Intégrer Security Center avec Okta à l’aide de SAML 2.0 - Security Center 5.11

Guide de l’administrateur Security Center 5.11
Product
Security Center
Content type
Guides > Guides d'administration
Version
5.11
ft:locale
fr-FR
Last updated
2024-07-05

Avant que Security Center puisse utiliser Okta pour authentifier les utilisateurs avec SAML 2.0, une configuration est requise dans Config Tool et dans Okta Admin Console.

Cet exemple montre les étapes requises pour configurer l'authentification tierce avec Okta à l'aide de SAML 2.0. La procédure comprend les sections suivantes :

  1. Préparation de Security Center
  2. Préparer Okta
  3. Intégration de Security Center à Okta

Pour implémenter l'authentification tierce, vous devez disposer des droits d'administrateur dans Security Center et Okta.

IMPORTANT : Cet exemple d'intégration peut différer de vos exigences, et Okta Admin Console est sujet à modification. Lors de la configuration d'Okta, vérifiez que toutes les étapes sont adaptées à votre situation particulière.

1 - Préparation de Security Center

  1. Ouvrez Config Tool et connectez-vous à Security Center serveur principal en tant qu'administrateur.
  2. Dans Config Tool, ouvrez Système > Rôles et cliquez sur Ajouter une entité > Services d'authentification.
    Menu Ajouter une entité dans Config Tool, avec le rôle Service d'authentification sélectionné.
  3. Dans la fenêtre Creating a role: Authentication Service , sélectionnez SAML2 et cliquez sur Next.
    Créer un rôle : Fenêtre Service d'authentification dans Config Tool, avec le protocole SAML 2.0 sélectionné.
  4. Saisissez un nom et une description facultative pour le nouveau rôle de service d'authentification, puis cliquez sur Suivant.
    Créer un rôle : Fenêtre Service d'authentification dans Config Tool affichant les champs d'information de base pour Okta.
    REMARQUE : Si votre système possède plusieurs partitions, vous pouvez également ajouter le nouveau rôle à une partition spécifique ici.
  5. Sur la page Résumé, assurez-vous que toutes les informations sont correctes, cliquez sur Créer, puis sur Fermer.
  6. Dans le rôle nouvellement créé, cliquez sur l'onglet Point de terminaison réseau.
  7. Sur la page Network endpoint (Point de terminaison réseau), copiez les URI de redirection et de déconnexion. Ceux-ci sont nécessaires pour configurer les URL Single sign on (Authentification unique) et Single Logout (Déconnexion unique) dans Okta.
    REMARQUE : Il se peut que vous deviez redémarrer la tâche Système pour voir les URI de point de terminaison.

    OIDC et SAML 2.0 utilisent les mêmes URI. Ces URI doivent être joignables par tous les clients qui utilisent l’authentification unique.

    Page terminaison réseau du rôle Service d'authentification dans Config Tool affichant les URI de redirection et de déconnexion.
  8. Sur le serveur principal Security Center, suivez les instructions pour votre système d'exploitation afin d'exporter le certificat de clé publique utilisé par le serveur principal Security Center au format X.509.
    REMARQUE : Les options CN (Common Name) ou SAN (Subject Alternative Name) du certificat doivent correspondre au nom d’hôte, à l’adresse IP ou au nom de domaine complet (FQDN) utilisé dans les URI de redirection et de déconnexion.

    Cette clé publique est exigée par Okta pour activer la déconnexion unique. Le certificat Security Center est affiché dans la section Sécuriser les communications de la page Server Admin - Serveur principal.

    Page Server Admin - Serveur principal affichant la section Sécuriser les communications.

2- Préparer Okta

Avant d'effectuer ces étapes dans Okta Admin Console, les conditions préalables suivantes doivent être réunies :
  • Avoir un compte administrateur Okta.
  • Avoir provisionné au moins un utilisateur.
  • Avoir provisionné au moins un groupe d'utilisateurs contenant les utilisateurs auxquels vous souhaitez accorder l'accès à Security Center.
  1. Dans Okta Admin Console, sélectionnez Applications > Applications puis cliquez sur Create App Integration.
    Okta Admin Console affichant le bouton de création d'intégration d'application sur la page Applications.
  2. Dans l’assistant Create a new app integration, sélectionnez SAML 2.0 et cliquez sur Next.
    Assistant de création d'intégration d'application dans la console d'administration Okta, avec l’option SAML 2.0 sélectionnée.
  3. Dans l'assistant Create SAML Integration, renseignez App name (Nom de l’application) et cliquez sur Next.
    Page New Web App Integration dans Okta Admin Console, avec les champs App integration name et Grant type mis en évidence.
  4. Sur la page Configure SAML, configurez les réglages suivants :
    • URL d'authentification unique copiée depuis les URI de redirection dans Security Center
      REMARQUE : Si plusieurs URI sont requises, sélectionnez Allow this app to request other SSO URLs (Autoriser cette application à demander d'autres URL SSO), puis ajoutez les URI nécessaires.
    • Dans Audience URI (SP Entity ID), entrez urn:SecurityCenter
    • Dans Name ID format, sélectionnez Persistent
    • Page de configuration SAML dans la console d'administration Okta, avec des légendes pour les options d’URL d'authentification unique, Audience URI et format d’ID de nom.
  5. Toujours dans la section SAML Settings (Réglages SAML), cliquez sur Show Advanced Settings (Afficher les options avancées), et configurez les réglages suivants :
    • Enable Single Logout (Activer la déconnexion unique)
    • URL de déconnexion unique, le point de terminaison /genetec copié depuis les URI de déconnexion dans Security Center
    • Dans SP Issuer, entrez urn:SecurityCenter
    • Certificat de signature, chargez le certificat de clé publique exporté depuis Security Center
    Page de configuration SAML dans la console d'administration Okta, avec les réglages de déconnexion unique.
  6. Dans la section Attribute statements (Déclarations d'attributs), configurez les réglages suivants :
    Nom
    login
    Name format
    URI Reference
    Valeur
    user.login
    Page de configuration SAML dans la console d'administration Okta, avec les déclarations d'attributs.
  7. Dans la section Group attribute statements (Déclarations d'attributs de groupe), configurez les réglages suivants :
    Nom
    groups
    Name format
    URI Reference
    Filtrer
    Matches regex .*
    REMARQUE : Le filtre Correspondances regex avec .* renvoie tous les groupes auquel appartient l'utilisateur authentifié.

    Le cas échéant, le filtre peut aussi servir à exclure certains groupes. Au moins un groupe affecté à Security Center doit être inclus pour accorder l'accès.

    Page de configuration SAML dans la console d'administration Okta, avec les déclarations d'attributs de groupe.
  8. Cliquez sur Suivant.
  9. Sur la page Feedback, sélectionnez I'm an Okta customer adding an internal app (Je suis un client Okta qui ajoute une application interne), entrez vos commentaires éventuels, et cliquez sur Finish (Terminer).
  10. Sur la page Sign On (Connexion) pour votre application, procédez de la manière suivante :
    1. Copiez l’URL Identity Provider metadata (Métadonnées du fournisseur d'identité). Il s'agit de l’URL de métadonnées exigée par le rôle Service d'authentification dans Security Center.
    2. Cliquez sur View Setup Instructions (Afficher les instructions de configuration).
    Page de connexion de l’application dans la console d'administration Okta, avec les options métadonnées de fournisseur d'identité et afficher les instructions de configuration.
  11. Sur la page How to Configure SAML 2.0 for <application> (Comment configurer SAML 2.0 pour <application>), téléchargez le Certificat X.509.
  12. Sur la page Affectations de votre application, affectez les groupes d'utilisateurs Security Center à l’application.
    Page affectations de l'application dans la console d'administration Okta affichant les affectations de groupes.

3 - Intégration de Security Center à Okta

  1. Sur le serveur principal Security Center, suivez les instructions pour votre système d'exploitation afin d'importer le certificat Okta.
    REMARQUE : Le cas échéant, redémarrez Windows pour que le certificat soit pris en compte.
  2. Dans Config Tool, ouvrez le rôle Service d'authentification créé précédemment et cliquez sur l'onglet Propriétés.
  3. Complétez les propriétés comme suit :
    Nom d’affichage
    Lors de la connexion à Security Center, chaque option d'authentification tierce est présentée sous forme de bouton avec le texte « Se connecter avec <display name> ».
    URL de métadonnées
    Entrez l’URL de métadonnées du fournisseur d'identité copiée depuis Okta.
    Public
    urn:SecurityCenter
    Noms de domaine
    Les noms de domaine des utilisateurs qui s'authentifieront à l'aide d'Okta, tels que genetec.com. Vous devez en avoir au moins un.
    Assertion de nom d'utilisateur
    login
    Assertion de groupe
    groups

    Laissez toutes les autres propriétés avec la valeur par défaut.

  4. Cliquez sur Appliquer.
  5. Créez un ou plusieurs groupes d'utilisateurs avec exactement le même nom que les groupes affectés à l'application Security Center dans Okta.
  6. Ajoutez des groupes autorisés à se connecter avec Okta à la liste Groupes d'utilisateurs dans le rôle Service d'authentification.
Sujet parent : Présentation de l'intégration pour l'authentification tierce à l'aide de SAML 2.0