Identity and Access Manager in Kaspersky Security Center Web Console

Questa sezione fornisce informazioni su Identity and Access Manager (denominato anche IAM).

Informazioni su Identity and Access Manager

Identity and Access Manager (denominato anche IAM) è un componente di Kaspersky Security Center Web Console che consente di utilizzare un Single Sign-On (SSO) tra Kaspersky Security Center Web Console e l'interfaccia Web di Kaspersky Industrial CyberSecurity for Networks. IAM utilizza il protocollo OAuth 2.0 per garantire l'autorizzazione di Kaspersky Industrial CyberSecurity for Networks in Kaspersky Security Center Web Console.

In questo caso Kaspersky Industrial CyberSecurity for Networks, a cui è possibile accedere tramite Kaspersky Security Center Web Console, viene indicato come server di risorse, mentre Kaspersky Security Center Web Console e l'interfaccia Web di Kaspersky Industrial CyberSecurity for Networks sono indicati come client OAuth 2.0. Un server di risorse è un programma che funziona con più utenti e richiede l'autorizzazione. Il client utilizza un token per l'autorizzazione nel server di risorse. Un token è una sequenza univoca di byte. Quando un token scade, viene automaticamente riemesso. IAM funge da unico server di autorizzazione per più client OAuth 2.0.

È possibile installare IAM durante l'installazione di Kaspersky Security Center Web Console. È possibile abilitarlo successivamente in qualsiasi momento nelle impostazioni di Kaspersky Security Center Web Console. Se un server Kaspersky Industrial CyberSecurity o un'interfaccia Web di Kaspersky Industrial Cybersecurity è installato in un dispositivo gestito dallo stesso Administration Server, IAM rileva questo programma e viene visualizzata una notifica in Kaspersky Security Center Web Console per informare l'utente. È possibile registrare Kaspersky Industrial CyberSecurity for Networks e successivamente utilizzare SSO sia per Kaspersky Security Center Web Console che per l'interfaccia Web di Kaspersky Industrial CyberSecurity for Networks.

Se ci si disconnette da Kaspersky Security Center Web Console, la sessione nell'interfaccia Web di Kaspersky Industrial CyberSecurity for Networks terminerà e sarà necessario accedere nuovamente a Kaspersky Security Center Web Console.

Abilitazione di Identity and Access Manager: scenario

Prerequisiti

Prima di iniziare, assicurarsi di avere accesso a Kaspersky Industrial CyberSecurity for Networks versione 3.1 o successiva.

Passaggi

L'abilitazione di Identity and Access Manager (denominato anche IAM) prevede diverse fasi:

1. Controllo delle porte necessarie

   Assicurarsi che le porte 3333, 4004 e 4444 siano aperte nel dispositivo in cui è installato Kaspersky Security Center Web Console. Queste porte sono necessarie per utilizzare OAuth 2.0. Se si desidera, è possibile modificare i numeri di porta predefiniti nella finestra delle impostazioni di Kaspersky Security Center Web Console.

   Oltre alle porte 3333, 4004 e 4444, Kaspersky Security Center Web Console utilizza anche le porte 4445, 2444 e 2445 per vari scopi.

2. Installazione di Identity and Access Manager

   Durante l'installazione di Kaspersky Security Center Web Console, specificare che si desidera installare Identity and Access Manager. In caso contrario, eseguire nuovamente l'Installazione guidata di Kaspersky Security Center Web Console.

3. Configurazione di Identity and Access Manager

   Nella finestra delle impostazioni di Kaspersky Security Center Web Console assicurarsi che l'interruttore IAM (Identity and Access Manager) sia abilitato. Specificare inoltre il nome DNS del dispositivo in cui è installato Kaspersky Security Center Web Console: le applicazioni client si connetteranno a questo dispositivo.

4. Definizione delle impostazioni dei token

   Nella finestra delle impostazioni di Kaspersky Security Center Web Console specificare la durata dei token e il timeout dell'autorizzazione che verrà utilizzato da Identity and Access Manager. È possibile utilizzare i valori predefiniti oppure specificare valori specifici in base alle proprie esigenze.

5. Concessione dei certificati

   Se si preferisce utilizzare i certificati generati da Administration Server, nella finestra delle impostazioni di Kaspersky Security Center Web Console scaricare i certificati radice per le porte utilizzate da IAM e distribuirli alle workstation degli utenti di Kaspersky Security Center Web Console. In caso contrario, i browser degli utenti visualizzeranno messaggi di errore durante il tentativo di connessione a Kaspersky Security Center Web Console.

6. Registrazione dei server Kaspersky Industrial CyberSecurity for Networks e delle interfacce Web di Kaspersky Industrial CyberSecurity for Networks

   Quando IAM è installato, Kaspersky Security Center Web Console visualizza un messaggio per informare che uno o più server Industrial CyberSecurity for Networks e una o più interfacce Web di Kaspersky Industrial CyberSecurity for Networks sono in attesa di registrazione. Fare clic su questo messaggio per registrare Kaspersky Industrial CyberSecurity for Networks Server (o più server) e l'interfaccia Web (o più interfacce Web).

Risultati

Dopo aver completato questo scenario, sarà possibile utilizzare SSO e IAM per Kaspersky Industrial CyberSecurity for Networks e Kaspersky Security Center Web Console.

Configurazione di Identity and Access Manager in Kaspersky Security Center Web Console

Per configurare Identity and Access Manager in base alle proprie esigenze:

1. In Kaspersky Security Center Web Console, passare alla sezione Impostazioni della console → Integrazione.
2. Nella sezione Identity and Access Manager assicurarsi che Identity and Access Manager sia abilitato.
3. Fare clic sul collegamento Impostazioni nella riga Nome di rete del dispositivo Identity and Access Manager.
4. Specificare il nome DNS del dispositivo in cui è stato installato Identity and Access Manager. Le applicazioni client si connetteranno a questo dispositivo.
5. Se si desidera, modificare le impostazioni predefinite dei token, le impostazioni del certificato e i numeri di porta facendo clic sul collegamento Impostazioni nel relativo gruppo di impostazioni.

Identity and Access Manager è abilitato e funziona in base alle proprie esigenze.

Registrazione dell'applicazione Kaspersky Industrial CyberSecurity for Networks in Kaspersky Security Center Web Console

Per iniziare a utilizzare l'applicazione Kaspersky Industrial CyberSecurity for Networks tramite Kaspersky Security Center Web Console, è prima necessario registrarla in Kaspersky Security Center Web Console.

Per registrare l'applicazione Kaspersky Industrial CyberSecurity for Networks:

1. Assicurarsi di aver eseguito le seguenti operazioni:
   • Download e installazione del plug-in Web di Kaspersky Industrial CyberSecurity for Networks.

     È tuttavia possibile eseguire questa operazione successivamente in attesa della sincronizzazione del server Kaspersky Industrial CyberSecurity for Networks con Administration Server.

   • Completamento dello scenario di preparazione all'utilizzo della tecnologia Single Sign-On (SSO).
   • Le impostazioni necessarie nell'interfaccia Web di Kaspersky Industrial CyberSecurity for Networks sono specificate nella pagina di Kaspersky Security Center. Per informazioni dettagliate, fare riferimento alla Guida in linea di Kaspersky Industrial CyberSecurity for Networks.
   • Accesso a Kaspersky Security Center Web Console con un account amministratore.
   • Configurazione di IAM.
2. Spostare il dispositivo in cui è installato il server Kaspersky Industrial CyberSecurity for Networks dal gruppo Dispositivi non assegnati al gruppo Dispositivi gestiti:
   1. Nel menu principale accedere a INDIVIDUAZIONE E DISTRIBUZIONE → DISPOSITIVI NON ASSEGNATI.
   2. Selezionare la casella di controllo accanto al dispositivo in cui è installato il server Kaspersky Industrial CyberSecurity for Networks.
   3. Fare clic sul pulsante Sposta nel gruppo.
   4. Nella gerarchia dei gruppi di amministrazione selezionare la casella di controllo accanto al gruppo Dispositivi gestiti.
   5. Fare clic sul pulsante Sposta.
3. Passare alle proprietà del dispositivo in cui è installato il server Kaspersky Industrial CyberSecurity for Networks.
4. Nella pagina delle proprietà del dispositivo, nella sezione Generale, selezionare l'opzione Non eseguire la disconnessione da Administration Server, quindi fare clic sul pulsante Salva.
5. Nella pagina delle proprietà del dispositivo selezionare la sezione Applicazioni.
6. Nella sezione Applicazioni selezionare Kaspersky Network Agent.
7. Se lo stato corrente dell'applicazione è Arrestata, attendere finché non diventa In esecuzione.

   L'operazione può richiedere fino a 15 minuti. Se non è ancora stato installato il plug-in Web di Kaspersky Industrial CyberSecurity for Networks, è possibile farlo durante l'attesa.

8. Nel menu principale accedere a Impostazioni della console → Integrazione.

   Nel campo Richieste di registrazione viene visualizzata una richiesta in sospeso.

9. Fare clic sul collegamento Impostazioni sotto il campo Richieste di registrazione.
10. Nell'elenco dei client registrati visualizzato selezionare la casella di controllo accanto al nome del server Kaspersky Industrial CyberSecurity for Networks con lo stato In sospeso, quindi fare clic sul pulsante Approva.

    Se non si desidera registrare il server Kaspersky Industrial CyberSecurity for Networks, è possibile fare clic sul pulsante Rifiuta e tornare all'elenco in un secondo momento.

    Dopo aver fatto clic sul pulsante Approva, lo stato diventa Approvato e successivamente Pronto. Se lo stato non cambia è possibile fare clic sul pulsante Aggiorna.

11. Chiudere l’elenco dei client registrati e assicurarsi che il valore nel campo Client registrati sia aumentato.
12. Per aggiungere il widget Kaspersky Industrial CyberSecurity for Networks al dashboard:
    1. MONITORAGGIO E GENERAZIONE DEI RAPPORTI DASHBOARD.
    2. Nella dashboard, fare clic sul pulsante Aggiungere o ripristinare widget Web.
    3. Nel menu del widget visualizzato selezionare Altro.
    4. Selezionare il widget Kaspersky Industrial CyberSecurity for Networks.

    Adesso è possibile procedere all'interfaccia Web di Kaspersky Industrial CyberSecurity for Networks utilizzando il collegamento presente nel widget.

Al termine della procedura di registrazione, nella pagina di accesso dell'interfaccia Web di Kaspersky Industrial CyberSecurity for Networks viene visualizzato il nuovo pulsante Kaspersky Security Center. È possibile fare clic su questo pulsante per accedere all'interfaccia Web di Kaspersky Industrial CyberSecurity for Networks con le credenziali di Kaspersky Security Center.

Durata dei token e timeout dell'autorizzazione per Identity and Access Manager

Quando si configura Identity and Access Manager (denominato anche IAM), è necessario specificare le impostazioni per la durata dei token e il timeout dell'autorizzazione. Le impostazioni predefinite hanno l'obiettivo di rispecchiare sia gli standard di sicurezza che il carico del server. È tuttavia possibile modificare queste impostazioni in base ai criteri dell'organizzazione.

IAM riemette automaticamente un token quando sta per scadere.

La tabella seguente elenca le impostazioni predefinite relative alla durata dei token.

Impostazioni relative alla durata dei token

La tabella di seguito elenca i timeout per auth_code e login_consent_request.

Impostazioni di timeout dell'autorizzazione

Per ulteriori informazioni sui token, vedere il sito Web OAuth.

Download e distribuzione dei certificati IAM

Per impostazione predefinita, Identity and Access Manager utilizza i certificati generati da Administration Server per concedere ai browser l'accesso a Kaspersky Security Center Web Console. Tuttavia, se si desidera, è possibile utilizzare certificati personalizzati. Indipendentemente dal certificato utilizzato, è necessario assicurarsi che tutte le workstation da cui gli utenti di Kaspersky Security Center Web Console accedono a Kaspersky Security Center Web Console ritengano attendibile questo certificato.

Per scaricare e distribuire i certificati:

1. In Kaspersky Security Center Web Console, passare alla sezione Impostazioni della console → Integrazione.
2. Per ogni certificato, fare clic sul collegamento Impostazioni nel gruppo di impostazioni attinente, quindi eseguire una delle seguenti operazioni:
   • Se si desidera utilizzare il certificato generato da Administration Server durante l'installazione di Kaspersky Security Center Web Console:
     1. Selezionare Certificato generato da Administration Server nella finestra delle proprietà del certificato visualizzata.
     2. Fare clic sul pulsante Scarica per scaricare il certificato.
     3. Distribuire il certificato scaricato in tutte le workstation da cui gli utenti di Kaspersky Security Center Web Console accedono a Kaspersky Security Center Web Console.
   • Se si dispone di un certificato che si desidera utilizzare:
     1. Selezionare Certificato TLS personalizzato nella finestra delle proprietà del certificato visualizzata.
     2. Selezionare il file del certificato e la chiave privata.
     3. Fare clic sul pulsante OK.
     4. Distribuire il certificato a tutte le workstation da cui gli utenti accedono a Kaspersky Security Center Web Console o Kaspersky Industrial CyberSecurity Console.

I certificati concedono agli utenti l'accesso a Kaspersky Security Center Web Console e Kaspersky Industrial CyberSecurity Console.

È necessario riemettere tutti i certificati tempestivamente. I certificati generati da Administration Server devono essere rigenerati manualmente. I certificati generati dal programma di installazione di Kaspersky Security Center Web Console devono essere rigenerati utilizzando il programma di installazione.

Disabilitazione di Identity and Access Manager

Se si desidera, è possibile disabilitare Identity and Access Manager (noto anche come IAM).

Per disabilitare IAM,

Nella finestra delle impostazioni di Kaspersky Security Center Web Console impostare l'interruttore IAM su disabilitato.

È possibile abilitare IAM successivamente in qualsiasi momento.

Se si aggiorna Kaspersky Security Center Web Console tramite il programma di installazione e si specifica che non si desidera installare IAM, verrà eseguito l'upgrade di Kaspersky Security Center Web Console e IAM non verrà installato. Tutte le informazioni sull'integrazione con Kaspersky Industrial CyberSecurity for Networks verranno eliminate dal computer, così come i file di configurazione IAM e i file di registro.