Antes de que Security Center pueda usar Okta para autenticar usuarios con SAML 2.0, se requiere configuración en Config Tool y la Okta Admin Console.
Este ejemplo muestra los pasos necesarios para configurar la autenticación de terceros con Okta mediante SAML 2.0. El procedimiento se divide en las siguientes secciones:
Para implementar la autenticación de terceros, debe tener derechos de administrador en Security Center y Okta.
1 - Preparación de Security Center
- Abra Config Tool y conéctese al Security Center Servidor principal como administrador.
- En Config
Tool, abra y haga clic en .
- En la ventana de Creación de una función: Authentication Service, seleccione SAML2 y haga clic en Siguiente.
- Introduzca un nombre y una descripción opcional para la nueva función del Authentication Service y haga clic en Siguiente.NOTE: Si su sistema tiene varias particiones, también puede agregar la nueva función a una partición específica aquí.
- En la página de Resumen, asegúrese de que toda la información sea correcta, haga clic en Crear y luego en Cerrar.
- En la función recién creada, haga clic en la pestaña de Punto final de red.
- En la página de Punto de conexión de la red, copie los URI de redireccionamiento y cierre de sesión. Estos son necesarios para configurar el URL de inicio de sesión único y el URL de cierre de sesión única de Okta.NOTE: Es posible que deba reiniciar la tarea del Sistema para ver los URI del punto final.
Se usan los mismos URI para OIDC y SAML 2.0. Estos URI deben ser accesibles desde todos los clientes que usen Inicio de Sesión Única.
- En el servidor principal de Security Center, siga las instrucciones de su sistema operativo para exportar el certificado de clave pública usado por el servidor principal de Security Center en formato X.509.NOTE: El Nombre Común (CN, por sus siglas en inglés) o Nombre Alternativo de Sujeto (SAN, por sus siglas en inglés) del certificado deben coincidir con el nombre de host, la dirección IP o el Nombre de Dominio completo (FQDN, por sus siglas en inglés) que se usa en los URI de redireccionamiento y cierre de sesión.
Okta requiere esta clave pública para habilitar el Cierre de Sesión Única. El certificado de Security Center se muestra en la sección de Comunicación segura en la página de Server Admin - Servidor principal.
2 - Preparación de Okta
- Tener una cuenta de administrador de Okta.
- Haber aprovisionado al menos a un usuario.
- Haber proporcionado al menos un grupo de usuarios que contiene los usuarios a los que desea otorgar acceso a Security Center.
- En la Okta Admin Console, seleccione Crear Integración de Aplicaciones.
- En el asistente de Crear una nueva integración de aplicaciones, seleccione SAML 2.0 y haga clic en Siguiente.
- En el asistente de Crear Integración de SAML, introduzca el Nombre de la aplicación y haga clic en Siguiente.
- En la página de Configurar SAML, establezca lo siguiente:
- URL de inicio de sesión única copiado de los URI de redireccionamiento en Security CenterNOTE: Si se requiere más de un URI, seleccione Permitir que esta aplicación solicite otros URL de SSO e introduzca los URI adicionales según sea necesario.
- URI de audiencia (ID de Entidad de SP) introduzca urn:SecurityCenter
- Formato de ID de nombre Seleccione Persistente
-
- URL de inicio de sesión única copiado de los URI de redireccionamiento en Security Center
- Todavía en la sección de Ajustes de SAML, haga clic en Mostrar Configuración Avanzada y establece lo siguiente:
- Habilitar Cierre de Sesión Única
- URL de Cierre de Sesión Única el punto de conexión /genetec copiado de los URI de cierre de sesión en Security Center
- SP Emisor introduzca urn:SecurityCenter
- Certificado de firma cargue el certificado de clave pública exportado de Security Center
- En la sección de Declaraciones de Atributos, establezca lo siguiente:
- Nombre
- login
- Formato de nombre
- Referencia a URI
- Valor
- user.login
- En la sección de Declaraciones de Atributos de Grupo, establezca lo siguiente:
- Nombre
- groups
- Formato de nombre
- Referencia a URI
- Filtro
- Expresiones regulares que coinciden .*NOTE: El filtro de Expresiones regulares que coinciden con
. *
encuentra todos los grupos a los que pertenece el usuario autenticado.Si es necesario, el filtro también se puede utilizar para excluir ciertos grupos. Al menos un grupo asignado a Security Center debe incluirse para otorgar acceso.
- Haga clic en Siguiente.
- En la página de Comentarios, seleccione Soy un cliente de Okta agregando una aplicación interna, proporcione comentarios opcionales y haga clic en Finalizar.
- En la página de Inicio de Sesión para su aplicación, haga lo siguiente:
- Copie el URL de metadatos del Proveedor de Identidad. Este es el URL de metadatos requerido por la función del Authentication Service en Security Center.
- Haga clic en Ver Instrucciones de Configuración.
- En la página de Cómo configurar SAML 2.0 para <aplicación>, descargue el Certificado X.509.
- En la página de Asignaciones para su aplicación, asigne los grupos de usuarios de Security Center a la aplicación.
3 - Integrar Security Center con Okta
- En el servidor principal de Security Center, siga las instrucciones de su sistema operativo para importar el certificado de Okta.NOTE: Es posible que tenga que reiniciar Windows para que el certificado surta efecto.
- En Config Tool, abra la función de Authentication Service que se creó con anterioridad y haga clic en la pestaña de Propiedades.
- Complete las propiedades de la siguiente manera:
- Nombre para mostrar
- Al iniciar sesión en Security Center, las opciones de autenticación de terceros se presentan como un botón con el texto "Iniciar sesión con <display name>".
- URL de metadatos
- Introduzca el URL de metadatos del Proveedor de Identidad que se copió de Okta.
- Audiencia
- urn:SecurityCenter
- Nombres de dominio
- Los nombres de dominio de los usuarios que se autenticarán mediante Okta, como genetec.com. Debe tener al menos uno.
- Aserción de nombre de usuario
- login
- Afirmación de grupo
- groups
Deje todas las demás propiedades con el valor predeterminado.
- Haga clic en Aplicar.
- Cree uno o más grupos de usuarios con el mismo nombre que los grupos asignados a la aplicación Security Center en Okta.
- Agregue grupos autorizados para conectarse usando Okta a la lista de Grupos de usuarios en la función de Authentication Service.