Avant que Security Center puisse utiliser Okta pour authentifier les utilisateurs avec OpenID Connect, une configuration est requise dans Config Tool et dans Okta Admin Console.
Cet exemple montre les étapes requises pour configurer l'authentification tierce avec Okta à l'aide du point de terminaison UserInfo d’OpenID Connect (OIDC). La procédure comprend les sections suivantes :
- Préparation de Security Center
- Préparer Okta
- Intégration de Security Center à Okta
Pour implémenter l'authentification tierce, vous devez disposer des droits d'administrateur dans Security Center et Okta.
1 - Préparation de Security Center
- Ouvrez Config Tool et connectez-vous à Security Center serveur principal en tant qu'administrateur.
- Dans Config Tool, ouvrez
- Dans la fenêtre Création d'un rôle : service d'authentification, sélectionnez OpenID et cliquez sur Suivant.
- Saisissez un nom et une description facultative pour le nouveau rôle de service d'authentification, puis cliquez sur Suivant.REMARQUE : Si votre système possède plusieurs partitions, vous pouvez également ajouter le nouveau rôle à une partition spécifique ici.
- Sur la page Résumé, assurez-vous que toutes les informations sont correctes, cliquez sur Créer, puis sur Fermer.
- Dans le rôle nouvellement créé, cliquez sur l'onglet Point de terminaison réseau.
- Sur la page Point de terminaison réseau, copiez les URI de redirection et de déconnexion OIDC. Ceux-ci sont nécessaires pour configurer les URI de redirection Sign-in redirect (Redirection de la connexion) et Sign-out redirect (Redirection de la déconnexion) dans Okta.REMARQUE : Il se peut que vous deviez redémarrer la tâche Système pour voir les URI de point de terminaison.
2- Préparer Okta
- Avoir un compte administrateur Okta.
- Avoir provisionné au moins un utilisateur.
- Avoir provisionné au moins un groupe d'utilisateurs contenant les utilisateurs auxquels vous souhaitez accorder l'accès à Security Center.
- Dans Okta Admin Console, sélectionnez Create App Integration.
- Dans l’assistant Create a new app integration, sélectionnez OIDC - OpenID Connect, Web Application, et cliquez sur Next.
- Sur la page New Web App Integration, configurez les options suivantes et cliquez sur Save :
-
Nom de l’intégration d'application
-
URI de redirection de la connexion copiées depuis les URI de redirection dans Security Center
-
URI de redirection de la déconnexion copiées depuis les URI de déconnexion dans Security Center
- Dans Controlled access sélectionnez Limit access to selected groups (Limiter l’accès à certains groupes) et ajoutez les groupes de votre choix
-
Nom de l’intégration d'application
- Sur la page General pour votre application, copiez les réglages Client ID et Client secret par défaut. Ceux-ci sont nécessaires pour configurer Security Center. Le cas échéant, cliquez sur Edit pour modifier les valeurs.
- Cliquez sur l’onglet Portées de l’API Okta pour votre application Security Center et autorisez les opérations
okta.groups.read
etokta.users.read
. - Cliquez sur
- Ouvrez le serveur d'autorisation par défaut, cliquez sur l’onglet Claims (Revendications), et cliquez sur Add Claim (Ajouter une revendication).
- Ajoutez une revendication de groupe de la manière suivante, et cliquez sur Create (Créer) :REMARQUE : Le filtre Correspondances regex avec
.*
renvoie tous les groupes auquel appartient l'utilisateur authentifié.Le cas échéant, le filtre peut aussi servir à exclure certains groupes de la revendication. Au moins un groupe affecté à Security Center doit être inclus à la revendication pour accorder l'accès.
3 - Intégration de Security Center à Okta
- Dans Config Tool, ouvrez le rôle Service d'authentification créé précédemment et cliquez sur l'onglet Propriétés.
- Complétez les propriétés comme suit :
- Nom d’affichage
- Lors de la connexion à Security Center, chaque option d'authentification tierce est présentée sous forme de bouton avec le texte « Se connecter avec <display name> ».
- Émetteur
- Entrez le Issuer URI (URI de l’émetteur) copié depuis le serveur d'autorisation par défaut dans Okta.
- Noms de domaine
- Les noms de domaine des utilisateurs qui s'authentifieront à l'aide d'Okta, tels que genetec.com. Vous devez en avoir au moins un.
- ID client
- Saisissez l'ID client que vous avez copié depuis l’application Security Center dans Okta.
- Client confidentiel
- Régler sur ON.
- Code client
- Saisissez la clé secrète client que vous avez copiée depuis l’application Security Center dans Okta.
- Revendication de nom d’utilisateur
- Entrez : preferred_username
- Revendication de groupe
- Entrez : groupes
- Obtain claims from (advanced setting) (Obtenir des revendications de (réglage avancé))
-
- Réglez Access token sur OFF.
- Réglez User info endpoint sur ON.
Laissez toutes les autres propriétés avec la valeur par défaut.
- Cliquez sur Appliquer.
- Créez un ou plusieurs groupes d'utilisateurs avec exactement le même nom que les groupes affectés à l'application Security Center dans Okta.
- Ajoutez des groupes autorisés à se connecter avec Okta à la liste Groupes d'utilisateurs dans le rôle Service d'authentification.