. Um verschlüsselte SAML-Assertionen zu unterstützen, müssen Sie mit JSA zuerst die Richtliniendateien für unbegrenzte Gerichtsbarkeit Java Cryptography Extension (JCE) erhalten.

  1. Laden Sie die uneingeschränkten JCE-Richtliniendateien (Java Cryptography Extension) herunter.

  2. Entpacken Sie die komprimierte Datei.

    Wählen Sie die folgenden JAR-Dateien aus dem Ordner uneingeschränkt aus:

    • local_policy.jar

    • US_export_policy.jar

  3. Legen Sie die Dateien in dem folgenden Verzeichnis in Ihrer JSA-Konsole ab:

    /opt/ibm/java-x86_64-80/jre/lib/security/

  4. Klicken Sie auf der Registerkarte Admin auf Änderungen bereitstellen.

  5. Klicken Sie auf Erweiterte Einstellungen > Webserver neu starten.

Importieren eines neuen Zertifikats zum Signieren und Entschlüsseln

Die JSA SAML 2.0-Funktion verfügt über Optionen zur Verwendung eines anderen x509-Zertifikats als das für Signierung und Verschlüsselung bereitgestellte QRadar_SAML certificate Zertifikat.

  1. Klicken Sie für "Certificate for Signing and Encryption" auf "Add".

  2. Geben Sie im Fenster Neues Zertifikat importieren einen Anzeigenamen für das Zertifikat ein.

  3. Klicken Sie auf Durchsuchen , um eine private Schlüsseldatei auszuwählen, und klicken Sie dann auf Öffnen.

  4. Klicken Sie auf Durchsuchen , um eine Zertifikatsdatei auszuwählen, und klicken Sie dann auf Öffnen.

  5. Wenn das hochzuladene Zertifikat über eine Zwischenzertifizierungsstelle verfügt, klicken Sie auf Durchsuchen, um die Zwischen-CA-Datei auszuwählen, und klicken Sie dann auf Öffnen.

  6. Wenn es sich bei der Stammzertifizierungsstelle des Zertifikats nicht um eine mit dem Betriebssystem vorinstallierte Stammzertifizierungsstelle handelt, klicken Sie auf Durchsuchen , um die Root-CA-Datei auszuwählen, und klicken Sie dann auf Öffnen.

  7. Klicken Sie auf Upload , um das Zertifikat hochzuladen.

Einrichten von SAML mit Microsoft Active Directory Federation Services

Nachdem Sie SAML in JSA konfiguriert haben, können Sie Ihren Identitätsanbieter mithilfe der XML-Metadatendatei konfigurieren, die Sie während dieses Prozesses erstellt haben. Dieses Beispiel enthält Anweisungen zur Konfiguration von Microsoft Active Directory Federation Services (AD FS) für die Kommunikation mit JSA über das SAML 2.0 Single Sign-On-Framework.

Um den AD FS-Server zu konfigurieren, müssen Sie zuerst SAML in JSA konfigurieren. Kopieren Sie dann die JSA SAML XML-Metadatendatei, die Sie während dieses Prozesses erstellt haben, in einen Speicherort, auf den der AD FS-Server zugreifen kann.

  1. Wählen Sie in der AD FS-Verwaltungskonsole den Ordner Vertrauen der vertrauenden Parteien aus.

  2. Klicken Sie in der Seitenleiste Aktionen auf Vertrauen für vertrauende Parteien standard, und klicken Sie auf Start. Dadurch wird der Assistent " Vertrauen für vertrauende Parteien hinzufügen" geöffnet.

  3. Wählen Sie im Fenster Datenquelle auswählen die Option Daten über die vertrauende Partei aus einer Datei importieren aus, navigieren Sie zur JSA SAML XML-Metadatendatei, und klicken Sie auf Öffnen.

  4. Klicken Sie auf "Next".

  5. Geben Sie einen Anzeigenamen ein, fügen Sie relevante Notizen hinzu, und klicken Sie dann auf Weiter.

  6. Wählen Sie eine Zugriffssteuerungsrichtlinie aus, und klicken Sie auf "Next".

  7. Konfigurieren Sie alle zusätzlichen Optionen, die Sie benötigen, und klicken Sie auf Weiter.

  8. Klicken Sie auf "Schließen".

  9. Wählen Sie im Ordner Vertrauensstellungen für vertrauende Parteien die neue Vertrauenswürdige aus, die Sie erstellt haben, und klicken Sie dann auf "Claim-Ausstellungsrichtlinie bearbeiten".

  10. Klicken Sie auf Regel hinzufügen.

  11. Wählen Sie im Menü Anspruchsregelvorlagen ldap-Attribute als Ansprüche senden aus, und klicken Sie dann auf Weiter.

  12. Geben Sie einen Anspruchsregelnamen ein, und wählen Sie den Attributspeicher aus.

  13. Wählen Sie die Attribute aus, die in der Assertion gesendet werden sollen, ordnen Sie den entsprechenden Ausgehenden Anspruchstyp zu, und klicken Sie auf Fertig stellen.

  14. Klicken Sie auf Regel hinzufügen.

  15. Wählen Sie im Menü "Anspruchsregelvorlage" die Option "Transform an Incoming Claim" aus, und klicken Sie dann auf "Next".

  16. Konfigurieren Sie die folgenden Optionen:

    • Name der Anspruchsregel

    • Eingehender Anspruchstyp – Verwendungswert UPN

    • Ausgehender Anspruchstyp als NameID

    • Ausgehendes NameID-Format

  17. Wählen Sie Alle Anspruchswerte durch, und klicken Sie dann auf Fertig stellen.

  18. Wenn Sie JSA so konfiguriert haben, dass das bereitgestellte QRadar_SAML-Zertifikat für SAML verwendet wird, kopieren Sie die zuvor heruntergeladenen Root-CA-, Zwischen- und CRL-Dateien in ein Verzeichnis auf dem Windows-Server. Öffnen Sie dann ein Befehlszeilenfenster als Administrator unter Windows OS und geben Sie die folgenden Befehle ein:

    Die Dateien befinden sich in /opt/qradar/ca/www.

Fehlerbehebung bei DER SAML-Authentifizierung

Verwenden Sie die folgenden Informationen, um Fehler und Probleme bei der Verwendung von SAML 2.0 mit JSA zu beheben.

Fehler beim Anmelden oder Abmelden

Wenn das Einmalige Anmelden oder einzelne Abmelden fehlschlägt, stellen Sie sicher, dass die JSA SAML-Metadaten, die Sie in den Identitätsanbieter hochgeladen haben, den neuesten auf bereitgestellten Metadaten auf https://<yourjsaserverhostname>/console/SAMLMetadata. Stellen Sie außerdem sicher, dass Sie die Stammzertifizierungsstelle, die Root-CA-CRL, die Zwischenzertifizierungsstelle und die Zwischen-CA-CRL-Dateien Des ausgewählten Zertifikats an den richtigen Speicherort der Zertifikatspeicher des IDP-Servers hochgeladen haben. Wenn das bereitgestellte QRadar_SAML Zertifikat verwendet wird, können Sie diese Dateien unter:

Hinweis:

Wenn Sie das bereitgestellte QRadar_SAML-Zertifikat verwenden, sind die obigen Schritte erforderlich, nachdem Sie die JSA aus einem Backup wiederherstellen.

Konto nicht autorisiert

Bestimmte Konfigurationsprobleme können zu diesem Fehler führen:

This account is not authorized to access JSA. Logout from your SAML identity provider and use an authorized account to login.

Wenn Sie die lokale Autorisierung verwenden, stellen Sie sicher, dass die NameID in der SAML-Assertion mit einem vorhandenen JSA-Benutzernamen übereinstimmt und der Benutzer bereitgestellt wird.

Wenn Sie die Benutzerattributeautorisierung verwenden, stellen Sie sicher, dass die SAML-Assertion das konfigurierte Rollen- und Sicherheitsprofil-Attribut mit Werten enthält, die einer vorhandenen bereitgestellten Rolle und einem sicherheitsprofil in JSA entsprechen. Wenn Sie eine Rolle mit Admin-Funktionen verwenden, muss der Wert des Sicherheitsprofil-Attributs Admin sein. Wenn die Assertion ein Mandantenattribute in einer Umgebung mit mehrfacher Mandantenfähigkeit enthält, stellen Sie sicher, dass der Wert des Attributs mit einem vorhandenen Mandanten in JSA übereinstimmt.

Protokolldateien

Sie können viele andere Probleme diagnostizieren, indem Sie die Serverprotokolle des Identitätsanbieters und das Protokoll /var/log/ qradar.error verwenden.

Systemanmeldung zur Untersuchung wiederherstellen

Um Probleme mit SAML 2.0 zu untersuchen, können Sie JSA wiederherstellen, um die Standard-Systemanmeldung zu verwenden.

Kopieren Sie den Inhalt von /opt/qradar/conf/templates/login.conf in /opt/qradar/conf/ login.conf

Alternativ können Sie die Datei /opt/qradar/conf/login.conf bearbeiten und ändern

ModuleClass=com.q1labs.uiframeworks.auth.configuration.SAMLLoginModule

An

ModuleClass=com.q1labs.uiframeworks.auth.configuration.LocalPasswordLoginConfiguration

Löschen Sie den Browsercache und melden Sie sich als Admin-Benutzer an. Nachdem Sie Ihre Untersuchung abgeschlossen haben, ändern Sie das Attribut wieder in SAMLLoginModule und löschen Sie den Browser-Cache erneut.

Nach der Anmeldung bei einem Identitätsanbieter kann die JSA-Konsole nicht erreicht werden

Stellen Sie sicher, dass der Hostname für die JSA-Konsole vom lokalen DNS-Server aufgelöst werden kann. Stellen Sie außerdem sicher, dass Ihr Computer die JSA-Konsole erreichen kann, indem Sie den Hostnamen verwenden.

Anmelde- oder Abmeldefehler auf dem IDP-Server

Überprüfen Sie die IDP-Serverprotokolle, um festzustellen, ob die Fehler durch Fehler bei den Sperrprüfungen für CRL verursacht wurden. In diesem Fall importieren Sie die zertifikats-CRLs der QRadar_SAML in den IDP-Server, oder stellen Sie sicher, dass der IDP-Server die JSA-Konsole über eine HTTP-Verbindung erreichen kann.

Identitätsanbieterzertifikat ist abgelaufen

Wenn das Zertifikat in der Metadatendatei für Identitätsanbieter abgelaufen ist, können Sie sich nicht bei JSA anmelden, und der folgende Fehler wird in der Datei /var/log/qradar.error angezeigt:

com.q1labs.uiframeworks.auth.saml.metadata.DefaultMetadataServiceImpl: [ERROR] NotAfter: <date> java.security.cert.CertificateExpiredException: NotAfter:

Um dieses Problem zu beheben, bitten Sie Ihren Identitätsanbieter, das Zertifikat in der Metadatendatei zu aktualisieren, und konfigurieren Sie dann SAML in JSA neu, um die neue IDP-Metadatendatei zu verwenden.

QRadar_SAML Zertifikat ist abgelaufen

Eine JSA-Systembenachrichtigung wird angezeigt, wenn das QRadar_SAML-Zertifikat bald abläuft.

Bevor das Zertifikat abläuft, müssen Sie es erneuern.

  1. Klicken Sie auf der Registerkarte Admin auf Authentifizierung.

  2. Klicken Sie auf Authentifizierungsmoduleinstellungen.

  3. Wählen Sie in der Liste Authentifizierungsmodul SAML 2.0 aus.

  4. Klicken Sie auf Erneuern , um das QRadar_SAML-Zertifikat zu erneuern.

  5. Klicken Sie auf Authentifizierungsmodul speichern.

    Die JSA SAML-Metadatendatei wird automatisch heruntergeladen.

  6. Klicken Sie auf die Links in der QuickInfo, um die JSA-Stammzertifizierungsstelle und das Zwischenzertifizierungszertifikat sowie die CRL-Dateien herunterzuladen.

  7. Klicken Sie auf der Registerkarte Admin auf Änderungen bereitstellen.

  8. Senden Sie die folgenden Dateien an Ihren IDP-Server, um die Änderungen bereitzustellen.

    • JSA-Metadatendatei

    • JSA-Stamm-CA-Zertifikat

    • JSA Intermediate CA-Zertifikat

    • CRL Dateien

Drittanbieterzertifikat ist abgelaufen

Sie müssen das bei der JSA bereitgestellte QRadar_SAML-Zertifikat nicht verwenden. können Sie Ihr eigenes Drittanbieterzertifikat verwenden. Wenn das Zertifikat bald abläuft, wird eine JSA-Systembenachrichtigungangezeigt.

Bevor das Drittanbieterzertifikat abläuft, müssen Sie das vorhandene Zertifikat aktualisieren oder ein neues Zertifikat hinzufügen.

  1. Klicken Sie auf Authentifizierungsmoduleinstellungen.

  2. Wählen Sie in der Liste Authentifizierungsmodul SAML 2.0 aus.

  3. Klicken Sie auf Hinzufügen oder Aktualisieren.

  4. Klicken Sie auf Authentifizierungsmodul speichern.

    Die JSA SAML-Metadatendatei wird automatisch heruntergeladen.

  5. Klicken Sie auf die Links in der QuickInfo, um die JSA-Stammzertifizierungsstelle und das Zwischenzertifizierungszertifikat sowie die CRL-Dateien herunterzuladen.

  6. Klicken Sie auf der Registerkarte Admin auf Änderungen bereitstellen.

  7. Senden Sie die folgenden Dateien an Ihren IDP-Server, um die Änderungen bereitzustellen.

    • JSA-Metadatendatei

    • JSA-Stamm-CA-Zertifikat

    • JSA Intermediate CA-Zertifikat

    • CRL Dateien

Ähnliche Dokumentation