Anhang 2 – SAML-Integration für Microsoft Entra ID

OT Security unterstützt die Integration mit Microsoft Entra ID über das SAML-Protokoll. Dies ermöglicht es Azure-Benutzern, die OT Security zugewiesen wurden, sich über SSO bei OT Security einzuloggen. Mithilfe der Gruppenzuordnung können Sie Rollen in OT Security entsprechend den Gruppen zuzuweisen, denen Benutzer in Azure zugewiesen sind.

Einrichten der Integration

In diesem Abschnitt wird der vollständige Ablauf für die Einrichtung einer Single Sign-on (SSO)-Integration für OT Security mit Microsoft Entra ID erläutert. Die Konfiguration beinhaltet die Einrichtung der Integration, indem Sie eine OT Security-Anwendung in Microsoft Entra ID erstellen, Informationen über Ihre erstellte OT Security-Anwendung eingeben, das Zertifikat Ihres Identitätsanbieters auf die OT Security-Seite „SAML“ hochladen und dann Gruppen von Ihrem Identitätsanbieter zu Benutzergruppen in OT Security zuordnen.

Um die Konfiguration einzurichten, müssen Sie sowohl bei Microsoft Entra ID als auch bei OT Security als Administrator eingeloggt sein.

Schritt 1 – Erstellen der Tenable-Anwendung in Microsoft Entra ID

So erstellen Sie die Tenable-Anwendung in Microsoft Entra ID:

  1. Gehen Sie in Microsoft Entra ID zu Microsoft Entra ID > Unternehmensanwendungen, klicken Sie auf + Neue Anwendung, um das Dialogfeld Microsoft Entra ID-Katalog durchsuchen anzuzeigen, und klicken Sie auf + Eigene Anwendung erstellen.

    Der Seitenbereich Eigene Anwendung erstellen wird angezeigt.

  2. Geben Sie im Feld Wie lautet der Name der App? einen Namen für die Anwendung ein (z. B. Tenable_OT) und wählen Sie Hiermit wird eine beliebige andere Anwendung integriert, die Sie nicht im Katalog finden (Nicht-Katalog) aus (standardmäßig aktiviert). Klicken Sie dann auf Erstellen, um die Anwendung hinzuzufügen.

Schritt 2 – Erstkonfiguration

In diesem Schritt erfolgt die Erstkonfiguration der OT Security-Anwendung in Azure. Dies umfasst das Erstellen temporärer Werte für die Werte „Bezeichner“ und „Antwort-URL“ der grundlegenden SAML-Konfiguration, um das erforderliche Zertifikat herunterladen zu können.

Hinweis: Nur die in dieser Vorgehensweise angegebenen Felder müssen konfiguriert werden. Für andere Felder können die Standardwerte übernommen werden.

So führen Sie die Erstkonfiguration durch:

  1. Klicken Sie im Navigationsmenü von Microsoft Entra ID auf Einmaliges Anmelden und wählen Sie dann SAML als Methode für einmaliges Anmelden (Single Sign-On, SSO) aus.

    Der Bildschirm SAML-basierte Anmeldung wird angezeigt.

  2. Klicken Sie in Abschnitt 1, Grundlegende SAML-Konfiguration, auf „ Bearbeiten“ .

    Der Seitenbereich Grundlegende SAML-Konfiguration wird angezeigt.

  3. Geben Sie im Feld Bezeichner (Entitäts-ID) eine temporäre ID für die Tenable-Anwendung ein (z. B. tenable_ot).

  4. Geben Sie im Feld Antwort-URL (Assertionsverbraucherdienst-URL) eine gültige URL ein (z. B. https://OT Security).

    Hinweis: Sowohl der Bezeichner als auch die Antwort-URL werden später im Konfigurationsprozess geändert.
  5. Klicken Sie auf  Speichern, um die temporären Werte zu speichern und den Seitenbereich Grundlegende SAML-Konfiguration zu schließen.

  6. Klicken Sie in Abschnitt 4, Einrichten, auf das Symbol  Kopieren, um den Microsoft Entra ID-Bezeichner zu kopieren.

  7. Wechseln Sie zur OT Security-Konsole und gehen Sie zu Benutzer und Rollen > SAML.

  8. Klicken Sie auf Konfigurieren, um den Seitenbereich SAML konfigurieren anzuzeigen, und fügen Sie den kopierten Wert in das Feld IDP-ID ein.

  9. Klicken Sie in der Azure-Konsole auf das Symbol, um die Anmelde-URL zu kopieren.

  10. Kehren Sie zur OT Security-Konsole zurück und fügen Sie den kopierten Wert in das Feld IDP-URL ein.

  11. Klicken Sie in der Azure-Konsole in Abschnitt 3, SAML-Zertifikate, für Zertifikat (Base64) auf Herunterladen.

  12. Kehren Sie zur OT Security-Konsole zurück und klicken Sie unter Zertifikatdaten auf Durchsuchen. Navigieren Sie dann zur Sicherheitszertifikatdatei und wählen Sie sie aus.

  13. Klicken Sie in der Azure-Konsole in Abschnitt 2, Attribute & Ansprüche, auf   Bearbeiten.

  14. Wählen Sie unter Zusätzliche Ansprüche die URL unter Anspruchsname aus, die dem Wert user.userprincipalname entspricht, und kopieren Sie sie.

  15. Kehren Sie zur Tenable-Konsole zurück und fügen Sie diese URL in das Feld Username-Attribut ein.

  16. Klicken Sie in der Azure-Konsole auf + Gruppenanspruch hinzufügen, um den Seitenbereich Gruppenansprüche anzuzeigen. Wählen Sie dann unter Welche dem Benutzer zugeordneten Gruppen sollen im Anspruch zurückgegeben werden? die Option Alle Gruppen aus und klicken Sie auf Speichern.

    Hinweis: Wenn die Gruppeneinstellung in Microsoft Azure aktiviert ist, können Sie „Der Anwendung zugewiesene Gruppen“ anstelle von „Alle Gruppen“ wählen. Azure stellt dann nur die Benutzergruppen bereit, die der Anwendung zugewiesen sind.
  17. Markieren und kopieren Sie unter Zusätzliche Ansprüche die URL unter Anspruchsname, die dem Wert „user.groups [All]“ zugeordnet ist.

  18. Kehren Sie zur Tenable-Konsole zurück und fügen Sie die kopierte URL in das Feld Groups-Attribut ein.

  19. Wenn Sie eine Beschreibung der SAML-Konfiguration hinzufügen möchten, geben Sie diese in das Feld Beschreibung ein.

Schritt 3 – Zuordnen von Azure-Benutzern zu Tenable-Gruppen

In diesem Schritt werden Microsoft Entra ID-Benutzer der OT Security-Anwendung zugewiesen. Die jedem Benutzer gewährten Berechtigungen werden festgelegt, indem die Azure-Gruppen, denen die Benutzer zugewiesen sind, einer vordefinierten OT Security-Benutzergruppe zugeordnet werden, die eine zugeordnete Rolle und einen Satz von Berechtigungen hat. Die vordefinierten Benutzergruppen von OT Security sind folgende: „Administratoren“, „Schreibgeschützt“ (Benutzer mit reinen Leseberechtigungen), „Sicherheitsanalysten“, „Sicherheitsmanager“, Site-Operatoren“ und „Supervisoren“. Weitere Informationen finden Sie unter Benutzer und Rollen. Jeder Azure-Benutzer muss mindestens einer Gruppe zugewiesen werden, die einer OT Security-Benutzergruppe zugeordnet ist.

Hinweis: Administratorbenutzer, die über SAML eingeloggt sind, werden als externe Administratoren betrachtet und erhalten nicht alle Berechtigungen lokaler Administratoren. Benutzern, die mehreren Benutzergruppen zugewiesen sind, werden die höchstmöglichen Berechtigungen aus ihren Gruppen gewährt.

So ordnen Sie Azure-Benutzer zu OT Security zu:

  1. Navigieren Sie in Microsoft Azure zur Seite Benutzer und Gruppen und klicken Sie auf + Benutzer/Gruppe hinzufügen.

  2. Klicken Sie im Bildschirm Zuweisung hinzufügen unter Benutzer auf Keine ausgewählt.

    Der Seitenbereich „Benutzer“ wird angezeigt.

    Hinweis: Wenn die Gruppeneinstellung in Microsoft Azure aktiviert ist und Sie zuvor Der Anwendung zugewiesene Gruppen anstelle von „Alle Gruppen“ ausgewählt haben, können Sie Gruppen anstelle von einzelnen Benutzern zuweisen.
  3. Suchen Sie nach allen gewünschten Benutzern, und klicken Sie auf sie. Klicken Sie anschließend auf Auswählen und dann auf Zuweisen, um die Benutzer der Anwendung zuzuweisen.

    Die Seite Benutzer und Gruppen wird angezeigt.

  4. Klicken Sie auf den Anzeigenamen eines Benutzers (oder einer Gruppe), um das Profil dieses Benutzers (oder dieser Gruppe) anzuzeigen.

  5. Wählen Sie im Bildschirm Profil in der linken Navigationsleiste Gruppen aus, um den Bildschirm Gruppen anzuzeigen.

  6. Markieren und kopieren Sie unter Objekt-ID den Wert für die Gruppe, die Tenable zugeordnet wird.

  7. Kehren Sie zur OT Security-Konsole zurück und fügen Sie den kopierten Wert in das Feld der gewünschten Gruppenobjekt-ID ein (z. B. Gruppenobjekt-ID für Administratoren).

  8. Wiederholen Sie die Schritte 1 bis 7 für jede Gruppe, die Sie einer bestimmten Benutzergruppe in OT Security zuordnen möchten.

  9. Klicken Sie auf Speichern, um die Informationen im Seitenbereich zu speichern und diesen zu schließen.

    Der SAML-Bildschirm wird in der OT Security-Konsole mit den konfigurierten Informationen angezeigt.

Schritt 4 – Abschließen der Konfiguration in Azure

So schließen Sie die Konfiguration in Azure ab:

  1. Klicken Sie im OT Security-Bildschirm SAML unter Entitäts-ID auf das Symbol für „Kopieren“.

  2. Wechseln Sie zum Azure-Bildschirm und klicken Sie im Navigationsmenü auf der linken Seite auf Einmaliges Anmelden, um die Seite SAML-basierte Anmeldung zu öffnen.

  3. Klicken Sie in Abschnitt 1, Grundlegende SAML-Konfiguration, auf Bearbeiten und fügen Sie den kopierten Wert in das Feld Bezeichner (Entitäts-ID) ein. Ersetzen Sie dabei den zuvor eingegebenen temporären Wert.

  4. Kehren Sie zum OT Security-Bildschirm SAML zurück und klicken Sie unter URL auf das Symbol für „Kopieren“.

  5. Fügen Sie in der Azure-Konsole im Seitenbereich Grundlegende SAML-Konfiguration unter Antwort-URL (Assertionsverbraucherdienst-URL) die kopierte URL ein. Ersetzen Sie dabei die zuvor eingegebene temporäre URL.

  6. Klicken Sie auf  Speichern, um die Konfiguration zu speichern, und schließen Sie den Seitenbereich.

    Die Konfiguration ist abgeschlossen und die Verbindung wird im Bildschirm Azure-Unternehmensanwendungen angezeigt.

Schritt 5 – Aktivieren der Integration

Um die SAML-Integration zu aktivieren, muss OT Security neu gestartet werden. Der Benutzer kann das System sofort oder später neu starten.

So aktivieren Sie die Integration:

  1. Klicken Sie in der OT Security-Konsole im Bildschirm SAML auf den Umschalter SAML Single Sign-On-Login, um ihn auf EIN zu stellen.

    Das Benachrichtigungsfenster Systemneustart wird angezeigt.

  2. Klicken Sie auf Jetzt neu starten, um das System sofort neu zu starten und die SAML-Konfiguration anzuwenden, oder klicken Sie auf Später neu starten, um die Anwendung der SAML-Konfiguration auf den nächsten Neustart des Systems zu verschieben. Wenn Sie sich für einen späteren Neustart entscheiden, wird das folgende Banner angezeigt, bis der Neustart abgeschlossen ist:

Einloggen mit SSO

Nach dem Neustart enthält das OT Security-Login-Fenster unter der Schaltfläche „Einloggen“ den neuen Link Über SSO einloggen. Azure-Benutzer, die OT Security zugewiesen wurden, können sich mit ihrem Azure-Konto bei OT Security einloggen.

So loggen Sie sich mit SSO ein:

  1. Klicken Sie im Login-Bildschirm von OT Security auf den Link Über SSO einloggen.

    Wenn Sie bereits bei Azure eingeloggt sind, gelangen Sie direkt zur OT Security-Konsole, andernfalls werden Sie zur Login-Seite von Azure weitergeleitet.

    Benutzer mit mehr als einem Konto werden auf die Microsoft-Seite Konto auswählen umgeleitet, auf der sie das gewünschte Konto für den Login auswählen können.