为 Tenable One 配置 SAML 集成

在 Tenable One 实例上配置 SAML 以使用 SSO 访问 OT Security。

Tenable One“工作区”页面上的“OT 风险暴露”磁贴默认禁用。要启用“OT 风险暴露”磁贴，必须首先为 Tenable One 配置 SAML。

开始之前

• 确保您具有有效的 Tenable One 和 OT Security 许可证。

如要配置 Tenable OT Security 的 SAML，请执行以下操作：

1. 从 Tenable One 中检索 SAML 身份提供程序 (IDP) 详细信息和组对象 ID：

   1. 使用支持的浏览器，登录 https://cloud.tenable.com 以访问“工作区”页面。

   2. 单击右上角的 按钮。

      此时会出现“设置”页面。

   3. 单击“SAML”磁贴。

      此时会出现“SAML”页面。

   4. 单击“本地 SSO”选项卡。

      此时会出现“本地 SSO”页面，其中包含 Tenable OT Security 的 SSO 配置。

      

   5. 将鼠标悬停在 Tenable OT Security 行上并单击。

      IDP 详细信息面板会显示在右侧。

      

   6. 使用 按钮复制这些详细信息。

      • IDP 实体 ID

      • IDP URL

      • IDP 证书

   7. 单击 “下载文件”以将证书下载到本地系统。

   8. 检索组的映射数据。要查找组对象 ID 信息，请转至“设置”>“访问控制”>“组”，然后查找或添加相关组。

      例如：在 Tenable One 中，创建两个组：OT Administrators 和 OT Read-Only。要将其映射到 OT Security 中的用户角色，请将组名称添加到 OT Security SAML 页面中相应的 Administrators 组对象 ID 和 Read-Only 用户组对象 ID 字段。

      

2. 在 OT Security 中配置 SAML：

   1. 登录 OT Security。

   2. 转至“本地设置”>“用户管理”>“SAML”。

      此时会出现“SAML”页面。

   3. 要编辑现有配置，请单击“配置”或“编辑”。

      此时会出现“配置 SAML”页面。

   4. 提供从“Tenable One SAML”>“本地 SSO”页面复制的以下详细信息：

      1. 在“IDP ID”框中，粘贴从 Tenable One SAML 页面复制的 IDP 实体 ID。

      2. 在“IDP URL”框中，粘贴从 Tenable One SAML 页面复制的 IDP URL。

      3. 在“证书数据”框中，浏览您下载证书文件的位置并将其上传。

      4. 在“用户名属性”框中，输入：http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress。

      5. 在“组属性”框中，输入“groups”（必须为小写且不能是 Groups）。

      6. 提供从 Tenable One 检索的组对象 ID 信息。

         例如：在步骤 h 中，您在 Tenable One 中创建了两个组：OT Administrators 和 OT Read-Only。将这些组名称添加到“配置 SAML”页面中相应的 Administrators 组对象 ID 和 Read-Only 用户组对象 ID 字段。

         

      7. 单击“保存”。

         OT Security 会保存配置并显示以下信息：

         

         重要说明：保存配置后，请勿重新启动。请仅在完成 OT Security 和 Tenable One 上的配置步骤后才重新启动。

      8. 在“SAML”页面上，复制以下值。Tenable One 上的最终配置需要这些值。

         • 实体 ID

         • URL

           

3. 完成 Tenable One 上的最终配置：

   1. 在 Tenable One 中，导航至“设置”>“SAML”>“本地 SSO”页面。

      此时会出现“本地 SSO”页面，其中包含 Tenable OT Security 的 SSO 配置。

   2. 单击 OT Security 行。

      此时会出现 OT Security 配置详细信息面板。

   3. 提供从 OT Security SAML 页面复制的身份验证回调 URL 以及 SP 实体 ID 详细信息。

      

   4. 单击“保存”。

      OT Security 会保存 SAML 配置。

4. 重新启动 OT Security。

   Tenable 在“工作区”页面上启用“OT 风险暴露”磁贴。单击“OT 风险暴露”磁贴并访问 OT Security。