Présentation de l'intégration pour l'authentification tierce à l'aide d'OpenID Connect - Security Center 5.10

Guide de l'administrateur Security Center 5.10

series
Security Center 5.10
revised_modified
2021-03-12
category_custom
Guides
Guides > Guides d'administration

Avant que les utilisateurs puissent se connecter à Security Center à l'aide d'un fournisseur d'identité externe avec OpenID Connect (OIDC), vous devez suivre une séquence d'étapes.

Le tableau suivant répertorie les tâches requises pour déployer l'authentification tierce à l'aide d'OIDC :
Étape Tâche Informations complémentaires
Comprendre les prérequis et les problèmes clés avant l'intégration
1 Prenez connaissance des différents composants et de la manière dont ils interagissent.
2 Assurez-vous que tous les clients Security Center font confiance à la connexion à votre fournisseur d'identité.

Pour cela, le certificat de clé publique du fournisseur d'identité doit être signé par une autorité de certification de confiance sur l'ordinateur ou le périphérique mobile se connectant à Security Center.

 
3 Vérifiez que votre licence Security Center inclut les intégrations OpenID Connect.

Accédez à la page d'accueil Config Tool, cliquez sur À propos de > Security Center et confirmez que le nombre d'intégrations OpenID Connect est égal à un ou plus.

Préparer Security Center
4 Ajoutez un rôle Service d'authentification pour OpenID et cliquez sur l'onglet Point de terminaison réseau. Vous devrez peut-être redémarrer la tâche Système pour voir les noeuds finaux.

Les points de terminaison de redirection et de déconnexion sont requis pour configurer votre fournisseur d'identité. Il existe différents URI pour chaque type de client :

/genetec
Config Tool, Security Desk et SDK
/<Mobile>OpenId
Genetec™ Mobile
/<SecurityCenter>OpenId
Web Client
REMARQUE : Mobile et SecurityCenter sont les adresses Web par défaut pour les rôles Mobile Server et Web Server. Toute modification de ces adresses Web sera reflétée dans les URI correspondants.

Pour utiliser le basculement de rôles, des URI de redirection et de déconnexion sont nécessaires pour chaque serveur pouvant héberger les rôles Répertoire, Mobile Server et Web Server. Assurez-vous que le basculement de rôle est correctement configuré pour voir tous les points de terminaison requis.

Si de nouveaux serveurs sont ajoutés ou si des serveurs sont retirés après la configuration du fournisseur d'identité, il se peut que vous deviez mettre à jour la configuration en ajoutant ou en supprimant des URI, si nécessaire.

Tous les clients doivent pouvoir résoudre l'URI du point de terminaison pour leur type. Si une adresse publique est utilisée, cette adresse doit être résolue sur le serveur approprié pour les clients se connectant à partir de votre réseau privé.

Intégrer le fournisseur d'identité externe
5 En suivant les instructions de votre fournisseur d'identité, ajoutez Security Center en tant qu'application de confiance dans ce système.

Pour une authentification réussie, Security Center nécessite que le fournisseur d'identité renvoie des revendications concernant la partie authentifiée dans un jeton d'accès (format JWT) ou le point de terminaison UserInfo.

Au minimum, elles doivent inclure une revendication de nom d'utilisateur et une revendication d'appartenance à un groupe.

 
6 Ajoutez les groupes d'utilisateurs autorisés de votre fournisseur d'identité dans Security Center et définissez des privilèges.

Si votre fournisseur d'identité peut exporter une liste de groupes au format CSV, cette liste peut être importée dans Security Center.

En règle générale, les fournisseurs d'identité utilisent des noms pour identifier de manière unique les groupes d'utilisateurs. Lorsque des noms sont utilisés, les groupes d'utilisateurs Security Center doivent avoir exactement le même nom que le groupe correspondant de votre fournisseur d'identité et inclure le nom de domaine. Par exemple : Operateurs@VotreEntreprise.com. Toutefois, si votre fournisseur d'identité utilise un ID pour identifier de manière unique un groupe d'utilisateurs, cet ID doit être ajouté à la propriété Identificateur unique externe du groupe d'utilisateurs correspondant dans Security Center avant que le groupe ne soit lié au rôle Service d'authentification.

Les utilisateurs sont automatiquement créés et ajoutés à leur(s) groupe(s) attribué(s) lors de leur première connexion.

7 Configurez le rôle Service d'authentification avec des informations sur votre fournisseur d'identité.

Ouvrez le rôle Service d'authentification pour OpenID, cliquez sur l'onglet Propriétés et saisissez les champs requis.