Vous pouvez configurer un service d'authentification à l'aide du protocole OpenID à partir de la vue Rôles de la tâche Système dans Security Center Config Tool.
Dans l'onglet Propriétés, vous pouvez configurer un fournisseur d'identité OpenID pour l'authentification tierce.
- Protocole
- Définit le protocole d’authentification à utiliser avec ce fournisseur d’identité. La modification du protocole entraîne la migration de la configuration du service d’authentification entre OpenID et SAML2.ATTENTION :Selon la configuration d’origine, la migration d’un rôle Service d’authentification vers un autre protocole peut générer des erreurs dans la nouvelle configuration. Après la migration, assurez-vous que la nouvelle configuration est complète et correcte avant de l’utiliser.
- Nom d’affichage
- Identifie ce fournisseur sur l’écran de connexion client. Chaque fournisseur est présenté sous la forme d’un bouton avec le texte « Se connecter en tant que <display name> ».
- Émetteur
- URL sécurisée (HTTPS) pointant vers le document de découverte OpenID du fournisseur. Ce fichier de métadonnées contient toutes les informations nécessaires pour interagir avec le fournisseur d’identité tiers, y compris les emplacements et les capacités des points de terminaison.
- Noms de domaine
- Liste des noms de domaine associés aux utilisateurs qui se connecteront à Security Center à l'aide de ce fournisseur d'identité. Les noms d'utilisateur qui incluent l'un de ces domaines seront automatiquement redirigés vers l'écran de connexion du fournisseur.
- ID client
- L'ID client (également appelé public) est un identifiant unique pour Security Center émis par le fournisseur d'identité lorsque l'application est enregistrée.
- Client confidentiel
- Cette option est désactivée par défaut. Activez-le pour configurer Security Center en tant que client confidentiel de ce fournisseur d'identité. Les clients confidentiels disposent d'une sécurité renforcée, cette option est donc fortement recommandée. Ils utilisent un code client privé pour s’identifier auprès du fournisseur d’identité.
- Code client
- S'affiche uniquement lorsque l'option Client confidentiel est activée. Le code client est un mot de passe confidentiel émis par le fournisseur d'identité lorsque Security Center est enregistré en tant que client confidentiel.
- Revendication de nom d'utilisateur
- Revendication OpenID utilisée par le fournisseur d'identité pour renvoyer le nom d'utilisateur de la partie authentifiée. Security Center nécessite un nom d'utilisateur pour autoriser l'accès au client.
- Revendication de groupe
- Revendication OpenID utilisée par le fournisseur d'identité pour renvoyer les appartenances au groupe de la partie authentifiée. Security Center nécessite l'appartenance à un groupe pour autoriser l'accès au client.
- ID de ressource
- Active Directory Federation Services uniquement. URI contenant l'identifiant de la partie de confiance pour Security Center.
- Public
- KeyCloak uniquement. Les jetons d’accès renvoyés par Keycloak spécifient une audience différente de l’ID de client . Ce public doit être spécifié ici.
- Obtenir des revendications de
- Spécifie les emplacements auxquels Security Center doit obtenir des revendications de la part de ce fournisseur d'identité. Les revendications peuvent être obtenues à partir d'un jeton d'accès, d'un point de terminaison UserInfo ou des deux.
- Portées
- Azure Active Directory uniquement. Les portées personnalisées définies pour l'application Security Center.
- Paramètres personnalisés
- Le cas échéant, spécifiez un ou plusieurs paramètres personnalisés à envoyer à ce fournisseur d’identité avec chaque requête d’authentification. Les paramètres personnalisés ne sont pas définis par le protocole OpenID et servent à répondre aux exigences de configurations non standard.
- Groupes d'utilisateurs
- Ajoutez ou supprimez Security Center groupes d'utilisateurs associés à ce fournisseur d'identité. Si votre fournisseur d'identité peut exporter une liste de groupes au format CSV, cette liste peut être importée ici. Les groupes manquants dans cette liste ne sont pas associés au fournisseur d’identité et ne seront pas utilisés pour autoriser les utilisateurs entrants.