Avant que Security Center puisse utiliser Okta pour authentifier les utilisateurs avec OpenID Connect, une configuration est requise dans Config Tool et dans Okta Admin Console.
Cet exemple présente la procédure de configuration de l'authentification tierce avec Okta à l'aide du point de terminaison UserInfo d’OpenID Connect (OIDC). La procédure se divise en trois sections :
- Rechercher les propriétés dans Okta Admin Console
- Comprendre la signification de chaque propriété
- Valider les propriétés avant de poursuivre
- Accéder aux rubriques d'aide correspondantes
Pour implémenter l'authentification tierce, vous devez disposer des droits d'administrateur dans Security Center et Okta.
1 - Préparation de Security Center
- Ouvrez Config Tool et connectez-vous à Security Center serveur principal en tant qu'administrateur.
- Sur la page d'accueil de Config Tool, ouvrez la tâche Système, puis cliquez sur la vue Rôles.
- Cliquez sur Ajouter une entité (
) > Service d'authentification.
La fenêtre Créer un rôle : Service d'authentification s'ouvre.
- Dans la section Informations spécifiques, sélectionnez le fournisseur d'identité et le protocole d'authentification, puis cliquez sur Suivant.
- services cloud
- Okta
- Protocole
- OpenID Connect
- Dans la section Informations de base, saisissez un nom et une description facultative pour le nouveau rôle Service d'authentification.
- Si votre système comprend des partitions, sélectionnez la partition dont ce rôle fait partie, puis cliquez sur Créer.
Les partitions déterminent quels utilisateurs Security Center ont accès à cette entité. Seuls les utilisateurs ayant accès à la partition peuvent voir ce rôle.
- Sur la page Inscription de l'application, copiez les URI de redirection et de déconnexion.
Pour en savoir plus, voir À propos de la configuration des points de terminaison des rôles.
- Cliquez sur .REMARQUE : Le bouton Suspendre vous permet d'enregistrer et de quitter temporairement l'assistant de configuration. Vous pouvez suspendre la configuration à tout moment au cours du processus.
2- Préparer Okta
- Un compte administrateur Okta
- Au moins un utilisateur provisionné
- Au moins un groupe d'utilisateurs contenant les utilisateurs auxquels vous souhaitez accorder l'accès à Security Center
- Dans Okta Admin Console, sélectionnez puis cliquez sur Create App Integration.
- Dans l’assistant Create a new app integration, sélectionnez OIDC - OpenID Connect, Web Application, puis cliquez sur Next.
- Sur la page New Web App Integration, configurez les paramètres suivants et cliquez sur Save :
-
Nom de l'intégration d'application : saisissez le nom de l'intégration d'application.
-
Sign-in redirect URIs : copiez ces éléments depuis les URI de redirection dans Security Center
-
Sign-out redirect URIs : copiez ces éléments depuis les URI de déconnexion dans Security Center
-
Controlled access : sélectionnez Limit access to selected groups et ajoutez les groupes de votre choix.
-
Nom de l'intégration d'application : saisissez le nom de l'intégration d'application.
- Sur la page General pour votre application, copiez les réglages Client ID et Client secret par défaut.
Ceux-ci sont nécessaires pour configurer Security Center. Le cas échéant, vous pouvez générer un nouveau secret client.
- Cliquez sur l’onglet Portées de l’API Okta pour votre application Security Center et autorisez les opérations
okta.groups.readetokta.users.read.
- Cliquez sur et copiez Issuer URI pour le serveur d'autorisation par défaut.
Cet URI est nécessaire pour configurer Security Center.
- Ouvrez le serveur d'autorisation par défaut, cliquez sur l’onglet Claims (Revendications), et cliquez sur Add Claim (Ajouter une revendication).
- Ajoutez une revendication de groupe de la manière suivante, et cliquez sur Create (Créer) :
REMARQUE : Le filtre Correspondances regex avec.*renvoie tous les groupes auquel appartient l'utilisateur authentifié.Le cas échéant, vous pouvez également utiliser ce filtre pour exclure certains groupes de la revendication. Au moins un groupe affecté à Security Center doit être inclus dans la revendication pour accorder l'accès.
3 - Intégration de Security Center à Okta
- Avant de configurer un Service d'authentification dans Security Center, vous devez enregistrer les URI de redirection et de déconnexion dans Okta Admin Console.
- Le système valide les propriétés à chaque étape avant que vous ne puissiez continuer.
- Dans Config Tool, sélectionnez le rôle Service d'authentification créé précédemment, puis cliquez sur Configuration.
La page Inscription de l'application de la fenêtre Créer un rôle : Service d'authentification s'ouvre et vous pouvez reprendre la configuration.
- Sur la page Inscription de l'application, cliquez sur Suivant.
- Sur la page Communiquer avec le fournisseur, cliquez sur Démarrer, saisissez l'Émetteur et l'ID d'application (client), puis cliquez sur Suivant.
- Émetteur
- Entrez le Issuer URI (URI de l’émetteur) copié depuis le serveur d'autorisation par défaut dans Okta.
- ID client
- Saisissez l'ID client que vous avez copié depuis l’application Security Center dans Okta.
- Dans la section Métadonnées, saisissez l'URL et cliquez sur Suivant.
L'URL a la syntaxe suivante :
https://<OktaIssuerURI>/.well-known/openid-configuration. - Sur la page Domaines acceptés, configurez l'option Fournisseur par défaut :
- Cette option est désactivée par défaut. Lorsqu'elle est désactivée, vous devez ajouter au moins un nom de domaine pour les utilisateurs qui peuvent s'authentifier à l'aide de ce service d'authentification.
- Activez l'option Fournisseur par défaut pour utiliser ce fournisseur d'identité pour authentifier les utilisateurs de tous les domaines.
Si vous avez plusieurs rôles de service d'authentification, un seul rôle peut être défini comme fournisseur par défaut, et cette option est désactivée pour tous les autres rôles.
ATTENTION :L'activation de l'option Fournisseur par défaut supprime tous les noms de domaine qui ont été ajoutés précédemment.
- Cette option est désactivée par défaut. Lorsqu'elle est désactivée, vous devez ajouter au moins un nom de domaine pour les utilisateurs qui peuvent s'authentifier à l'aide de ce service d'authentification.
- Spécifiez s'il convient ou non d'utiliser ce fournisseur d'identité en tant qu’option de connexion.
Si vous sélectionnez Oui, saisissez le nom du fournisseur d'identité à afficher sur l'écran de connexion avec le texte « Se connecter avec <nom d'affichage> ».
- Cliquez sur Suivant.
- (Facultatif) Sur la page Authentification du client, activez l'option Client confidentiel pour définir Security Center comme un client confidentiel de ce fournisseur d'identité.
Le champ Secret du client apparaît.
- (Facultatif) Dans le champ Secret du client, saisissez le secret client qui a été généré précédemment dans Okta Admin Console.
- Cliquez sur Suivant.
- Sur la page Revendications et périmètres, sélectionnez les propriétés suivantes :
- Revendication de nom d’utilisateur
- La revendication OpenID renvoyée par le fournisseur d'identité contenant le nom d'utilisateur de la partie authentifiée.
Sélectionnez : preferred_username
- Revendication de groupe
- La revendication OpenID renvoyée par le fournisseur d'identité contenant les groupes auxquels appartient la partie authentifiée.
Sélectionnez : groups
- Cliquez sur Suivant.
- Sur la page Groupes, cliquez sur Ajouter un élément (
), sélectionnez un groupe existant ou créez un groupe d'utilisateurs, puis cliquez sur Suivant.CONSEIL : Vous pouvez exporter la liste des utilisateurs actifs depuis Okta Admin Console sous forme de fichier CSV et importer le groupe dans Security Center. Vous pouvez ajouter un ou plusieurs groupes d'utilisateurs Security Center avec le même nom ou le même identificateur unique que les groupes affectés à l'application Security Center dans Okta. - Sur la page Tester la configuration, cliquez sur Test de connexion pour valider la configuration, puis cliquez sur Suivant.
Pour en savoir plus, voir Test d'une configuration d'authentification tierce.
- Sur la page Résultat de la création, vérifiez que les informations sont correctes et cliquez sur .