附录:Microsoft Entra ID 的 SAML 集成

OT Security 支持按照 SAML 协议与 Microsoft Entra ID 集成。因此,分配到 OT Security 的 Azure 用户能够通过 SSO 登录 OT Security。您可以根据用户在 Azure 中被分配到的组使用组映射在 OT Security 中分配角色。

此部分说明针对 OT SecurityMicrosoft Entra ID 的集成设置单点登录 (SSO) 的完整流程。配置涉及以下操作:通过在 Microsoft Entra ID 中创建 OT Security 应用程序来建立集成、输入有关所创建的 OT Security 应用程序的信息、将身份提供程序的证书上传到 OT Security SAML 页面,以及将身份提供程序中的组映射到 OT Security 中的用户组。

要设置配置,需要以管理员用户的身份登录 Microsoft Entra IDOT Security

第 1 步:在 Microsoft Entra ID 中创建 Tenable 应用程序

若要在 Microsoft Entra ID 中创建 Tenable 应用程序,请执行以下操作:

  1. Microsoft Entra ID 中,转至“Microsoft Entra ID”>“Enterprise 应用程序”, 单击“+ 新建应用程序”会显示“浏览 Microsoft Entra ID Gallery”,然后单击“+ 创建专属应用程序”。

    随后将显示“创建专属应用程序”侧面板。

  2. 在“应用程序的名称是什么?”字段中,输入应用程序的名称(例如 Tenable_OT)并选择“集成库中未找到的任何其他应用程序(非库)”(默认选中),然后单击“创建”以添加应用程序。

第 2 步:初始配置

此步骤是在 Azure 中完成 OT Security 应用程序的初始配置,包括为基本 SAML 配置值标识符和回复 URL 创建临时值,以便下载所需证书。

注意:仅此程序中的指定字段为必须配置的内容。其他字段可保留其默认值。

若要进行初始配置,请执行以下操作:

  1. 在“Microsoft Entra ID”导航菜单中,单击“单点登录”, 然后选择“SAML”作为单点登录方法。

    此时会显示“基于 SAML 的登录”屏幕。

  2. 在第 1 部分(基本 SAML 配置)中,单击编辑

    此时会显示“基本 SAML 配置”侧面板。

  3. 在“标识符(实体 ID)”字段中,输入 Tenable 应用程序的临时 ID(例如,tenable_ot)。

  4. 在“回复 URL(断言消费者服务 URL)”字段中,输入有效的 URL(例如,https://OT Security)。

    注意:标识符和回复 URL 将在稍后的配置过程中发生更改。
  5. 单击“保存”以保存临时值并关闭“基本 SAML 配置”侧面板。

  6. 在第 4 部分(设置),单击“复制”图标以复制 Microsoft Entra ID 标识符

  7. 切换到 OT Security 控制台,然后转至“用户和角色”>“SAML”。

  8. 单击“配置”以显示“配置 SAML”侧面板,并将复制的值粘贴到“IDP ID”字段中。

  9. Azure 控制台中,单击图标以复制登录 URL

  10. 返回 OT Security 控制台并将复制的值粘贴到“IDP URL”字段中。

  11. Azure 控制台的第 3 部分(SAML 证书)中,对于证书 (Base64),单击“下载”。

  12. 返回 OT Security 控制台,在“证书数据”下,单击“浏览”,导航至安全证书文件并选中。

  13. Azure 控制台的第 2 部分(属性和声明)中,单击“编辑”。

  14. 在“其他声明”下,选择并复制与值 user.userprincipalname 对应的声明名称 URL。

  15. 返回 Tenable 控制台并将此 URL 粘贴到“用户名属性”字段中。

  16. 在 Azure 控制台中,单击“+ 添加组声明”以显示“组声明”侧面板,然后在“声明中应返回哪些与此用户关联的组?”下,选择“所有组”并单击“保存”。

    注意:如果在 Microsoft Azure 中启用了组设置,可选择“分配给应用程序的组”而不是“所有组”,并且 Azure 仅会提供分配给应用程序的用户组。
  17. 在“其他声明”下,突出显示并复制与值 user.groups [All] 关联的声明名称 URL。

  18. 返回 Tenable 控制台并将复制的 URL 粘贴到“组属性”字段中。

  19. 如果要添加关于 SAML 配置的说明,请在“说明”字段中输入。

第 3 步:将 Azure 用户映射到 Tenable

在此步骤中,Microsoft Entra ID 用户会被分配到 OT Security 应用程序。如需对可授予每个用户的权限作出指定,请在用户分配到的 Azure 组与预定义的 OT Security 用户组(拥有关联的角色和一组权限)之间进行映射操作。OT Security 预定义的用户组为:管理员、只读用户、安全分析师、安全经理、站点操作员和主管。有关更多信息,请参阅“用户和角色”。必须为每个 Azure 用户至少分配一个映射至 OT Security 用户组的组。

注意:通过 SAML 登录的管理员用户被视为管理员(外部)用户,且未被授予本地管理员的所有权限。分配到多个用户组的用户可能被授予最高的组权限。

若要将 Azure 用户映射到 OT Security,请执行以下操作:

  1. Microsoft Azure中,导航至“用户和组”页面,然后单击“+ 添加用户/组”。

  2. 在“添加分配”屏幕的“用户”下,单击“未选择”。

    此时会出现“用户”侧面板。

    注意:如果在 Microsoft Azure 中启用了组设置并在之前选择了“分配给应用程序的组”而不是“所有组”,则可以选择分配组而不是单个用户。
  3. 搜索并单击所有所需用户,然后单击“选择”,再单击“分配”以将其分配至应用程序。

    此时会出现“用户和组”页面。

  4. 单击用户(或组)的“显示名称”可显示该用户(或组)的配置文件。

  5. 在“配置文件”屏幕的左侧导航栏中,选择“”以显示“”屏幕。

  6. 在“对象 ID”下,突出显示并复制将映射到 Tenable 的组的值。

  7. 返回 OT Security 控制台并将复制的值粘贴到所需的组对象 ID 字段(例如,管理员组对象 ID)。

  8. 对要映射到 OT Security 中不同用户组的每个组重复步骤 1-7。

  9. 单击“保存”以保存操作并关闭侧面板。

    SAML 屏幕将显示在 OT Security 控制台中,并包含已配置的信息。

第 4 步:完成 Azure 中的配置

若要完成 Azure 中的配置,请执行以下操作:

  1. OT Security SAML 屏幕中,单击“实体 ID”下的复制图标。

  2. 切换到“Azure”屏幕,然后单击左侧导航菜单中的“单点登录”以打开“基于 SAML 的登录”页面。

  3. 在第 1 部分(基本 SAML 配置)中,单击“编辑”,然后将复制的值粘贴到“标识符(实体 ID)”字段中,以替换之前输入的临时值。

  4. 返回“OT Security SAML”屏幕,单击“URL”下的复制图标。

  5. Azure 控制台和“基本 SAML 配置”侧面板中,将复制的 URL 粘贴到“回复 URL(断言消费者服务 URL)”下方,以替换之前输入的临时 URL。

  6. 单击“保存”以保存配置并关闭侧面板。

    配置完成,“Azure Enterprise 应用程序”屏幕即会显示连接情况。

第 5 步:激活集成

若要激活 SAML 集成,则必须重新启动 OT Security。用户可立即重新启动系统或选择稍后重新启动。

若要激活集成,请执行以下操作:

  1. OT Security 控制台的“SAML”屏幕上,单击以将“SAML 单点登录”按钮切换为“打开”。

    此时会显示“系统重新启动”通知窗口。

  2. 单击“立即重新启动”以重新启动系统并立即应用 SAML 配置,或单击“稍后重新启动”以将应用 SAML 配置延迟到下次系统重新启动时。如果您选择稍后重新启动,以下标题栏会在重新启动完成之前一直显示:

使用 SSO 登录

重新启动后,OT Security 登录窗口的“登录”按钮下方会出现一个新的“通过 SSO 登录”链接。分配至 OT Security 的 Azure 用户可以使用 Azure 帐户登录 OT Security

若要使用 SSO 登录,请执行以下操作:

  1. OT Security 登录屏幕上,单击“通过 SSO 登录”链接。

    如果已登录 Azure,则会直接进入 OT Security 控制台,否则会重定向至 Azure 登录页面。

    拥有多个帐户的用户将被重定向至 Microsoft“选择帐户”页面,以便选择所需的帐户进行登录。