Intégrer Security Center avec Okta OpenID Connect - Avant que Security Center puisse utiliser Okta pour authentifier les utilisateurs avec OpenID Connect, une configuration est requise dans Config Tool et dans Okta Admin Console. - Security Center 5.11

Guide de l’administrateur Security Center 5.11
Product
Security Center
Content type
Guides > Guides d'administration
Version
5.11
ft:locale
fr-FR
Last updated
2024-07-05

Avant que Security Center puisse utiliser Okta pour authentifier les utilisateurs avec OpenID Connect, une configuration est requise dans Config Tool et dans Okta Admin Console.

Cet exemple montre les étapes requises pour configurer l'authentification tierce avec Okta à l'aide du point de terminaison UserInfo d’OpenID Connect (OIDC). La procédure comprend les sections suivantes :

  1. Préparation de Security Center
  2. Préparer Okta
  3. Intégration de Security Center à Okta

Pour implémenter l'authentification tierce, vous devez disposer des droits d'administrateur dans Security Center et Okta.

IMPORTANT : Cet exemple d'intégration peut différer de vos exigences, et Okta Admin Console est sujet à modification. Lors de la configuration d'Okta, vérifiez que toutes les étapes sont adaptées à votre situation particulière.

1 - Préparation de Security Center

  1. Ouvrez Config Tool et connectez-vous à Security Center serveur principal en tant qu'administrateur.
  2. Dans Config Tool, ouvrez Système > Rôles et cliquez sur Ajouter une entité > Services d'authentification.
    Menu Ajouter une entité dans Config Tool, avec le rôle Service d'authentification sélectionné.
  3. Dans la fenêtre Création d'un rôle : service d'authentification, sélectionnez OpenID et cliquez sur Suivant.
    Créer un rôle : Fenêtre Service d'authentification dans Config Tool, avec le protocole OpenID sélectionné.
  4. Saisissez un nom et une description facultative pour le nouveau rôle de service d'authentification, puis cliquez sur Suivant.
    Créer un rôle : Fenêtre Service d'authentification dans Config Tool affichant les champs d'information de base pour Okta.
    REMARQUE : Si votre système possède plusieurs partitions, vous pouvez également ajouter le nouveau rôle à une partition spécifique ici.
  5. Sur la page Résumé, assurez-vous que toutes les informations sont correctes, cliquez sur Créer, puis sur Fermer.
  6. Dans le rôle nouvellement créé, cliquez sur l'onglet Point de terminaison réseau.
  7. Sur la page Point de terminaison réseau, copiez les URI de redirection et de déconnexion OIDC. Ceux-ci sont nécessaires pour configurer les URI de redirection Sign-in redirect (Redirection de la connexion) et Sign-out redirect (Redirection de la déconnexion) dans Okta.
    REMARQUE : Il se peut que vous deviez redémarrer la tâche Système pour voir les URI de point de terminaison.
    Page terminaison réseau du rôle Service d'authentification dans Config Tool affichant les URI de redirection et de déconnexion.

2- Préparer Okta

Avant d'effectuer ces étapes dans Okta Admin Console, les conditions préalables suivantes doivent être réunies :
  • Avoir un compte administrateur Okta.
  • Avoir provisionné au moins un utilisateur.
  • Avoir provisionné au moins un groupe d'utilisateurs contenant les utilisateurs auxquels vous souhaitez accorder l'accès à Security Center.
  1. Dans Okta Admin Console, sélectionnez Applications > Applications puis cliquez sur Create App Integration.
    Okta Admin Console affichant le bouton de création d'intégration d'application sur la page Applications.
  2. Dans l’assistant Create a new app integration, sélectionnez OIDC - OpenID Connect, Web Application, et cliquez sur Next.
    Assistant de création d'intégration d'application dans la console d'administration Okta, avec les options OIDC et application web sélectionnées.
  3. Sur la page New Web App Integration, configurez les options suivantes et cliquez sur Save :
    • Nom de l’intégration d'application
      Page New Web App Integration dans Okta Admin Console, avec les champs App integration name et Grant type mis en évidence.
    • URI de redirection de la connexion copiées depuis les URI de redirection dans Security Center
      Page nouvelle intégration d'application dans la console d'administration Okta, avec l’URI de redirection de la connexion.
    • URI de redirection de la déconnexion copiées depuis les URI de déconnexion dans Security Center
      Page nouvelle intégration d'application dans la console d'administration Okta, avec l’URI de redirection de la déconnexion.
    • Dans Controlled access sélectionnez Limit access to selected groups (Limiter l’accès à certains groupes) et ajoutez les groupes de votre choix
      Page nouvelle intégration d'application dans la console d'administration Okta, avec l'option Accès contrôlé.
  4. Sur la page General pour votre application, copiez les réglages Client ID et Client secret par défaut. Ceux-ci sont nécessaires pour configurer Security Center. Le cas échéant, cliquez sur Edit pour modifier les valeurs.
    Page General pour les applications Web dans la console d’administration Okta affichant les identifiants client.
  5. Cliquez sur l’onglet Portées de l’API Okta pour votre application Security Center et autorisez les opérations okta.groups.read et okta.users.read.
    Page Okta API Scopes dans la console d'administration Okta affichant les opérations accordées.
  6. Cliquez sur Security > API et copiez Issuer URI (URI de l'émetteur) pour le serveur d'autorisation par défaut. Cet URI est nécessaire pour configurer Security Center.
    Console d'administration Okta affichant l’URI de l’émetteur sur la page API.
  7. Ouvrez le serveur d'autorisation par défaut, cliquez sur l’onglet Claims (Revendications), et cliquez sur Add Claim (Ajouter une revendication).
    Page de revendications pour le serveur d'autorisation par défaut dans la console d'administration Okta affichant le bouton Ajouter une revendication.
  8. Ajoutez une revendication de groupe de la manière suivante, et cliquez sur Create (Créer) :
    Fenêtre Ajouter une revendication dans la console d'administration Okta affichant les réglages nécessaires pour Security Center.
    REMARQUE : Le filtre Correspondances regex avec .* renvoie tous les groupes auquel appartient l'utilisateur authentifié.

    Le cas échéant, le filtre peut aussi servir à exclure certains groupes de la revendication. Au moins un groupe affecté à Security Center doit être inclus à la revendication pour accorder l'accès.

3 - Intégration de Security Center à Okta

  1. Dans Config Tool, ouvrez le rôle Service d'authentification créé précédemment et cliquez sur l'onglet Propriétés.
  2. Complétez les propriétés comme suit :
    Nom d’affichage
    Lors de la connexion à Security Center, chaque option d'authentification tierce est présentée sous forme de bouton avec le texte « Se connecter avec <display name> ».
    Émetteur
    Entrez le Issuer URI (URI de l’émetteur) copié depuis le serveur d'autorisation par défaut dans Okta.
    Noms de domaine
    Les noms de domaine des utilisateurs qui s'authentifieront à l'aide d'Okta, tels que genetec.com. Vous devez en avoir au moins un.
    ID client
    Saisissez l'ID client que vous avez copié depuis l’application Security Center dans Okta.
    Client confidentiel
    Régler sur ON.
    Code client
    Saisissez la clé secrète client que vous avez copiée depuis l’application Security Center dans Okta.
    Revendication de nom d’utilisateur
    Entrez : preferred_username
    Revendication de groupe
    Entrez : groupes
    Obtain claims from (advanced setting) (Obtenir des revendications de (réglage avancé))
    • Réglez Access token sur OFF.
    • Réglez User info endpoint sur ON.

    Laissez toutes les autres propriétés avec la valeur par défaut.

  3. Cliquez sur Appliquer.
  4. Créez un ou plusieurs groupes d'utilisateurs avec exactement le même nom que les groupes affectés à l'application Security Center dans Okta.
  5. Ajoutez des groupes autorisés à se connecter avec Okta à la liste Groupes d'utilisateurs dans le rôle Service d'authentification.
Sujet parent : Présentation de l'intégration pour l'authentification tierce à l'aide d'OpenID Connect