Integrationsübersicht für die Authentifizierung durch Drittanbieter mit OpenID Connect - Security Center 5.10

Security Center – Administratorhandbuch 5.10

series
Security Center 5.10
revised_modified
2021-03-19
category_custom
Handbücher
Handbücher > Administrator-Handbücher

Bevor Benutzer sich mit einem externen Identitätsanbieter mit OpenID Connect (OIDC) bei Security Center anmelden können, müssen Sie eine Reihe von Schritten ausführen.

In der folgenden Tabelle sind die Aufgaben aufgeführt, die zum Bereitstellen der Drittanbieterauthentifizierung mithilfe von OIDC erforderlich sind:
Schritt Aufgabe Wo finde ich weitere Informationen?
Machen Sie sich vor der Integration mit Voraussetzungen und zentralen Themen vertraut
1 Erfahren Sie mehr über die unterschiedlichen Komponenten und wie sie sich miteinander verbinden.
2 Stellen Sie sicher, dass alle Security Center-Clients der Verbindung zu Ihrem Identitätsanbieter vertrauen.

Um eine Vertrauensstellung herzustellen, muss das Public-Key-Zertifikat für den Identitätsanbieter von einer vertrauenswürdigen Zertifizierungsstelle auf dem Computer oder Mobilgerät signiert sein, der bzw. das eine Verbindung zu Security Center herstellt.

 
3 Stellen Sie sicher, dass Ihre Security Center-Lizenz OpenID Connect-Integrationen umfasst.

Gehen Sie zur Config Tool-Startseite, klicken Sie auf Info > Security Center und bestätigen Sie, dass Anzahl der OpenID Connect-Integrationen eine oder mehrere ist.

Vorbereitung von Security Center
4 Fügen Sie eine Authentication Service-Rolle für OpenID hinzu und klicken Sie auf die Registerkarte Netzwerkendpunkt. Möglicherweise müssen Sie den Task System neu starten, um die Endpunkte anzuzeigen.

Die Endpunkte Umleitung und Abmelden sind erforderlich, um Ihren Identitätsanbieter zu konfigurieren. Für jeden Client-Typ gibt es unterschiedliche URIs:

/genetec
Config Tool, Security Desk und SDK
/<Mobile>OpenId
Genetec™ Mobile
/<SecurityCenter>OpenId
Web Client
BEMERKUNG: Mobile und SecurityCenter sind die Standardwebadressen für die Mobile Server-Rolle und die Web Server-Rolle. Jede Änderung dieser Webadressen wird in den entsprechenden URIs berücksichtigt.

Für die Arbeit mit Rollen-Failover sind für jeden Server, der die Rollen "Directory", "Mobile Server" und "Web Server" hosten kann, separate URIs Umleitung und Abmelden erforderlich. Stellen Sie sicher, dass das Rollen-Failover ordnungsgemäß konfiguriert ist, um alle erforderlichen Endpunkte anzuzeigen.

Wenn neue Server hinzugefügt oder Server nach dem Einrichten des Identitätsanbieters ausgemustert werden, müssen Sie möglicherweise die Konfiguration aktualisieren, indem Sie nach Bedarf URIs hinzufügen oder entfernen.

Alle Clients müssen den Endpunkt-URI für ihren Typ auflösen können. Wenn eine öffentliche Adresse verwendet wird, muss diese Adresse auf den richtigen Server für Clients aufgelöst werden, die eine Verbindung von Ihrem privaten Netzwerk herstellen.

Integration des externen Identitätsanbieters
5 Fügen Sie gemäß der Anleitung Ihres Identitätsanbieters Security Center als vertrauenswürdige Anwendung in diesem System hinzu.

Für eine erfolgreiche Authentifizierung muss Security Center vom Identitätsanbieter Claims über die authentifizierte Partei in einem Zugriffstoken (JWT-Format) oder dem UserInfo-Endpunkt zurückgeben.

Diese Claims müssen mindestens einen Benutzernamen- und einen Gruppenmitgliedschafts-Claim enthalten.

 
6 Fügen Sie autorisierte Benutzergruppen von Ihrem Identitätsanbieter zu Security Center hinzu und legen Sie Berechtigungen fest.

Wenn Ihr Identitätsanbieter eine Gruppenliste im CSV-Format exportieren kann, kann diese Liste in Security Center importiert werden.

In der Regel verwenden Identitätsanbieter Namen, um Benutzergruppen eindeutig zu identifizieren. Wenn Namen verwendet werden, müssen Security Center-Benutzergruppen genau den gleichen Namen wie die entsprechende Gruppe Ihres Identitätsanbieters haben und den Domainnamen enthalten. Zum Beispiel: Operators@YourCompany.com. Wenn Ihr Identitätsanbieter jedoch eine ID verwendet, um eine Benutzergruppe eindeutig zu identifizieren, muss diese ID der Eigenschaft Externe eindeutige Kennung für die entsprechende Benutzergruppe in Security Center hinzugefügt werden, bevor die Gruppe mit der Authentication Service-Rolle verknüpft wird.

Benutzer werden automatisch erstellt und ihrer zugewiesenen Gruppe oder ihren zugewiesenen Gruppen hinzugefügt, wenn sie sich zum ersten Mal anmelden.

7 Konfigurieren Sie die Authentication Service-Rolle mit Informationen zu Ihrem Identitätsanbieter.

Öffnen Sie die Authentication Service-Rolle für OpenID, klicken Sie auf die Registerkarte Eigenschaften und geben Sie die erforderlichen Felder ein.