Authentication Service – Registerkarte "Eigenschaften" (OpenID) - Security Center 5.10

Security Center – Administratorhandbuch 5.10

series
Security Center 5.10
revised_modified
2021-03-19

Sie können einen Authentication Service mithilfe des OpenID-Protokolls in der Ansicht Rollen des Tasks System in Security Center Config Tool konfigurieren.

In der Registerkarte Eigenschaften können Sie einen OpenID-Identitätsanbieter für die Drittanbieterauthentifizierung konfigurieren.

Protokoll
Legt das Authentifizierungsprotokoll fest, das mit diesem Identitätsanbieter verwendet wird. Durch das Ändern des Protokolls wird die Authentication-Service-Konfiguration zwischen OpenID und SAML2 migriert.
ACHTUNG:
Abhängig von der originellen Konfiguration kann das Migrieren der Authentication-Service-Rolle zu einem anderen Protokoll Fehler in der neuen Konfiguration verursachen. Stellen Sie nach der Migration sicher, dass die neue Konfiguration vollständig und akkurat ist, bevor Sie diese verwenden.
Anzeigenname
Identifiziert diesen Anbieter auf dem Anmeldebildschirm des Clients. Jeder Anbieter wird als Schaltfläche mit dem Text „Anmelden mit <Anzeigename>“ angezeigt.
Aussteller
Sichere URL (https), die auf das OpenID-Erkennungsdokument des Anbieters verweist. Diese Metadaten-Datei enthält alle notwendigen Informationen für die Interaktion mit dem externen Identitätsanbieter, einschließlich Endpunkte und Funktionen.
Domänennamen
Eine Liste von Domänennamen, die mit Benutzern verknüpft sind, die sich mit Security Center mithilfe dieses Identitätsanbieters verbinden werden. Benutzernamen, die eine dieser Domänen umfassen, werden automatisch zum Anmeldebildschirm des Anbieters umgeleitet.
Client-ID
Die Client-ID (auch bekannt als Zielgruppe) ist ein eindeutiger Identifikator für Security Center, der vom Identitätsanbieter ausgestellt wird, wenn die Anwendung registriert wird.
Vertraulicher Client
Diese Option ist standardmäßig deaktiviert. Aktivieren Sie ihn, um Security Center als vertraulichen Client dieses Identitätsanbieters einzurichten. Ein vertraulicher Client zu sein, ist sicherer und wird dringend empfohlen. Vertrauliche Clients verwenden ein privates Client-Secret, um sich dem Identitätsanbieter gegenüber zu identifizieren.
Client-Secret
Wird nur angezeigt, wenn Vertraurlicher Client aktiviert ist. Das Client-Secret ist ein vertrauliches Passwort, das vom Identitätsanbieter ausgestellt wird, wenn Security Center als vertraulicher Client registriert ist.
Benutzernamen-Claim
OpenID-Claim, der vom Identitätsanbieter verwendet wird, um den Benutzernamen der authentifizierten Partei zurückzugeben. Security Center erfordert, dass ein Benutzername den Zugriff auf den Client autorisiert.
Gruppen-Claim
OpenID-Claim, der vom Identitätsanbieter verwendet wird, um die Gruppenmitgliedschaften der authentifizierten Partei zurückzugeben. Security Center erfordert, dass eine Gruppenmitgliedschaft den Zugriff auf den Client autorisiert.
Ressourcen-ID
Nur ADFS. URI, die die Kennung für die vertrauende Seite für Security Centerenthält.
Zielgruppe
Nur Keycloak. Zugriffs-Tokens, die von Keycloak zurückgegeben werden, geben eine Zielgruppe an, die von der Client-ID abweicht. Hier muss die Zielgruppe angegeben werden.
Claims abrufen von
Gibt an, woher Security Center Claims beziehen soll, die durch diesen Identitätsanbieter erstellt wurden. Claims können von einem Zugriffs-Token, UserInfo-Endpunkt oder beidem erhalten werden.
Bereiche
Nur Azure AD. Die benutzerdefinierten Bereiche, die für die Security Center-Anwendung festgelegt sind.
Benutzerdefinierte Parameter
Geben Sie bei Bedarf einen oder mehrere benutzerdefinierte Parameter an, die bei jeder Authentifizierungsanforderung an diesen Identitätsprovider gesendet werden sollen. Benutzerdefinierte Parameter werden vom OpenID-Protokoll nicht definiert und sollen die Anforderungen nicht standardmäßiger Konfigurationen erfüllen.
Benutzergruppen
Security Center-Benutzergruppen hinzufügen oder entfernen, die mit diesem Identitätsanbieter verknüpft sind. Wenn Ihr Identitätsanbieter eine Liste von Gruppen im CSV-Format exportieren kann, kann diese Liste hier importiert werden. Gruppen, die in dieser Liste fehlen, werden nicht mit dem Identitätsanbieter verknüpft und werden nicht verwendet, um eingehende Benutzer zu autorisieren.