Bevor Security Center Okta zur Authentifizierung von Benutzern mit SAML 2.0 verwenden kann, ist die Einrichtung im Config Tool und in der Okta Admin Console erforderlich.
Dieses Beispiel zeigt die Schritte, die zum Einrichten der Drittanbieterauthentifizierung in Okta mithilfe von SAML 2.0 erforderlich sind. Der Vorgang besteht aus den folgenden Abschnitten:
Um die Authentifizierung von Drittanbietern zu implementieren, müssen Sie über Administratorrechte in Security Center und Okta verfügen.
1 - Vorbereitung von Security Center
- Öffnen Sie Config Tool und melden Sie sich bei Security Center Hauptserver als Administrator an.
- Öffnen Sie in Config
Tool und klicken Sie auf .
- Wählen Sie im Fenster Erstellen einer Rolle: Authentication Service die Option SAML2 aus und klicken Sie auf Weiter.
- Geben Sie einen Namen und eine optionale Beschreibung für die neue Rolle "Authentication Service" ein und klicken Sie auf Weiter.NOTE: Wenn Ihr System über mehrere Partitionen verfügt, können Sie die neue Rolle hier auch einer bestimmten Partition hinzufügen.
- Stellen Sie auf der Seite Zusammenfassung sicher, dass alle Informationen korrekt sind, klicken Sie auf Erstellen und dann auf Schließen.
- Klicken Sie in der neu erstellten Rolle auf die Registerkarte Netzwerkendpunkt.
- Kopieren Sie auf der Seite Netzwerkendpunkt die URIs für Umleitung und Abmelden. Diese werden für die Konfiguration der Single Sign-on-URL und der URL für einmaliges Abmelden in Okta benötigt.NOTE: Möglicherweise müssen Sie den Task System neu starten, um die Endpunkt-URIs anzuzeigen.
Für OIDC und SAML 2.0 werden dieselben URIS verwendet. Diese URIs müssen über Single Sign-On von allen Clients aus erreichbar sein.
- Befolgen Sie die Anweisungen für Ihr Betriebssystem auf dem Security Center-Hauptserver, um das Public Key-Zertifikat im X.509-Format zu exportieren, das vom Security Center-Hauptserver verwendet wird.NOTE: Der allgemeine Name (CN) oder der alternative Antragstellername (SAN) des Zertifikats muss mit dem Hostnamen, der IP-Adresse oder dem vollqualifizierten Domänennamen (FQDN) übereinstimmen, der in den Umleitungs- und Abmelde-URIs verwendet wird.
Okta benötigt diesen Public Key für das einmalige Abmelden. Das Security Center-Zertifikat wird im Abschnitt Sichere Kommunikation auf der Seite „Server Admin – Hauptserver“ angezeigt.
2 - Vorbereitung von Okta
- Sie haben ein Okta-Administratorkonto.
- Sie haben mindestens einen Benutzer bereitgestellt.
- Sie haben mindestens eine Benutzergruppe bereitgestellt, die die Benutzer enthält, denen Sie Zugriff auf Security Center gewähren möchten.
- Wählen Sie in der Okta Admin Console Anwendungsintegration erstellen.
- Wählen Sie im Assistenten Neue Anwendungsintegration erstellen SAML 2.0 aus und klicken Sie auf Weiter.
- Geben Sie im Assistenten SAML-Integration erstellen den Anwendungsnamen ein und klicken Sie auf Weiter.
- Nehmen Sie auf der Seite SAML konfigurieren folgende Einstellungen vor:
- Single Sign-on-URL, kopiert von den Umleitungs-URIs in Security CenterNOTE: Wenn mehr als ein URI erforderlich ist, wählen Sie Zulassen, dass diese Anwendung andere SSO-URLs anfordert aus und geben Sie zusätzliche URIs nach Bedarf ein.
- Zielgruppen-URI (SP-Einheiten-ID) Geben Sie urn:SecurityCenter ein.
- ID-Format für Namen Wählen Sie Beständig aus.
-
- Single Sign-on-URL, kopiert von den Umleitungs-URIs in Security Center
- Klicken Sie im Abschnitt SAML-Einstellungen auf Erweiterte Einstellungen anzeigen und nehmen Sie die folgenden Einstellungen vor:
- Einmaliges Abmelden aktivieren
- URL für einmaliges Abmelden der /genetec-Endpunkt, kopiert von den Abmelde-URIs in Security Center
- SP-Aussteller Geben Sie urn:SecurityCenter ein.
- Signaturzertifikat Laden Sie das aus Security Center exportierte Public Key-Zertifikat hoch.
- Nehmen Sie im Abschnitt Attributanweisungen folgende Einstellungen vor:
- Name
- Anmeldung
- Namensformat
- URI-Referenz
- Wert
- user.login