Integration mit einem SAML-IdP
Tanium as a Service ist für die Integration mit Ihrem Identitätsanbieter (IDP) für Security Assertion Markup Language (SAML) vorkonfiguriert.
SAML-Übersicht
Security Assertion Markup Language (SAML) ist ein Standard für den Austausch von Authentifizierungsanfragen und -antworten zwischen Dienstanbietern (SPs) und Identitätsanbietern (IdPs). Er ermöglicht es SPs, Benutzern Zugriff auf Anwendungen über mehrere Sicherheitsdomains zu gewähren und zwar über einen Single Sign-on (SSO)-Authentifizierungsdienst, den der IdP bereitstellt. Nach Erhalt einer Authentifizierungsanforderung reagiert der IdP mit einer SAML-Assertion, d. h. mit einer Meldung, die anzeigt, ob ein Benutzer erfolgreich authentifiziert wurde. Im Kontext der Tanium Core Platform bedeutet das Aktivieren von SAML die Konfiguration des Tanium Servers als Dienstanbieter (Service Provider, SP), um Benutzern Zugriff auf die Tanium Console zu gewähren. Sie können die folgenden Arten der SAML-SSO-Authentifizierung für den Zugriff auf die Konsole konfigurieren:
- Tanium Server 7.2.314.3181 und neuer wird mit Okta als IdP integriert und unterstützt die IdP-initiierte SSO-Anmeldung.
- Tanium Server 7.2.314.3476 und später wird mit einem beliebigen IdP integriert und unterstützt sowohl IdP-initiierte als auch SP-initiierte SSO.
Nach der Anmeldung beim IdP kann ein Benutzer wiederholt neue Tanium Console-Sitzungen starten, ohne sich erneut authentifizieren zu müssen, bis die IdP-Sitzungszeit abgelaufen ist. Der Zeitablauf für die IdP-Sitzung wird auf dem IdP-Server konfiguriert. Weitere Informationen erhalten Sie von Ihrem IdP-Administrator.
Sie können den Tanium Server so konfigurieren, dass er sowohl von IdP als auch von SP initiierte SSO oder nur von IdP initiierte SSO unterstützt. Nur SP-initiierte SSO können Sie nicht konfigurieren.
Behalten Sie mindestens ein Benutzerkonto auf dem Tanium Server bei, das keine SAML-Authentifizierung erfordert, und weisen Sie diesem Konto die reservierte Administratorrolle zu. Sie können dieses Konto verwenden, um auf die Tanium Console zuzugreifen, falls die SAML-Authentifizierung nicht mehr funktioniert (z. B. wenn die Verbindung zum IdP ausfällt).
Der Tanium Server unterstützt keine Benutzerautorisierung (RBAC) über SAML. Um die Funktionen, Einstellungen und Informationen zu steuern, die Benutzer nach dem Zugriff auf die Tanium Console sehen und verwenden dürfen, konfigurieren Sie die Benutzerrollenberechtigungen. Einzelheiten finden Sie unter RBAC-Übersicht.
Nur Benutzer, die über die reservierte Administratorrolle verfügen, können die SAML-Konfiguration sehen und verwalten.
IdP-initiierte SSO
In einigen Unternehmen wird von Benutzern erwartet, dass sie auf viele oder alle Anwendungen zugreifen können, indem sie sich in einem einzigen SSO-Portal anmelden, das vom Unternehmens-IdP zur Verfügung gestellt wird. Nachdem Sie SAML auf dem Tanium Server aktiviert haben, können Benutzer über das IdP SSO-Portal auf die Tanium Console zugreifen. Ein IdP-initiierter Arbeitsablauf besteht aus den folgenden Phasen (entsprechend den Zahlen in Abbildung 1):
|
Ein Benutzer meldet sich beim IdP SSO-Portal mit einem Unternehmensbenutzernamen und einem Passwort an und klickt auf eine Anwendungskachel (in diesem Beispiel auf die Kachel der Tanium Console). |
|
Der IdP gibt eine signierte Antwort (die eine SAML-Assertion enthält) zurück, die anzeigt, dass der Benutzer erfolgreich authentifiziert wurde. Der Browser des Benutzers leitet die Antwort automatisch an den SP (in diesem Beispiel der Tanium Server) weiter. |
|
Der SP verwendet das IdP-Zertifikat, um zu verifizieren, dass die SAML-Antwort-Signatur gültig ist. |
|
Der SP stellt den Benutzerzugriff auf die Anwendung bereit. |

SP-initiierte SSO
Ein SP-initiierter Arbeitsablauf besteht aus den folgenden Phasen (entsprechend den Zahlen in Abbildung 2):
|
Der Benutzer versucht, auf die Anwendung (die Tanium Console in diesem Beispiel) direkt über den SP (der Tanium Server in diesem Beispiel) zuzugreifen. |
|
Der SP leitet den Benutzer zur Authentifizierung über den IdP weiter. Der Browser des Benutzers verarbeitet die Umleitung automatisch. |
|
Der Benutzer meldet sich beim IdP an. |
|
Der IdP gibt eine signierte Antwort (die eine SAML-Assertion enthält) zurück, die anzeigt, dass der Benutzer erfolgreich authentifiziert wurde. Der Browser des Benutzers leitet die Antwort automatisch an den SP weiter. |
|
Der SP verwendet das IdP-Zertifikat, um zu verifizieren, dass die SAML-Antwort-Signatur gültig ist. |
|
Der SP stellt den Benutzerzugriff auf die Anwendung bereit. |

Bevor Sie beginnen
-
Arbeiten Sie mit dem IdP-Administrator zusammen, um zu ermitteln, welche Benutzer auf die Tanium Console über den IdP zugreifen müssen. Der IdP-Administrator ist für die Konfiguration der Authentifizierung über einen AD- oder LDAP -Server und für die Verwaltung des Benutzerzugriffs über den IdP verantwortlich. Informationen zur Einrichtung einer Anwendung über einen IdP finden Sie in der IdP-Dokumentation.
Ein Administrator muss die Tanium Console-Benutzer erstellen, wenn sie lokal auf dem Tanium Server vorhanden sind (siehe Einen Benutzer erstellen), oder muss die Benutzer von einem LDAP-Server importieren (siehe Integration mit LDAP-Servern).
- Arbeiten Sie mit dem IdP-Administrator zusammen, wenn Sie Änderungen an den URLs (Uniform Resource Locators) vornehmen, in denen Benutzer von Tanium Console auf das IdP SSO-Portal zugreifen (nur IdP-initiierte SSO).
SAML-Authentifizierung konfigurieren
Führen Sie die folgenden Schritte aus, um die SP-initiierte oder IdP-initiierte SAML-SSO-Anmeldung zu aktivieren.
Wenn Sie zuvor eine Passwort-Eingabeaufforderung für Konfigurationsänderungen aktiviert haben, ändert der Tanium Server diese automatisch in eine Yes/Cancel (Ja/Abbrechen)-Aufforderung, nachdem Sie die SAML-Authentifizierung aktiviert haben.
- Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Authentication (Authentifizierung) > SAML.
- Wählen Sie einen IdP aus der Dropdown-Liste Choose an IdP (IdP auswählen) aus.
- Im Abschnitt Tanium URIs for (Tanium-URIs (Uniform Resource Identifiers) zur <IdP>Configuration (Konfiguration) kopieren Sie die Werte Single sign on URL (Single Sign-on-URL) und Audience URI (SP entity ID) (Zielgruppen-URI (SP-Entitäts-ID)) und teilen sie mit dem IdP-Administrator. Der Administrator benötigt diese Informationen, um den IdP für die Unterstützung der Tanium Console-Anwendung zu konfigurieren.
Bevor Sie die übrigen Schritte ausführen, muss der IdP-Administrator Ihnen das IdP-Zertifikat senden, das der Tanium Server verwendet, um die vom IdP-Dienst empfangenen SAML-Nachrichten zu validieren.
- Im Abschnitt <IdP>Configuration Information (Konfigurationsinformationen) verwenden Sie die Steuerelemente, um die IdP-Zertifikatsdatei hochzuladen. Später in diesem Verfahren, nachdem Sie alle Ihre Änderungen an der Konfiguration gespeichert haben, zeigt dieser Abschnitt den Zertifikatsnamen als Link an, auf den Sie klicken können, um ein Popup-Fenster mit dem Inhalt des Zertifikats zu öffnen.
- (Nur benutzerdefinierte IdP) Konfigurieren Sie die folgenden Einstellungen im Abschnitt Custom IdP Settings (Benutzerdefinierte IdP-Einstellungen). Alle Einstellungen sind erforderlich, sofern anderweitig angegeben. Diese Einstellungen beziehen sich auf Elemente, Attribute und Werte in den XML-basierten SAML-Antwortnachrichten, die der IdP an den Tanium Server sendet, nachdem Benutzer versucht haben, authentifiziert zu werden.
- (Nur SP-initiierte SSO) Wählen Sie im Abschnitt Vom Dienstanbieter initiierte SSO die Option Enable SP-initiated SSO (SP-initiierte SSO aktivieren) und konfigurieren Sie die folgenden erforderlichen Felder.
- Klicken Sie auf Save (Speichern), um Ihre Änderungen anzuwenden und den Tanium Server SP-Dienst zu starten.
Die Schritte zum Anmelden bei der Tanium Console über SAML SSO finden Sie unter Melden Sie sich in der Konsole an.
Einstellungen | Richtlinien |
---|---|
idp_sso_service_url | SSO-URL, bei der Benutzer den Dienst über den IdP aufrufen. Zum Beispiel: https://company.saml-provider.com/app/companyinc_tanium/dGFuaXVtc2FtbA/sso/saml. |
idp_sso_issuer | Erwartete Emittentenkennung für die SAML-Antwort. Zum Beispiel: http://www.saml-provider.com/YWJjZGVmMTIzNA. Der Wert muss mit den Werten sec_assertion_allowed_issuer und sec_response_allowed_issuer übereinstimmen. |
idp_sso_force_reauth | Wählen Sie enabled (aktiviert), wenn Sie Benutzer beim Starten einer neuen Tanium Console-Sitzung dazu bringen möchten, Zugangsdaten für die Anmeldung einzugeben, selbst wenn sie bereits für eine vorherige Sitzung authentifiziert wurden, die aufgrund einer Inaktivität oder einer manuellen Abmeldung beendet wurde. Standardmäßig ist diese Option deaktiviert und Benutzer können nur auf Sign In with SSO (Anmeldung mit SSO) klicken, um eine andere Tanium Console-Sitzung zu starten, ohne Zugangsdaten einzugeben. |
Passwortanmeldung für Tanium Console deaktivieren | Wählen Sie diese Option aus, wenn Sie alle Benutzer zwingen möchten, sich per SAML-SSO-Anmeldung zu authentifizieren, wenn sie sich bei der Tanium Console anmelden. Die Option gilt nur für den Zugriff auf die Tanium Console und verhindert nicht den Zugriff auf die Tanium Server-CLI oder -API über eine andere Authentifizierungsmethode. Sie müssen bis zu drei Minuten warten, bis Ihre Auswahl übernommen wird. Nach der Übernahme der Änderung zeigt die Anmeldeseite die Option Sign In with Password (Mit Passwort anmelden) nicht mehr an.
Wenn Sie die Anmeldung per Passwort deaktivieren und die SAML-Authentifizierung später nicht mehr funktioniert (falls z. B. die Verbindung zum IdP ausfällt), kann kein Benutzer mehr auf die Tanium Console zugreifen. In diesen Fällen müssen Sie die SP-initiierte SSO über die CLI deaktivieren, um die lokale Authentifizierung oder die LDAP-Authentifizierung per Passwort zu reaktivieren: siehe SP-initiierte SSO über die CLI deaktivieren. Um die LDAP-Authentifizierung per Passwort auf API-Ebene zu deaktivieren, deaktivieren Sie die Option Authentication in der LDAP-Serverkonfiguration. |
Erstellen eines Request-Signing Certificate.
Einige IdPs benötigen eine digitale Signatur für SAML-Anfragen von einem SP wie dem Tanium Server. Um es dem IdP zu ermöglichen, Anfragen zu authentifizieren, müssen Sie ein Request-Signing Certificate und einen privaten Schlüssel generieren. Der Tanium Server verwendet den Schlüssel zum Signieren der Anfragen und der IdP verwendet das Zertifikat, um die Signatur zu validieren.
Generieren eines Request-Signing Certificate in einer Tanium Appliance-Verteilung
Um zu erfahren, wie Sie ein Request-Signing Certificate in einer Tanium Appliance-Verteilung generieren, Tanium Support.
Generieren eines Request-Signing Certificate in einer Windows-Verteilung
- Öffnen Sie die CLI auf dem Tanium Server. Falls erforderlich, können Sie die Berechtigungen erweitern, um die Befehlseingabe als Administrator zu öffnen.
- Navigieren Sie zum Tanium Server-Installationsordner.
- Führen Sie den folgenden Befehl aus, um das Zertifikat und den privaten Schlüssel zu generieren.
Geben Sie für <hostname>den FQDN des Tanium Servers an. Bei einer Aktiv-Aktiv-Verteilung trennen Sie die Hostnamen durch ein Komma (z. B. ts1.example.com,ts2.example.com). Sie müssen SAMLEncryption als Zertifikat und Schlüsseldateinamen angeben, damit der Server sie für die SAML-Kommunikation verwenden kann. Das Dienstprogramm fügt automatisch die .crt- und .key-Suffixe an die Dateinamen der Zertifikats- und Schlüsseldatei an.
KeyUtility selfsign <hostname> SAMLEncryption
Das Dienstprogramm generiert das Zertifikat und den Schlüssel auf der obersten Ebene des Tanium Server-Installationsordners. Solange die Dateien dort bleiben, verwendet der Tanium Server automatisch das Zertifikat und den Schlüssel, um die SAML-Kommunikation zu sichern.
Alternativ können Sie die Einstellungen SAMLEncryptionCertPath und SAMLEencryptionKeyPath auf den Tanium Server hinzufügen, um andere Dateinamen und Speicherorte für das Zertifikat und den Schlüssel zu konfigurieren. Tanium Support.
- Stellen Sie das Zertifikat dem IdP zur Verfügung. Arbeiten Sie mit Ihrem IdP-Administrator zusammen, um den IdP für die Verwendung des Zertifikats zu konfigurieren.
SP-initiierte SSO über die CLI deaktivieren
Wenn Sie die von SP initiierte SSO deaktivieren müssen, ohne auf die Tanium Console zuzugreifen, können Sie die globale Einstellung console_saml_sp_enabled über die CLI festlegen.
Deaktivieren Sie SSO in einer Tanium Appliance-Verteilung
Tanium Support, um die Schritte zum Deaktivieren von SSO in einer Tanium Appliance-Verteilung zu erhalten.
Deaktivieren von SSO in einer Windows-Verteilung
- Öffnen Sie die CLI auf dem Tanium Server. Falls erforderlich, können Sie die Berechtigungen erweitern, um die Befehlseingabe als Administrator zu öffnen.
- Navigieren Sie zum Tanium Server-Installationsordner.
- Führen Sie den folgenden Befehl aus:
TaniumReceiver global-settings set console_saml_sp_enabled 0
Warten Sie bis zu einer Minute, damit die Änderung wirksam wird, oder starten Sie den Tanium Server-Dienst neu, um die Änderung sofort anzuwenden. Sie finden den Tanium Server-Dienst im Windows-Dienste-Programm.
Den Tanium Server-SAML-SP-Dienst deaktivieren
Wenn Sie die Funktion des Tanium Servers als SAML-SP beenden müssen, können Sie den SP-Service stoppen, indem Sie die IdP-Einstellungen entfernen.
- Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Authentication (Authentifizierung) > SAML.
- Stellen Sie Choose an IdP (IdP auswählen) auf No Provider (Kein Anbieter) und klicken Sie auf Save (Speichern).
Zuletzt aktualisiert: 20.09.202116:09 | Feedback