Antes de que Security Center pueda usar Okta para autenticar usuarios con OpenID Connect, se requiere configuración en Config Tool y la Okta Admin Console.
Este ejemplo muestra los pasos necesarios para configurar la autenticación de terceros con Okta mediante el punto de conexión UserInfo de OpenID Connect (OIDC). El procedimiento se divide en las siguientes secciones:
Para implementar la autenticación de terceros, debe tener derechos de administrador en Security Center y Okta.
1 - Preparación de Security Center
- Abra Config Tool y conéctese al Security Center Servidor principal como administrador.
- En Config
Tool, abra y haga clic en .
- En la ventana de Creación de una función: Authentication Service, seleccione OpenID y haga clic en Siguiente.
- Introduzca un nombre y una descripción opcional para la nueva función del Authentication Service y haga clic en Siguiente.NOTE: Si su sistema tiene varias particiones, también puede agregar la nueva función a una partición específica aquí.
- En la página de Resumen, asegúrese de que toda la información sea correcta, haga clic en Crear y luego en Cerrar.
- En la función recién creada, haga clic en la pestaña de Punto final de red.
- En la página de Punto final de la red, copie los URI de redireccionamiento y cierre de sesión de OIDC. Estos son necesarios para configurar URI de redireccionamiento de inicio de sesión y URI de redireccionamiento de cierre de sesión de Okta.NOTE: Es posible que deba reiniciar la tarea del Sistema para ver los URI del punto final.
2 - Preparación de Okta
- Tener una cuenta de administrador de Okta.
- Haber aprovisionado al menos a un usuario.
- Haber proporcionado al menos un grupo de usuarios que contiene los usuarios a los que desea otorgar acceso a Security Center.
- En la Okta Admin Console, seleccione Crear Integración de Aplicaciones.
- En el asistente de Crear una nueva integración de aplicaciones, seleccione OIDC - OpenID Connect, Aplicación Web y haga clic en Siguiente.
- En la página de Nueva Integración de Aplicación Web, establezca lo siguiente y haga clic en Guardar:
- Nombre de integración de la aplicación
- URI de redireccionamiento de inicio de sesión copiado de los URI de redireccionamiento en Security Center
- URI de redireccionamiento de cierre de sesión copiado de los URI de cierre de sesión en Security Center
- En Acceso controlado, seleccione Limitar el acceso a grupos seleccionados y agregue los grupos requeridos
- Nombre de integración de la aplicación
- En la página de General para su aplicación, copie los valores ID de cliente y Secreto de cliente predeterminados. Estos son necesarios para configurar Security Center. Si es necesario, puede hacer clic en Editar para generar un nuevo secreto de cliente.
- Haga clic en la pestaña Alcances API de Okta para su aplicación Security Center y conceda las operaciones
okta.groups.read
yokta.users.read
. - Haga clic en Security Center.
- Abra el servidor de autorización predeterminado, haga clic en la pestaña de Reclamos y haga clic en Agregar Reclamo.
- Agregue un reclamo de grupo de la siguiente manera y haga clic en Crear:NOTE: El filtro de Expresiones regulares que coinciden con
. *
encuentra todos los grupos a los que pertenece el usuario autenticado.Si es necesario, el filtro también se puede utilizar para excluir ciertos grupos del reclamo. Al menos un grupo asignado a Security Center debe incluirse con el reclamo para otorgar acceso.
3 - Integrar Security Center con Okta
- En Config Tool, abra la función de Authentication Service que se creó con anterioridad y haga clic en la pestaña de Propiedades.
- Complete las propiedades de la siguiente manera:
- Nombre para mostrar
- Al iniciar sesión en Security Center, las opciones de autenticación de terceros se presentan como un botón con el texto "Iniciar sesión con <display name>".
- Editor
- Introduzca en Okta el URI del emisor que se copió del servidor de autorización predeterminado.
- Nombres de dominio
- Los nombres de dominio de los usuarios que se autenticarán mediante Okta, como genetec.com. Debe tener al menos uno.
- ID de cliente
- Introduzca en Okta la ID de cliente que copió de la aplicación Security Center.
- Cliente confidencial
- Cambie a ON.
- Secreto de cliente
- Introduzca en Okta el secreto de cliente que copió de la aplicación Security Center.
- Reclamo de nombre de usuario
- Introduzca: nombre_usuario_preferido
- Reclamo grupal
- Introduzca: grupos
- Obtener reclamos de (configuración avanzada)
-
- Cambie el Token de acceso a APAGADO.
- Cambie el Punto final de información de usuario a ENCENDIDO.
Deje todas las demás propiedades con el valor predeterminado.
- Haga clic en Aplicar.
- Cree uno o más grupos de usuarios con el mismo nombre que los grupos asignados a la aplicación Security Center en Okta.
- Agregue grupos autorizados para conectarse usando Okta a la lista de Grupos de usuarios en la función de Authentication Service.