So integrieren Sie Security Center mithilfe von OpenID Connect in Azure Active Directory - Security Center 5.11

Security Center – Administratorhandbuch 5.11

Applies to
Security Center 5.11
Last updated
2022-11-18
Content type
Handbücher > Administrator-Handbücher
Language
Deutsch
Product
Security Center
Version
5.11

Bevor Security Center Azure Active Directory zur Authentifizierung von Benutzern mit OpenID Connect verwenden kann, ist die Einrichtung im Config Tool und im Azure-Portal erforderlich.

Dieses Beispiel zeigt die Schritte zum Einrichten der Drittanbieterauthentifizierung in Azure Active Directory (Azure AD) mithilfe von OpenID Connect-Zugriffstokens (OIDC). Der Vorgang besteht aus den folgenden Abschnitten:

  1. Vorbereitung von Security Center
  2. Vorbereitung von Azure AD
  3. Integration von Security Center in Azure AD

Um die Authentifizierung von Drittanbietern zu implementieren, müssen Sie über Administratorrechte in Security Center und Azure AD verfügen.

IMPORTANT: Diese Beispielintegration kann von Ihren Anforderungen abweichen und das Azure-Portal kann sich ändern. Stellen Sie beim Einrichten von Azure AD sicher, dass alle Schritte an Ihre spezifische Situation angepasst sind.

1 - Vorbereitung von Security Center

  1. Öffnen Sie Config Tool und melden Sie sich bei Security Center Hauptserver als Administrator an.
  2. Öffnen Sie in Config Tool System > Rollen und klicken Sie auf Einheit hinzufügen > Authentication Service.

  3. Wählen Sie im Fenster Erstellen einer Rolle: Authentication Service die Option OpenID aus und klicken Sie auf Weiter.

  4. Geben Sie einen Namen und eine optionale Beschreibung für die neue Rolle "Authentication Service" ein und klicken Sie auf Weiter.

    NOTE: Wenn Ihr System über mehrere Partitionen verfügt, können Sie die neue Rolle hier auch einer bestimmten Partition hinzufügen.
  5. Stellen Sie auf der Seite Zusammenfassung sicher, dass alle Informationen korrekt sind, klicken Sie auf Erstellen und dann auf Schließen.
  6. Klicken Sie in der neu erstellten Rolle auf die Registerkarte Netzwerkendpunkt.
  7. Kopieren Sie auf der Seite Netzwerkendpunkt die OIDC-URIs Umleitung und Abmelden. Diese werden zum Konfigurieren von Azure AD benötigt.
    NOTE: Möglicherweise müssen Sie den Task System neu starten, um die Endpunkt-URIs anzuzeigen.

2 - Vorbereitung von Azure AD

Bevor Sie diese Schritte im Azure-Portal ausführen, müssen die folgenden Voraussetzungen gegeben sein:
  • Sie haben ein Azure AD, das Ihre Domain darstellt.
  • Sie haben mindestens einen Benutzer bereitgestellt.
  • Sie haben mindestens eine Benutzergruppe bereitgestellt, die die Benutzer enthält, denen Sie Zugriff auf Security Center gewähren möchten.
  1. Öffnen Sie im Azure-Portal das Azure Active Directory für Ihren Mandanten.
  2. Wählen Sie im linken Menü App-Registrierungen aus und klicken Sie auf Neue Registrierung.

  3. Geben Sie einen Namen ein, wählen Sie Einzelmandant unter Unterstützte Kontotypen aus und klicken Sie auf Registrieren.

  4. Wählen Sie im linken Menü Ihrer Anwendung Authentifizierung aus, klicken Sie auf Plattform hinzufügen und wählen Sie Web.

  5. Geben Sie unter Web konfigurieren den ersten Umleitungs-URI für Security Center in Umleitungs-URIs ein und klicken Sie auf Konfigurieren.

    NOTE: Die explizite Abmelde-URL wird von OIDC nicht benötigt.
  6. Klicken Sie unter Umleitungs-URIs für die Web-Plattform auf URI hinzufügen und geben Sie die verbleibenden URIs Umleitung und Abmelden für Security Center ein. Klicken Sie dann auf Speichern.

  7. Wählen Sie im linken Menü Ihrer Anwendung Zertifikate & Secrets aus und klicken Sie auf Neues Client-Secret, um ein Client-Secret für Security Center zu generieren.

    Best Practice: Nachdem Sie Ihr Secret generiert haben, kopieren Sie es und bewahren Sie es sicher auf, bis die Integration abgeschlossen ist. Es ist unmöglich, ein Client-Secret aus der Azure AD-Konfiguration abzurufen. Wenn das Secret verloren geht, müssen Sie ein neues generieren.
  8. Wählen Sie im linken Menü Ihrer Anwendung Token-Konfiguration.
  9. Klicken Sie auf Gruppen-Claim hinzufügen, wählen Sie die Gruppentypen aus, denen Sie Zugriff auf Security Center gewähren möchten, wählen Sie Gruppen-ID als Zugriffstoken-Typ aus und klicken Sie dann auf Hinzufügen .

  10. Klicken Sie auf Optionalen Claim hinzufügen, wählen Sie den Tokentyp Zugriff aus, dann den UPN-Claim und klicken Sie auf Hinzufügen.
    NOTE: Security Center erfordert eine eindeutige Kennung für den Benutzer. UPN ist eine Möglichkeit, aber auch andere optionale Claims wie E-Mail können verwendet werden.

  11. Wählen Sie im linken Menü Ihrer Anwendung Manifest aus, setzen Sie accessTokenAcceptedVersion auf 2 und klicken Sie auf Speichern.

  12. Wählen Sie im linken Menü Ihrer Anwendung API verfügbar machen.
  13. Klicken Sie neben Anwendungs-ID-URI auf Festlegen, um einen global eindeutigen URI für die Security Center-Anwendung anzugeben, und klicken Sie auf Speichern.

    Azure AD generiert automatisch einen verwendbaren URI. Sie können die Standardeinstellung verwenden oder nach Bedarf ändern.

  14. Klicken Sie auf Bereich hinzufügen, füllen Sie die erforderlichen Felder mit Werten Ihrer Wahl aus und klicken Sie auf Bereich hinzufügen.
    NOTE: Ein benutzerdefinierter Bereich stellt sicher, dass Azure AD auf Security Center abzielt. Der Bereich kann alles angeben.

3 - Integration von Security Center in Azure AD

  1. Öffnen Sie in Config Tool die zuvor erstellte Rolle "Authentication Service" und klicken Sie auf die Registerkarte Eigenschaften.
  2. Vervollständigen Sie die Eigenschaften wie folgt:
    Anzeigename
    Bei der Anmeldung bei Security Center werden Authentifizierungsoptionen von Drittanbietern jeweils als Schaltfläche mit dem Text "Mit <display name> anmelden" angezeigt.
    Aussteller
    Sichere URL (https), die auf das OpenID Connect-Metadaten-Dokument verweist. Kopieren Sie es von Endpunkten in der Azure AD-Anwendungskonfiguration.

    Domainnamen
    Die Domainnamen von Benutzern, die sich mit Azure AD authentifizieren, z. B. genetec.com. Sie müssen mindestens einen haben.
    Client-ID
    Eindeutiger Bezeichner, der Security Center in Azure AD darstellt. Kopieren Sie diesen aus der Übersicht in der Azure AD-Anwendungskonfiguration.

    Vertraulicher Client
    Wechseln Sie zu EIN, wenn Sie ein Client-Secret in Azure AD generieren möchten.
    Client-Secret
    Geben Sie das Client-Secret ein, das Sie in Azure AD generiert haben.
    Benutzernamen-Claim
    Geben Sie Folgendes ein: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
    Gruppen-Claim
    Geben Sie Folgendes ein: groups
    Bereiche (erweiterte Einstellung)
    Der benutzerdefinierte Bereich, den Sie in Azure AD erstellt haben. Kopieren Sie ihn von API verfügbar machen in der Azure AD-Anwendungskonfiguration.

    Belassen Sie alle anderen Eigenschaften mit dem Standardwert.

  3. Klicken Sie auf Anwenden.
  4. Laden Sie Ihre Gruppenliste als CSV-Datei aus Azure Active Directory herunter.
  5. Importieren Sie Benutzergruppen aus der heruntergeladenen CSV-Datei nach Security Center.
    NOTE: Die externe eindeutige Kennung importierter Gruppen muss mit der Objekt-ID dieser Gruppen in Azure AD übereinstimmen.