Comment intégrer Security Center à Azure Active Directory à l'aide d'OpenID Connect - Security Center 5.12

Guide de l'administrateur Security Center 5.12
Product
Security Center
Content type
Guides > Guides d'administration
Version
5.12
ft:locale
fr-FR
Last updated
2025-02-18

Avant que Security Center puisse utiliser Azure Active Directory pour authentifier les utilisateurs avec OpenID Connect, une configuration est requise dans Config Tool et sur le portail Azure.

Cet exemple présente la procédure de configuration de l'authentification tierce avec Azure Active Directory (Azure AD) à l'aide de jetons d'accès OpenID Connect (OIDC). La procédure se divise en trois sections :

  1. Préparation de Security Center
  2. Préparation d'Azure AD
  3. Intégration de Security Center à Azure AD
Security Center offre un assistant de configuration pour le fournisseur d'identité afin de faciliter l'authentification tierce avec Azure AD. Il fournit les informations nécessaires à la configuration.
REMARQUE : Lorsque vous créez un rôle Service d'authentification avec Provider:Other, Security Center fournit une assistance limitée pour la configuration du fournisseur d'identité.
Fenêtre Créer un rôle : Service d'authentification dans Config Tool affichant la configuration assistée du fournisseur d'identité.
À chaque étape, l'assistant de configuration vous aide à accomplir les tâches suivantes :
  • Localiser les propriétés sur le portail Azure
  • Comprendre la signification de chaque propriété
  • Valider les propriétés avant de poursuivre
  • Accéder aux rubriques d'aide correspondantes

Pour implémenter l'authentification tierce, vous devez disposer des droits d'administrateur dans Security Center et Azure AD.

IMPORTANT : Cet exemple d'intégration peut différer de vos exigences, et le portail Azure est sujet à modification. Lors de la configuration d'Azure AD, assurez-vous que toutes les étapes sont adaptées à votre situation.

1 - Préparation de Security Center

  1. Ouvrez Config Tool et connectez-vous à Security Center serveur principal en tant qu'administrateur.
  2. Sur la page d'accueil de Config Tool, ouvrez la tâche Système, puis cliquez sur la vue Rôles.
  3. Cliquez sur Ajouter une entité () > Service d'authentification.
    Menu Ajouter une entité dans Config Tool, avec le rôle Service d'authentification sélectionné.

    La fenêtre Créer un rôle : Service d'authentification s'ouvre.

  4. Dans la section Informations spécifiques, sélectionnez le fournisseur d'identité et le protocole d'authentification, puis cliquez sur Suivant.
    services cloud
    Azure AD
    Protocole
    OpenID Connect

    Fenêtre Créer un rôle : Service d'authentification dans Config Tool, avec le fournisseur d'identité Azure AD et le protocole OpenID sélectionnés.

  5. Dans la section Informations de base, saisissez un nom et une description facultative pour le nouveau rôle Service d'authentification.

    Fenêtre Créer un rôle : Service d'authentification dans Config Tool affichant les champs Informations de base pour Azure AD.

  6. Si votre système comprend des partitions, sélectionnez la partition dont ce rôle fait partie, puis cliquez sur Créer.

    Les partitions déterminent quels utilisateurs Security Center ont accès à cette entité. Seuls les utilisateurs ayant accès à la partition peuvent voir ce rôle.

  7. Sur la page Inscription de l'application, copiez les URI de redirection et de déconnexion.

    Pour en savoir plus, voir À propos de la configuration des points de terminaison des rôles.

  8. Cliquez sur Suspendre > Enregistrer.
    REMARQUE : Le bouton Suspendre vous permet d'enregistrer et de quitter temporairement l'assistant de configuration. Vous pouvez suspendre la configuration à tout moment au cours du processus.

2 - Préparation d'Azure AD

Avant d'effectuer ces étapes dans le portail Azure, vous devez remplir les conditions préalables suivantes :
  • Disposer d'un répertoire Azure AD représentant votre domaine.
  • Avoir provisionné au moins un utilisateur.
  • Avoir provisionné au moins un groupe d'utilisateurs contenant les utilisateurs auxquels vous souhaitez accorder l'accès à Security Center.
  1. Dans le portail Azure, ouvrez l'instance Azure Active Directory de votre locataire.
  2. Dans le menu de gauche, sélectionnez Inscriptions d'applications, puis cliquez sur Nouvelle inscription.

    Le portail Azure affiche le bouton Nouvelle inscription sur la page Inscriptions d'applications.

  3. Saisissez un Nom, sélectionnez Locataire unique sous Types de comptes pris en charge, puis cliquez sur Inscrire.

    Assistant Inscription d'application dans le portail Azure, avec le nom d'affichage et les types de comptes pris en charge.

  4. Dans le menu de gauche de votre application, sélectionnez Authentification, cliquez sur Ajouter une plate-forme et sélectionnez Web.

    Portail Azure affichant les paramètres de configuration de la plateforme sur la page Authentification.

  5. Dans Configuration Web, saisissez le premier URI de redirection pour Security Center dans les URI de redirection et cliquez sur Configurer.

    Assistant Configuration Web dans le portail Azure, avec les URI de redirection mis en évidence.

    REMARQUE : OIDC ne nécessite pas d'URI de déconnexion explicite.
  6. Sous URI de redirection pour la plateforme Web, cliquez sur Ajouter un URI, saisissez les URI de redirection et de déconnexion restants pour Security Center, puis cliquez sur Enregistrer.

    Assistant Configurations de plateforme dans le portail Azure, avec le bouton Ajouter un URI mis en évidence.

  7. Dans le menu de gauche de votre application, sélectionnez Certificats et secrets, puis cliquez sur Nouveau secret client pour générer un secret client pour Security Center.

    Portail Azure affichant le bouton Nouveau secret client sur la page Certificats et secrets.

    BONNE PRATIQUE : Après avoir généré votre secret, copiez-le depuis l'en-tête de colonne Valeur et conservez-le en lieu sûr jusqu'à ce que l'intégration soit terminée. Il est impossible de récupérer un secret client à partir de la configuration Azure AD. Si le secret est perdu, vous devez en générer un nouveau.

    Portail Azure affichant la valeur du secret client sur la page Certificats et secrets.

  8. Dans le menu de gauche de votre application, sélectionnez Configuration du jeton.
  9. Cliquez sur Ajouter une revendication de groupe, sélectionnez le type de groupe auquel vous souhaitez accorder l'accès à Security Center, sélectionnez ID de groupe pour le type de jeton d'accès, puis cliquez sur Ajouter.

    Portail Azure affichant les paramètres de revendication de groupe sur la page Configuration du jeton.

    IMPORTANT : Pour éviter d'atteindre une revendication de dépassement de groupe, nous recommandons aux grandes entreprises de sélectionner Groupes affectés à l’application plutôt que Tous les groupes dans la section Modifier les revendications de groupe. Voir cet rubrique d'aide de Microsoft Pour en savoir plus.
  10. Cliquez sur Ajouter une revendication facultative, sélectionnez le type de jeton Accès, sélectionnez la revendication UPN, puis cliquez sur Ajouter.
    REMARQUE : Security Center nécessite un identifiant unique pour l'utilisateur. La revendication UPN est une possibilité, mais d'autres revendications facultatives, telles que l'e-mail, peuvent être utilisées à la place.

    Portail Azure affichant les paramètres d'ajout d'une revendication facultative sur la page Configuration du jeton.

  11. Dans le menu de gauche de votre application, sélectionnez Manifeste, définissez accessTokenAcceptedVersion sur 2, puis cliquez sur Enregistrer.

    Portail Azure affichant la page Manifeste avec le paramètre accessTokenAcceptedVersion mis en évidence.

  12. Dans le menu de gauche de votre application, sélectionnez Exposer une API.
  13. Cliquez sur Ajouter à côté d'URI d'ID d'application pour spécifier un URI global unique pour l'application Security Center, puis cliquez sur Enregistrer.

    Portail Azure affichant les paramètres URI d'ID d'application sur la page Exposer une API.

    Azure AD génère automatiquement un URI utilisable. Vous pouvez utiliser la valeur par défaut ou la modifier selon vos besoins.

    Portail Azure affichant l'URI d'ID d'application généré.

  14. Cliquez sur Ajouter une portée, remplissez les champs obligatoires avec les valeurs de votre choix, puis cliquez sur Ajouter une portée.
    REMARQUE : Une portée personnalisée garantit qu'Azure AD cible Security Center. La portée peut spécifier n'importe quelle valeur.

    Portail Azure affichant les paramètres Ajouter une portée sur la page Exposer une API.

3 - Intégration de Security Center à Azure AD

  • Avant de configurer un Service d'authentification dans Security Center, vous devez enregistrer les URI de redirection et de déconnexion sur le portail Azure.
  • Le système valide les propriétés à chaque étape avant que vous ne puissiez continuer.
  1. Dans Config Tool, sélectionnez le rôle Service d'authentification créé précédemment, puis cliquez sur Configuration.

    La page Inscription de l'application de la fenêtre Créer un rôle : Service d'authentification s'ouvre et vous pouvez reprendre la configuration.

  2. Sur la page Inscription de l'application, cliquez sur Suivant.
  3. Sur la page Communiquer avec le fournisseur , cliquez sur Démarrer, saisissez l'URI de l'emetteur et l'ID d'application (client), puis cliquez sur Suivant.

    Fenêtre Créer un rôle : Service d'authentification dans Config Tool affichant les paramètres de la fenêtre Communiquer avec le fournisseur.

    Émetteur
    URL sécurisée (HTTPS) pointant vers le document de métadonnées OpenID Connect. Copiez-le depuis Points de terminaison dans la configuration de l'application Azure AD.
    ID d'application (client)
    Un identificateur unique représentant Security Center dans Azure AD. Copiez-le à partir de la Présentation dans la configuration de l'application Azure AD.

    Portail Azure affichant les propriétés Émetteur et ID d'application (client) sur la page Présentation.

  4. Dans la section Métadonnées, saisissez l'URL et cliquez sur Suivant.
    URL
    URL sécurisée (HTTPS) pointant vers le document de métadonnées OpenID Connect. Copiez-le depuis Points de terminaison dans la configuration de l'application Azure AD.
  5. Sur la page Domaines acceptés, configurez l'option Fournisseur par défaut :
    • Cette option est désactivée par défaut. Lorsqu'elle est désactivée, vous devez ajouter au moins un nom de domaine pour les utilisateurs qui peuvent s'authentifier à l'aide de ce service d'authentification.

      Fenêtre Créer un rôle : Service d'authentification dans Config Tool affichant les paramètres Domaines acceptés.

    • Activez l'option Fournisseur par défaut pour utiliser ce fournisseur d'identité pour authentifier les utilisateurs de tous les domaines.

      Si vous avez plusieurs rôles de service d'authentification, un seul rôle peut être défini comme fournisseur par défaut, et cette option est désactivée pour tous les autres rôles.

      ATTENTION :
      L'activation de l'option Fournisseur par défaut supprime tous les noms de domaine qui ont été ajoutés précédemment.
  6. Spécifiez s'il convient ou non d'utiliser ce fournisseur d'identité en tant qu’option de connexion.

    Si vous sélectionnez Oui, saisissez le nom du fournisseur d'identité à afficher sur l'écran de connexion avec le texte « Se connecter avec <nom d'affichage> ».

  7. Cliquez sur Suivant.
  8. (Facultatif) Sur la page Authentification du client, activez l'option Client confidentiel pour définir Security Center comme un client confidentiel de ce fournisseur d'identité.

    Le champ Secret du client apparaît.

  9. (Facultatif) Dans le champ Secret du client, saisissez le secret client qui a été généré précédemment sur le portail Azure.
  10. Cliquez sur Suivant.
  11. Sur la page Revendications et périmètres, sélectionnez les propriétés suivantes :
    Revendication de nom d’utilisateur
    La revendication OpenID renvoyée par le fournisseur d'identité contenant le nom d'utilisateur de la partie authentifiée.

    Sélectionnez : preferred_username

    Revendication de groupe
    La revendication OpenID renvoyée par le fournisseur d'identité contenant les groupes auxquels appartient la partie authentifiée.

    Sélectionnez : groups

  12. Cliquez sur Suivant.
  13. Sur la page Groupes, cliquez sur Ajouter un élément (), sélectionnez un groupe existant ou créez un groupe d'utilisateurs, puis cliquez sur Suivant.
    CONSEIL : Vous pouvez télécharger l'ensemble des groupes d'utilisateurs depuis Azure Active Directory sous forme de fichier CSV et importer ces groupes dans Security Center. L'identificateur unique externe des groupes importés doit correspondre à l'ID d'objet de ces groupes dans Azure AD.
  14. Sur la page Tester la configuration, cliquez sur Test de connexion pour valider la configuration, puis cliquez sur Suivant.

    Pour en savoir plus, voir Test d'une configuration d'authentification tierce.

  15. Sur la page Résultat de la création, vérifiez que les informations sont correctes et cliquez sur Suivant > Fermer.
Sujet parent : Présentation de l'intégration pour l'authentification tierce à l'aide d'OpenID Connect
Explorer