为 Tenable One 配置 SAML 集成
在 Tenable One 实例上配置 SAML 以使用 SSO 访问 OT Security。
Tenable One“工作区”页面上的“OT 风险暴露”磁贴默认禁用。要启用“OT 风险暴露”磁贴,必须首先为 Tenable One 配置 SAML。
开始之前
-
确保您具有有效的 Tenable One 和 OT Security 许可证。
如要配置 Tenable OT Security 的 SAML,请执行以下操作:
-
从 Tenable One 中检索 SAML 身份提供程序 (IDP) 详细信息和组对象 ID:
-
使用支持的浏览器,登录 https://cloud.tenable.com 以访问“工作区”页面。
-
单击右上角的
按钮。
此时会出现“设置”页面。
-
单击“SAML”磁贴。
此时会出现“SAML”页面。
-
单击“本地 SSO”选项卡。
此时会出现“本地 SSO”页面,其中包含 Tenable OT Security 的 SSO 配置。
-
将鼠标悬停在 Tenable OT Security 行上并单击。
IDP 详细信息面板会显示在右侧。
-
使用
按钮复制这些详细信息。
- IDP 实体 ID
-
IDP URL
-
IDP 证书
-
单击
“下载文件”以将证书下载到本地系统。
-
检索组的映射数据。要查找组对象 ID 信息,请转至“设置”>“访问控制”>“组”,然后查找或添加相关组。
例如:在 Tenable One 中,创建两个组:OT Administrators 和 OT Read-Only。要将其映射到 OT Security 中的用户角色,请将组名称添加到 OT Security SAML 页面中相应的 Administrators 组对象 ID 和 Read-Only 用户组对象 ID 字段。
-
-
在 OT Security 中配置 SAML:
-
登录 OT Security。
-
转至“本地设置”>“用户管理”>“SAML”。
此时会出现“SAML”页面。
-
要编辑现有配置,请单击“配置”或“编辑”。
此时会出现“配置 SAML”页面。
-
提供从“Tenable One SAML”>“本地 SSO”页面复制的以下详细信息:
-
在“IDP ID”框中,粘贴从 Tenable One SAML 页面复制的 IDP 实体 ID。
-
在“IDP URL”框中,粘贴从 Tenable One SAML 页面复制的 IDP URL。
-
在“证书数据”框中,浏览您下载证书文件的位置并将其上传。
-
在“用户名属性”框中,输入:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress。
-
在“组属性”框中,输入“groups”(必须为小写且不能是 Groups)。
-
提供从 Tenable One 检索的组对象 ID 信息。
例如:在步骤 h 中,您在 Tenable One 中创建了两个组:OT Administrators 和 OT Read-Only。将这些组名称添加到“配置 SAML”页面中相应的 Administrators 组对象 ID 和 Read-Only 用户组对象 ID 字段。
-
单击“保存”。
OT Security 会保存配置并显示以下信息:
重要说明:保存配置后,请勿重新启动。请仅在完成 OT Security 和 Tenable One 上的配置步骤后才重新启动。 -
在“SAML”页面上,复制以下值。Tenable One 上的最终配置需要这些值。
-
-
-
完成 Tenable One 上的最终配置:
-
重新启动 OT Security。
Tenable 在“工作区”页面上启用“OT 风险暴露”磁贴。单击“OT 风险暴露”磁贴并访问 OT Security。