So integrieren Sie Security Center mit OpenID Connect in Okta - Security Center 5.10

Security Center – Administratorhandbuch 5.10

Applies to
Security Center 5.10
Last updated
2023-07-07
Content type
Handbücher > Administrator-Handbücher
Language
Deutsch
Product
Security Center
Version
5.10

Bevor Security Center Okta zur Authentifizierung von Benutzern mit OpenID Connect verwenden kann, ist die Einrichtung im Config Tool und in der Okta Admin Console erforderlich.

Dieses Beispiel zeigt die Schritte, die zum Einrichten der Drittanbieterauthentifizierung in Okta mithilfe des OpenID Connect (OIDC) UserInfo-Endpunkts erforderlich sind. Der Vorgang besteht aus den folgenden Abschnitten:

  1. Vorbereitung von Security Center
  2. Vorbereitung von Okta
  3. Integration von Security Center in Okta

Um die Authentifizierung von Drittanbietern zu implementieren, müssen Sie über Administratorrechte in Security Center und Okta verfügen.

IMPORTANT: Diese Beispielintegration kann von Ihren Anforderungen abweichen. Außerdem kann sich die Okta Admin Console jederzeit ändern. Stellen Sie beim Einrichten von Okta sicher, dass alle Schritte an Ihre spezifische Situation angepasst sind.

1 - Vorbereitung von Security Center

  1. Öffnen Sie Config Tool und melden Sie sich bei Security Center Hauptserver als Administrator an.
  2. Öffnen Sie in Config Tool System > Rollen und klicken Sie auf Einheit hinzufügen > Authentication Service.
    Menü „Einheit hinzufügen“ im Config Tool, wobei die Authentication Service-Rolle hervorgehoben wird.
  3. Wählen Sie im Fenster Erstellen einer Rolle: Authentication Service die Option OpenID aus und klicken Sie auf Weiter.
    Fenster „Erstellen einer Rolle: Authentication Service“ im Config Tool, wobei das OpenID-Protokoll ausgewählt ist.
  4. Geben Sie einen Namen und eine optionale Beschreibung für die neue Rolle "Authentication Service" ein und klicken Sie auf Weiter.
    Fenster „Erstellen einer Rolle: Authentication Service“ im Config Tool, mit den Feldern für „Basisinformationen“ für Okta.
    NOTE: Wenn Ihr System über mehrere Partitionen verfügt, können Sie die neue Rolle hier auch einer bestimmten Partition hinzufügen.
  5. Stellen Sie auf der Seite Zusammenfassung sicher, dass alle Informationen korrekt sind, klicken Sie auf Erstellen und dann auf Schließen.
  6. Klicken Sie in der neu erstellten Rolle auf die Registerkarte Netzwerkendpunkt.
  7. Kopieren Sie auf der Seite Netzwerkendpunkt die OIDC-URIs Umleitung und Abmelden. Diese werden zum Konfigurieren der Umleitungs-URIs für die Anmeldung und der Umleitungs-URIs für die Abmeldung in Okta benötigt.
    NOTE: Möglicherweise müssen Sie den Task System neu starten, um die Endpunkt-URIs anzuzeigen.
    Seite „Netzwerkendpunkt“ der Authentication Service-Rolle im Config Tool, auf der die Umleitungs- und Abmelde-URIs angezeigt werden.

2 - Vorbereitung von Okta

Bevor Sie diese Schritte in der Okta Admin Console ausführen, müssen die folgenden Voraussetzungen erfüllt sein:
  • Sie haben ein Okta-Administratorkonto.
  • Sie haben mindestens einen Benutzer bereitgestellt.
  • Sie haben mindestens eine Benutzergruppe bereitgestellt, die die Benutzer enthält, denen Sie Zugriff auf Security Center gewähren möchten.
  1. Wählen Sie in der Okta Admin Console Anwendungen > Anwendungen aus und klicken Sie dann auf Anwendungsintegration erstellen.
    Okta Admin Console, auf der die Schaltfläche „Anwendungsintegration erstellen“ auf der Seite „Anwendungen“ angezeigt wird.
  2. Wählen Sie im Assistenten Neue Anwendungsintegration erstellen OIDC - OpenID Connect und Webanwendung aus und klicken Sie auf Weiter.
    Assistent „Neue Anwendungsintegration erstellen“ in der Okta Admin Console, wobei „OIDC“ und „Webanwendung“ ausgewählt sind.
  3. Nehmen Sie die folgenden Einstellungen auf der Seite Neue Webanwendungsintegration vor und klicken Sie auf Speichern:
    • Name der Anwendungsintegration
      Seite „Neue Webanwendungsintegration“ in der Okta Admin Console, mit Popups für den Namen der Anwendungsintegration und die Zugangsart.
    • Umleitungs-URIs für die Anmeldung, kopiert von den Umleitungs-URIs in Security Center
      Seite „Neue Webanwendungsintegration“ in der Okta Admin Console, mit einer Legende für Umleitungs-URIs für die Anmeldung.
    • Umleitungs-URIs für die Abmeldung, kopiert von den Abmelde-URIs in Security Center
      Seite „Neue Webanwendungsintegration“ in der Okta Admin Console, mit einer Legende für Umleitungs-URIs für die Abmeldung.
    • Kontrollierter Zugriff Wählen Sie Zugriff auf ausgewählte Gruppen beschränken und fügen Sie die gewünschten Gruppen hinzu.
      Seite „Neue Webanwendungsintegration“ in der Okta Admin Console, mit einer Legende für „Kontrollierter Zugriff“.
  4. Kopieren Sie auf der Seite Allgemein die standardmäßige Client-ID und das standardmäßige Client-Secret für Ihre Anwendung. Diese werden benötigt, um Security Center zu konfigurieren. Bei Bedarf können Sie auf Bearbeiten klicken, um ein neues Client-Secret zu generieren.
    Seite „Allgemein“ in der Okta Admin Console, mit den Anmeldeinformationen des Clients.
  5. Klicken Sie für Ihre Security Center-Anwendung auf die Registerkarte Okta API-Bereiche und erlauben Sie die Vorgänge okta.groups.read und okta.users.read.
    Seite „Okta API-Bereiche“ in der Okta Admin Console, mit den erlaubten Vorgängen.
  6. Klicken Sie auf Sicherheit > API und kopieren Sie den Aussteller-URI für den Standardautorisierungsserver. Dieser URI wird zum Konfigurieren von Security Center benötigt.
    Okta Admin Console, mit dem Aussteller-URI auf der Seite „API“.
  7. Öffnen Sie den Standardautorisierungsserver, klicken Sie auf die Registerkarte Claims und dann auf Claim Hinzufügen.
    Seite „Claims“ für den Standardautorisierungsserver in der Okta Admin Console, mit der Schaltfläche „Claim hinzufügen“.
  8. Fügen Sie einen Gruppen-Claim wie folgt hinzu und klicken Sie auf Erstellen:
    Fenster „Claim hinzufügen“ in der Okta Admin Console, mit den erforderlichen Einstellungen für Security Center.
    NOTE: Der Filter Matches regex mit .* gibt alle Gruppen zurück, zu denen der authentifizierte Benutzer gehört.

    Bei Bedarf kann der Filter auch verwendet werden, um bestimmte Gruppen vom Claim auszuschließen. Mindestens eine Gruppe, die Security Center zugewiesen ist, muss in dem Claim enthalten sein, um Zugriff zu gewähren.

3 - Integration von Security Center in Okta

  1. Öffnen Sie in Config Tool die zuvor erstellte Rolle "Authentication Service" und klicken Sie auf die Registerkarte Eigenschaften.
  2. Vervollständigen Sie die Eigenschaften wie folgt:
    Anzeigename
    Bei der Anmeldung bei Security Center werden Authentifizierungsoptionen von Drittanbietern jeweils als Schaltfläche mit dem Text "Mit <display name> anmelden" angezeigt.
    Aussteller
    Geben Sie den Aussteller-URI ein, der vom Standardautorisierungsserver in Okta kopiert wurde.
    Domainnamen
    Die Domainnamen von Benutzern, die sich mit Okta authentifizieren, z. B. genetec.com. Sie müssen mindestens einen haben.
    Client-ID
    Geben Sie die Client-ID ein, die Sie aus der Security Center-Anwendung in Okta kopiert haben.
    Vertraulicher Client
    Wechseln Sie zu EIN.
    Client-Secret
    Geben Sie das Client-Secret ein, das Sie aus der Security Center-Anwendung in Okta kopiert haben.
    Benutzernamen-Claim
    Geben Sie Folgendes ein: preferred_username
    Gruppen-Claim
    Geben Sie Folgendes ein: groups
    Claims erhalten von (erweiterte Einstellung)
    • Schalten Sie Zugriffstoken auf AUS.
    • Schalten Sie den Benutzerinfo-Endpunkt auf EIN.

    Belassen Sie alle anderen Eigenschaften mit dem Standardwert.

  3. Klicken Sie auf Anwenden.
  4. Erstellen Sie eine oder mehrere Benutzergruppen mit genau dem gleichen Namen wie die Gruppen, die der Security Center-Anwendung in Okta zugewiesen sind.
  5. Fügen Sie der Liste Benutzergruppen in der Rolle Authentication Service Gruppen hinzu, die berechtigt sind, mit Okta eine Verbindung herzustellen.