Demo Starten

SAML-Single-Sign-On mit JumpCloud konfigurieren

Sie können Ihr ExtraHop-System so konfigurieren, dass sich Benutzer über den JumpCloud-Identitätsverwaltungsdienst am System anmelden können.

Before you begin

  • Sie sollten mit der Verwaltung von JumpCloud vertraut sein.
  • Sie sollten mit der Verwaltung von ExtraHop-Systemen vertraut sein.

Bei diesen Verfahren müssen Sie Informationen zwischen dem ExtraHop-System und JumpCloud kopieren und einfügen. Daher ist es hilfreich, jedes System nebeneinander zu öffnen.

SAML auf dem ExtraHop-System aktivieren

  1. Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
  2. Klicken Sie im Abschnitt Zugriffseinstellungen auf Fernauthentifizierung.
  3. Aus dem Methode der Fernauthentifizierung Drop-down-Menü, wählen SAML.
  4. Klicken Sie Weiter.
  5. Klicken Sie SP-Metadaten anzeigen. Sie müssen die ACS-URL und die Entitäts-ID kopieren, um sie im nächsten Verfahren in die JumpCloud-Konfiguration einzufügen.

SAML-Einstellungen in JumpCloud konfigurieren

  1. Melden Sie sich bei der JumpCloud-Administratorkonsole an über https://console.jumpcloud.com/.
  2. Klicken Sie im linken Bereich unter Benutzerauthentifizierung auf SSO.
  3. Klicken Sie Neue Anwendung hinzufügen.
  4. Klicken Sie Benutzerdefinierte SAML-App.
  5. Auf dem Neues SSO Seite, in der Allgemeine Informationen Abschnitt, geben Sie einen Namen zur Identifizierung des ExtraHop-Systems in der Etikett anzeigen Feld.
  6. Klicken Sie auf SSO Tabulatortaste und Konfiguration der folgenden Felder:

    IdP-Entitäts-ID:

    Geben Sie eine beliebige Zeichenfolge ein. Diese ID ist erforderlich, wenn Sie den Identitätsanbieter auf dem ExtraHop-System konfigurieren.

    SP-Entitäts-ID: Geben Sie die Entitäts-ID aus dem ExtraHop-System ein oder fügen Sie sie ein.

    ACS-URLs: Geben Sie die URL des Assertion Consumer Service (ACS) aus dem ExtraHop-System ein oder fügen Sie sie ein.

    SP-Zertifikat: Lassen Sie dieses Feld leer, damit JumpCloud ein neues Zertifikat generiert. Alternativ können Sie Ihr eigenes Zertifikat bereitstellen.

    SAML-Betreff-Name-ID: Wählen E-Mail senden aus dem Drop-down-Menü.

    SAMLSubject-NameID-Format: Wählen urn:oasis:names:tc:SAML:2.0:nameid-format:persistent aus dem Drop-down-Menü.

    Signatur-Algorithmus: Wählen RSA-SHA256 aus dem Drop-down-Menü.

    Standard-RelayState: Lassen Sie dieses Feld leer.

    Anmelde-URL: Lassen Sie dieses Feld leer.

    IdP-URL: Geben Sie einen identifizierenden Namen in das Feld ein. Die URL sieht dem folgenden Beispiel ähnlich aus: https://sso.jumpcloud.com/saml2/extrahop.

  7. In der Zuordnung von Benutzerattributen Abschnitt, klicken Sie Attribut hinzufügen und geben Sie die folgenden Zeichenketten ein. Diese Attribute identifizieren den Benutzer im gesamten ExtraHop-System.
    Name des Service-Provider-Attributs JumpCloud-Attributname
    urn:oid:0.9.2342.19200300.100.1.3 E-Mail senden
    urn:oid:2.5.4.4 Nachname
    urn:oid:2.5.4.42 Vorname
  8. In der Attribute gruppieren Abschnitt, auswählen Gruppenattribut einbeziehen und geben Sie einen Namen in das Feld ein, um die Gruppe zu identifizieren. Sie geben diesen Namen an, wenn Sie Benutzerberechtigungsattribute auf dem ExtraHop-System konfigurieren.
  9. Klicken Sie auf Benutzergruppen Tab.
  10. Wählen Sie alle Gruppen aus, die Zugriff auf das ExtraHop-System haben sollen. Im folgenden Beispiel werden drei Gruppen ausgewählt.
  11. Klicken Sie aktivieren.
  12. Klicken Sie Weiter um die neuen Einstellungen zu bestätigen.
    JumpCloud generiert ein Zertifikat, nachdem die Anwendung erstellt wurde. klicken Zertifikat herunterladen und speichern Sie die Datei auf Ihrem Computer.

Fügen Sie Informationen zum Identitätsanbieter im ExtraHop-System hinzu

  1. Kehren Sie zu den Administrationseinstellungen auf dem ExtraHop-System zurück. Schließen Sie das Service Provider-Metadatenfenster, falls es noch geöffnet ist, und klicken Sie dann auf Identitätsanbieter hinzufügen.
  2. Geben Sie einen eindeutigen Namen in das Feld ein Name des Anbieters Feld. Dieser Name erscheint auf der Anmeldeseite des ExtraHop-Systems.
  3. Kopieren Sie aus JumpCloud das IdP-Entitäts-ID und füge in das Entitäts-ID Feld auf dem ExtraHop-System.
  4. Kopieren Sie aus JumpCloud das IDP-URL und füge in das SSO-URL Feld auf dem ExtraHop-System.
  5. Öffne das certificate.pem Datei in einem Texteditor, kopieren Sie die Zertifikatsdaten und fügen Sie sie in das Öffentliches Zertifikat Feld auf dem ExtraHop-System.
  6. Wählen Sie aus einer der folgenden Optionen aus, wie Sie Benutzer bereitstellen möchten.
    • Wählen Sie Benutzer automatisch bereitstellen, um ein neues Remote-SAML-Benutzerkonto auf dem ExtraHop-System zu erstellen, wenn sich der Benutzer zum ersten Mal am System anmeldet.
    • Deaktivieren Sie das Kontrollkästchen Benutzer automatisch bereitstellen und konfigurieren Sie neue Remote-Benutzer manuell über die ExtraHop-Administrationseinstellungen oder die REST-API.
  7. Das Diesen Identitätsanbieter aktivieren Die Option ist standardmäßig ausgewählt und ermöglicht es Benutzern, sich beim ExtraHop-System anzumelden. Um zu verhindern, dass sich Benutzer anmelden, deaktivieren Sie das Kontrollkästchen.
  8. Konfigurieren Sie Benutzerberechtigungsattribute. Sie müssen die folgenden Benutzerattribute konfigurieren, bevor sich Benutzer über einen Identitätsanbieter beim ExtraHop-System anmelden können. Werte sind vom Benutzer definierbar; sie müssen jedoch mit den Attributnamen übereinstimmen, die in der SAML-Antwort Ihres Identitätsanbieters enthalten sind. Bei Werten wird nicht zwischen Groß- und Kleinschreibung unterschieden und sie können Leerzeichen enthalten. Weitere Hinweise zu Berechtigungsstufen finden Sie unter Benutzer und Benutzergruppen..
    Wichtig:Sie müssen den Attributnamen angeben und mindestens einen anderen Attributwert konfigurieren Kein Zugriff um Benutzern die Anmeldung zu ermöglichen.
    In den folgenden Beispielen ist der Name des Attributs Feld ist das Gruppenattribut, das bei der Erstellung der ExtraHop-Anwendung auf dem Identity Provider konfiguriert wurde. Die anderen Attributwerte sind die Namen Ihrer Benutzergruppen. Wenn ein Benutzer Mitglied von mehr als einer Gruppe ist, wird ihm das Zugriffsrecht mit den meisten Berechtigungen gewährt.
    Feldname Beispiel für einen Attributwert
    Name des Attributs Gruppenmitgliedschaften
    System- und Zugriffsverwaltung Systemadministratoren
    Volle Schreibrechte Leitende Analysten
    Eingeschränkte Schreibrechte Analysten
    Persönliche Schreibrechte Nachwuchsanalysten
    Volle Nur-Lese-Rechte Web-Manager
    Eingeschränkte Leserechte Auftragnehmer
    Kein Zugriff Praktikanten
  9. Konfigurieren Sie den NDR-Modulzugriff.
    Feldname Beispiel für einen Attributwert
    Name des Attributs Gruppenmitgliedschaften
    Voller Zugriff Sicherheitsoperationen
    Kein Zugriff Praktikanten
  10. Konfigurieren Sie den NPM-Modulzugriff.
    Feldname Beispiel für einen Attributwert
    Name des Attributs Gruppenmitgliedschaften
    Voller Zugriff Leistungsoperationen
    Kein Zugriff Praktikanten
  11. Optional: Konfigurieren Sie den Zugriff auf Pakete und Sitzungsschlüssel. Dieser Schritt ist optional und nur erforderlich, wenn Sie einen verbundenen Packetstore und das Packet Forensics Modul haben.
    Feldname Beispiel für einen Attributwert
    Name des Attributs Gruppenmitgliedschaften
    Pakete und Sitzungsschlüssel Systemadministratoren
    Nur Pakete Leitende Analysten
    Nur Paketsegmente Analysten
    Nur Paket-Header Nachwuchsanalysten
    Kein Zugriff Praktikanten
  12. klicken Speichern.
  13. Speichern Sie die laufende Konfiguration.

Loggen Sie sich in das ExtraHop-System ein

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. klicken Loggen Sie sich ein mit <provider name>.
  3. Melden Sie sich mit Ihrer E-Mail-Adresse und Ihrem Passwort bei Ihrem Anbieter an. Sie werden automatisch zur ExtraHop-Übersichtsseite weitergeleitet.
Last modified 2025-02-04