Cómo integrar Security Center con Azure Active Directory usando OpenID Connect - Security Center 5.11

Guía del Administrador de Security Center 5.11
Applies to
Security Center 5.11
Last updated
2024-02-14
Content type
Guías > Guías del administrador
Language
Español
Product
Security Center
Version
5.11

Antes de que Security Center pueda usar Azure Active Directory para autenticar usuarios con OpenID Connect, se requiere configuración en Config Tool y en Azure Portal.

Este ejemplo muestra los pasos necesarios para configurar la autenticación de terceros con Azure Active Directory (Azure AD) mediante tokens de acceso de OpenID Connect (OIDC). El procedimiento se divide en las siguientes secciones:

  1. Preparación de Security Center
  2. Preparación de Azure AD
  3. Integrar Security Center con Azure AD

Para implementar la autenticación de terceros, debe tener derechos de administrador en Security Center y Azure AD.

IMPORTANT: Esta integración de muestra puede diferir de sus requisitos y Azure Portal está sujeto a cambios. Al configurar Azure AD, asegúrese de que todos los pasos se adapten a su situación específica.

1 - Preparación de Security Center

  1. Abra Config Tool y conéctese al Security Center Servidor principal como administrador.
  2. En Config Tool, abra Sistema > Funciones y haga clic en Agregar una entidad > Authentication Service .

  3. En la ventana de Creación de una función: Authentication Service, seleccione OpenID y haga clic en Siguiente.

  4. Introduzca un nombre y una descripción opcional para la nueva función del Authentication Service y haga clic en Siguiente.

    NOTE: Si su sistema tiene varias particiones, también puede agregar la nueva función a una partición específica aquí.
  5. En la página de Resumen, asegúrese de que toda la información sea correcta, haga clic en Crear y luego en Cerrar.
  6. En la función recién creada, haga clic en la pestaña de Punto final de red.
  7. En la página de Punto final de la red, copie los URI de redireccionamiento y cierre de sesión de OIDC. Estos son necesarios para configurar Azure AD.
    NOTE: Es posible que deba reiniciar la tarea del Sistema para ver los URI del punto final.

2 - Preparación de Azure AD

Antes de completar estos pasos en Azure Portal, debe cumplir con todos los siguientes requisitos previos:
  • Tener un Azure AD que represente su dominio.
  • Haber aprovisionado al menos a un usuario.
  • Haber proporcionado al menos un grupo de usuarios que contiene los usuarios a los que desea otorgar acceso a Security Center.
  1. En Azure Portal, abra el Azure Active Directory para su inquilino.
  2. En el menú de la izquierda, seleccione Registros de aplicaciones y haga clic en Nuevo registro.

  3. Introduzca un Nombre, seleccione Inquilino único en Tipos de cuenta admitidos y haga clic en Registrarse.

  4. En el menú de la izquierda de su aplicación, seleccione Autenticación, haga clic en Agregar una plataforma y seleccione Web.

  5. En Configurar Web, introduzca el primer URI de redireccionamiento para que Security Center redireccione los URI y haga clic en Configurar.

    NOTE: OIDC no requiere la URL de cierre de sesión explícita.
  6. En la URI de redireccionamiento para la plataforma Web, haga clic en Agregar URI e introduzca los URI de redireccionamiento y cierre de sesión restantes para Security Center y haga clic en Guardar.

  7. En el menú de la izquierda de su aplicación, seleccione Certificados y secretos y haga clic en Nuevo secreto de cliente para generar un secreto de cliente para Security Center.

    Best Practice: Después de generar su secreto, cópielo y guárdelo en un lugar seguro hasta que se complete la integración. Es imposible recuperar un secreto de cliente de la configuración de Azure AD. Si se pierde el secreto, debe generar uno nuevo.
  8. En el menú de la izquierda de su aplicación, seleccione Configuración de token.
  9. Haga clic en Agregar reclamo de grupos, seleccione los tipos de grupos a los que desea otorgar acceso a Security Center, seleccione ID de grupo para el tipo de token de Acceso y haga clic en Agregar.

  10. Haga clic en Agregar reclamo opcional, seleccione el tipo de token de Acceso, seleccione el reclamo UPN y haga clic en Agregar.
    NOTE: Security Center requiere un identificador único para el usuario. UPN es una posibilidad, pero en su lugar se pueden utilizar otros reclamos opcionales, como el correo electrónico.

  11. En el menú de la izquierda de su aplicación, seleccione Manifiesto, configure accessTokenAcceptedVersion en 2 y haga clic en Guardar.

  12. En el menú de la izquierda de su aplicación, seleccione Exponer una API.
  13. Haga clic en Establecer junto al URI de ID de aplicación para especificar un URI único global para la aplicación de Security Center y haga clic en Guardar.

    Azure AD genera de manera automática un URI utilizable. Puede utilizar el predeterminado o cambiarlo según sea necesario.

  14. Haga clic en Agregar un alcance, complete los campos obligatorios con los valores de su elección y haga clic en Agregar alcance.
    NOTE: Un alcance personalizado garantiza que Azure AD llegue a Security Center. El alcance puede especificar cualquier cosa.

3 - Integrar Security Center con Azure AD

  1. En Config Tool, abra la función de Authentication Service que se creó con anterioridad y haga clic en la pestaña de Propiedades.
  2. Complete las propiedades de la siguiente manera:
    Nombre para mostrar
    Al iniciar sesión en Security Center, las opciones de autenticación de terceros se presentan como un botón con el texto "Iniciar sesión con <display name>".
    Editor
    URL segura (https) que apunta al documento de metadatos de OpenID Connect. Cópielo de Extremos en la configuración de la aplicación de Azure AD.

    Nombres de dominio
    Los nombres de dominio de los usuarios que se autenticarán mediante Azure AD, como genetec.com. Debe tener al menos uno.
    ID de cliente
    Identificador único que representa Security Center en Azure AD. Cópielo del Resumen en la configuración de la aplicación de Azure AD.

    Cliente confidencial
    Cambie a ON si eligió generar un secreto de cliente en Azure AD.
    Secreto de cliente
    Introduzca el secreto de cliente que generó en Azure AD.
    Reclamo de nombre de usuario
    Introduzca: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
    Reclamo grupal
    Introduzca: grupos
    Alcances(configuración avanzada)
    El alcance personalizado que creó en Azure AD. Cópielo de Exponer una API en la configuración de la aplicación de Azure AD.

    Deje todas las demás propiedades con el valor predeterminado.

  3. Haga clic en Aplicar.
  4. Descargue de forma masiva su lista de grupos del Azure Active Directory como un archivo CSV.
  5. Importe grupos de usuarios desde el archivo CSV descargado aSecurity Center.
    NOTE: El identificador único externo de los grupos importados debe coincidir con la Id. de objeto de esos grupos en Azure AD.
Parent topic: Descripción general de la integración para la autenticación de terceros mediante OpenID Connect