So integrieren Sie Security Center mit SAML 2.0 in Okta - Security Center 5.11

Security Center – Administratorhandbuch 5.11

Applies to
Security Center 5.11
Last updated
2022-11-18
Content type
Handbücher > Administrator-Handbücher
Language
Deutsch
Product
Security Center
Version
5.11

Bevor Security Center Okta zur Authentifizierung von Benutzern mit SAML 2.0 verwenden kann, ist die Einrichtung im Config Tool und in der Okta Admin Console erforderlich.

Dieses Beispiel zeigt die Schritte, die zum Einrichten der Drittanbieterauthentifizierung in Okta mithilfe von SAML 2.0 erforderlich sind. Der Vorgang besteht aus den folgenden Abschnitten:

  1. Vorbereitung von Security Center
  2. Vorbereitung von Okta
  3. Integration von Security Center in Okta

Um die Authentifizierung von Drittanbietern zu implementieren, müssen Sie über Administratorrechte in Security Center und Okta verfügen.

IMPORTANT: Diese Beispielintegration kann von Ihren Anforderungen abweichen. Außerdem kann sich die Okta Admin Console jederzeit ändern. Stellen Sie beim Einrichten von Okta sicher, dass alle Schritte an Ihre spezifische Situation angepasst sind.

1 - Vorbereitung von Security Center

  1. Öffnen Sie Config Tool und melden Sie sich bei Security Center Hauptserver als Administrator an.
  2. Öffnen Sie in Config Tool System > Rollen und klicken Sie auf Einheit hinzufügen > Authentication Service.
    Menü „Einheit hinzufügen“ im Config Tool, wobei die Authentication Service-Rolle hervorgehoben wird.
  3. Wählen Sie im Fenster Erstellen einer Rolle: Authentication Service die Option SAML2 aus und klicken Sie auf Weiter.
    Fenster „Erstellen einer Rolle: Authentication Service“ im Config Tool, wobei das SAML 2.0-Protokoll ausgewählt ist.
  4. Geben Sie einen Namen und eine optionale Beschreibung für die neue Rolle "Authentication Service" ein und klicken Sie auf Weiter.
    Fenster „Erstellen einer Rolle: Authentication Service“ im Config Tool, mit den Feldern für „Basisinformationen“ für Okta.
    NOTE: Wenn Ihr System über mehrere Partitionen verfügt, können Sie die neue Rolle hier auch einer bestimmten Partition hinzufügen.
  5. Stellen Sie auf der Seite Zusammenfassung sicher, dass alle Informationen korrekt sind, klicken Sie auf Erstellen und dann auf Schließen.
  6. Klicken Sie in der neu erstellten Rolle auf die Registerkarte Netzwerkendpunkt.
  7. Kopieren Sie auf der Seite Netzwerkendpunkt die URIs für Umleitung und Abmelden. Diese werden für die Konfiguration der Single Sign-on-URL und der URL für einmaliges Abmelden in Okta benötigt.
    NOTE: Möglicherweise müssen Sie den Task System neu starten, um die Endpunkt-URIs anzuzeigen.

    Für OIDC und SAML 2.0 werden dieselben URIS verwendet. Diese URIs müssen über Single Sign-On von allen Clients aus erreichbar sein.

    Seite „Netzwerkendpunkt“ der Authentication Service-Rolle im Config Tool, mit den Umleitungs- und Abmelde-URIs.
  8. Befolgen Sie die Anweisungen für Ihr Betriebssystem auf dem Security Center-Hauptserver, um das Public Key-Zertifikat im X.509-Format zu exportieren, das vom Security Center-Hauptserver verwendet wird.
    NOTE: Der allgemeine Name (CN) oder der alternative Antragstellername (SAN) des Zertifikats muss mit dem Hostnamen, der IP-Adresse oder dem vollqualifizierten Domänennamen (FQDN) übereinstimmen, der in den Umleitungs- und Abmelde-URIs verwendet wird.

    Okta benötigt diesen Public Key für das einmalige Abmelden. Das Security Center-Zertifikat wird im Abschnitt Sichere Kommunikation auf der Seite „Server AdminHauptserver“ angezeigt.

    Seite „Server Admin – Hauptserver“, mit dem Abschnitt „Sichere Kommunikation“.

2 - Vorbereitung von Okta

Bevor Sie diese Schritte in der Okta Admin Console ausführen, müssen die folgenden Voraussetzungen erfüllt sein:
  • Sie haben ein Okta-Administratorkonto.
  • Sie haben mindestens einen Benutzer bereitgestellt.
  • Sie haben mindestens eine Benutzergruppe bereitgestellt, die die Benutzer enthält, denen Sie Zugriff auf Security Center gewähren möchten.
  1. Wählen Sie in der Okta Admin Console Anwendungen > Anwendungen aus und klicken Sie dann auf Anwendungsintegration erstellen.
    Okta Admin Console, mit der Schaltfläche „Anwendungsintegration erstellen“ auf der Seite „Anwendungen“.
  2. Wählen Sie im Assistenten Neue Anwendungsintegration erstellen SAML 2.0 aus und klicken Sie auf Weiter.
    Assistent „Neue Anwendungsintegration erstellen“ in der Okta Admin Console, wobei „SAML 2.0“ ausgewählt ist.
  3. Geben Sie im Assistenten SAML-Integration erstellen den Anwendungsnamen ein und klicken Sie auf Weiter.
    Seite „Neue Webanwendungsintegration“ in der Okta Admin Console, mit Legenden für den Namen der Anwendungsintegration und die Zugangsart.
  4. Nehmen Sie auf der Seite SAML konfigurieren folgende Einstellungen vor:
    • Single Sign-on-URL, kopiert von den Umleitungs-URIs in Security Center
      NOTE: Wenn mehr als ein URI erforderlich ist, wählen Sie Zulassen, dass diese Anwendung andere SSO-URLs anfordert aus und geben Sie zusätzliche URIs nach Bedarf ein.
    • Zielgruppen-URI (SP-Einheiten-ID) Geben Sie urn:SecurityCenter ein.
    • ID-Format für Namen Wählen Sie Beständig aus.
    • Seite „SAML konfigurieren“ in der Okta Admin Console, mit Legenden für Single Sign-on-URL, Zielgruppen-URI und ID-Format für Namen.
  5. Klicken Sie im Abschnitt SAML-Einstellungen auf Erweiterte Einstellungen anzeigen und nehmen Sie die folgenden Einstellungen vor:
    • Einmaliges Abmelden aktivieren
    • URL für einmaliges Abmelden der /genetec-Endpunkt, kopiert von den Abmelde-URIs in Security Center
    • SP-Aussteller Geben Sie urn:SecurityCenter ein.
    • Signaturzertifikat Laden Sie das aus Security Center exportierte Public Key-Zertifikat hoch.
    Seite „SAML konfigurieren“ in der Okta Admin Console, mit Legenden für die Einstellungen für einmaliges Abmelden.
  6. Nehmen Sie im Abschnitt Attributanweisungen folgende Einstellungen vor:
    Name
    Anmeldung
    Namensformat
    URI-Referenz
    Wert
    user.login
    Seite „SAML konfigurieren“ in der Okta Admin Console, mit einer Legende für Attributanweisungen.
  7. Nehmen Sie im Abschnitt Attributanweisungen für Gruppen folgende Einstellungen vor:
    Name
    Gruppen
    Namensformat
    URI-Referenz
    Filter
    Matches regex .*
    NOTE: Der Filter Matches regex mit .* gibt alle Gruppen zurück, zu denen der authentifizierte Benutzer gehört.

    Bei Bedarf kann der Filter auch verwendet werden, um bestimmte Gruppen auszuschließen. Es muss mindestens eine Gruppe enthalten sein, die Security Center zugewiesen ist, um den Zugriff zu gewähren.

    Seite „SAML konfigurieren“ in der Okta Admin Console, mit einer Legende für Attributanweisungen für Gruppen.
  8. Klicken Sie auf Weiter.
  9. Wählen Sie auf der Seite Feedback den Eintrag Ich bin ein Kunde von Okta, der eine interne Anwendung hinzufügt aus, geben Sie optional Ihr Feedback ein und klicken Sie auf Beenden.
  10. Gehen Sie auf der Seite Anmeldung für Ihre Anwendung folgendermaßen vor:
    1. Kopieren Sie die Metadaten-URL des Identitätsproviders. Dies ist die Metadaten-URL, die die Authentication Service-Rolle in Security Center benötigt.
    2. Klicken Sie auf Setup-Anweisungen anzeigen.
    Seite „Anmeldung“ der Anwendung in der Okta Admin Console, mit Legenden für „Metadaten des Identitätsproviders“ und „Setup-Anweisungen anzeigen“.
  11. Laden Sie auf der Seite SAML 2.0 für <Anwendung> konfigurieren das X.509-Zertifikat herunter.
  12. Auf der Seite Zuweisungen Ihrer Anwendung können Sie die Security Center-Benutzergruppen der Anwendung zuweisen.
    Seite „Zuweisungen“ der Anwendung in der Okta Admin Console, mit Gruppenzuweisungen.

3 - Integration von Security Center in Okta

  1. Befolgen Sie die Anweisungen für Ihr Betriebssystem auf dem Security Center-Hauptserver, um das Okta-Zertifikat zu importieren.
    NOTE: Sie müssen Windows möglicherweise neu starten, damit das Zertifikat wirksam wird.
  2. Öffnen Sie in Config Tool die zuvor erstellte Rolle "Authentication Service" und klicken Sie auf die Registerkarte Eigenschaften.
  3. Vervollständigen Sie die Eigenschaften wie folgt:
    Anzeigename
    Bei der Anmeldung bei Security Center werden Authentifizierungsoptionen von Drittanbietern jeweils als Schaltfläche mit dem Text "Mit <display name> anmelden" angezeigt.
    Metadaten-URL
    Geben Sie die Metadaten-URL des Identitätsproviders ein, die von Okta kopiert wurde.
    Zielgruppe
    urn:SecurityCenter
    Domainnamen
    Die Domainnamen von Benutzern, die sich mit Okta authentifizieren, z. B. genetec.com. Sie müssen mindestens einen haben.
    Benutzernamenassertion
    Anmeldung
    Gruppenassertion
    Gruppen

    Belassen Sie alle anderen Eigenschaften mit dem Standardwert.

  4. Klicken Sie auf Anwenden.
  5. Erstellen Sie eine oder mehrere Benutzergruppen mit genau dem gleichen Namen wie die Gruppen, die der Security Center-Anwendung in Okta zugewiesen sind.
  6. Fügen Sie der Liste Benutzergruppen in der Rolle Authentication Service Gruppen hinzu, die berechtigt sind, mit Okta eine Verbindung herzustellen.