Avant que Security Center puisse utiliser Okta pour authentifier les utilisateurs avec SAML 2.0, une configuration est requise dans Config Tool et dans Okta Admin Console.
Cet exemple montre les étapes requises pour configurer l'authentification tierce avec Okta à l'aide de SAML 2.0. La procédure comprend les sections suivantes :
Pour implémenter l'authentification tierce, vous devez disposer des droits d'administrateur dans Security Center et Okta.
1 - Préparation de Security Center
- Ouvrez Config Tool et connectez-vous à Security Center serveur principal en tant qu'administrateur.
- Dans Config Tool, ouvrez
- Dans la fenêtre Creating a role: Authentication Service , sélectionnez SAML2 et cliquez sur Next.
- Saisissez un nom et une description facultative pour le nouveau rôle de service d'authentification, puis cliquez sur Suivant.REMARQUE : Si votre système possède plusieurs partitions, vous pouvez également ajouter le nouveau rôle à une partition spécifique ici.
- Sur la page Résumé, assurez-vous que toutes les informations sont correctes, cliquez sur Créer, puis sur Fermer.
- Dans le rôle nouvellement créé, cliquez sur l'onglet Point de terminaison réseau.
- Sur la page Network endpoint (Point de terminaison réseau), copiez les URI de redirection et de déconnexion. Ceux-ci sont nécessaires pour configurer les URL Single sign on (Authentification unique) et Single Logout (Déconnexion unique) dans Okta.REMARQUE : Il se peut que vous deviez redémarrer la tâche Système pour voir les URI de point de terminaison.
OIDC et SAML 2.0 utilisent les mêmes URI. Ces URI doivent être joignables par tous les clients qui utilisent l’authentification unique.
- Sur le serveur principal Security Center, suivez les instructions pour votre système d'exploitation afin d'exporter le certificat de clé publique utilisé par le serveur principal Security Center au format X.509.REMARQUE : Les options CN (Common Name) ou SAN (Subject Alternative Name) du certificat doivent correspondre au nom d’hôte, à l’adresse IP ou au nom de domaine complet (FQDN) utilisé dans les URI de redirection et de déconnexion.
Cette clé publique est exigée par Okta pour activer la déconnexion unique. Le certificat Security Center est affiché dans la section Sécuriser les communications de la page Server Admin - Serveur principal.
2- Préparer Okta
- Avoir un compte administrateur Okta.
- Avoir provisionné au moins un utilisateur.
- Avoir provisionné au moins un groupe d'utilisateurs contenant les utilisateurs auxquels vous souhaitez accorder l'accès à Security Center.
- Dans Okta Admin Console, sélectionnez Create App Integration.
- Dans l’assistant Create a new app integration, sélectionnez SAML 2.0 et cliquez sur Next.
- Dans l'assistant Create SAML Integration, renseignez App name (Nom de l’application) et cliquez sur Next.
- Sur la page Configure SAML, configurez les réglages suivants :
-
URL d'authentification unique copiée depuis les URI de redirection dans Security CenterREMARQUE : Si plusieurs URI sont requises, sélectionnez Allow this app to request other SSO URLs (Autoriser cette application à demander d'autres URL SSO), puis ajoutez les URI nécessaires.
- Dans Audience URI (SP Entity ID), entrez urn:SecurityCenter
- Dans Name ID format, sélectionnez Persistent
-
-
URL d'authentification unique copiée depuis les URI de redirection dans Security Center
- Toujours dans la section SAML Settings (Réglages SAML), cliquez sur Show Advanced Settings (Afficher les options avancées), et configurez les réglages suivants :
- Enable Single Logout (Activer la déconnexion unique)
- URL de déconnexion unique, le point de terminaison /genetec copié depuis les URI de déconnexion dans Security Center
- Dans SP Issuer, entrez urn:SecurityCenter
- Certificat de signature, chargez le certificat de clé publique exporté depuis Security Center
- Dans la section Attribute statements (Déclarations d'attributs), configurez les réglages suivants :
- Nom
- login
- Name format
- URI Reference
- Valeur
- user.login