Intégrer Security Center avec Okta à l’aide de SAML 2.0 - Security Center 5.12

Guide de l'administrateur Security Center 5.12
Product
Security Center
Content type
Guides > Guides d'administration
Version
5.12
ft:locale
fr-FR
Last updated
2025-02-18

Avant que Security Center puisse utiliser Okta pour authentifier les utilisateurs avec SAML 2.0, une configuration est requise dans Config Tool et dans Okta Admin Console.

Cet exemple présente la procédure de configuration de l'authentification tierce avec Okta à l'aide du protocole SAML 2.0. La procédure se divise en trois sections :

  1. Préparation de Security Center
  2. Préparer Okta
  3. Intégration de Security Center à Okta
Security Center offre un assistant de configuration pour le fournisseur d'identité afin de faciliter l'authentification tierce avec Okta. Il fournit les informations nécessaires à la configuration.
REMARQUE : Lorsque vous créez un rôle Service d'authentification avec Provider:Other, Security Center fournit une assistance limitée pour la configuration du fournisseur d'identité.
Fenêtre Créer un rôle : Service d'authentification dans Config Tool affichant la configuration assistée du fournisseur d'identité.
À chaque étape, l'assistant de configuration vous aide à accomplir les tâches suivantes :
  • Rechercher les propriétés dans Okta Admin Console
  • Comprendre la signification de chaque propriété
  • Valider les propriétés avant de poursuivre
  • Accéder aux rubriques d'aide correspondantes

Pour implémenter l'authentification tierce, vous devez disposer des droits d'administrateur dans Security Center et Okta.

IMPORTANT : Cet exemple d'intégration peut différer de vos exigences, et Okta Admin Console est sujet à modification. Lors de la configuration d'Okta, vérifiez que toutes les étapes sont adaptées à votre situation particulière.

1 - Préparation de Security Center

  1. Ouvrez Config Tool et connectez-vous à Security Center serveur principal en tant qu'administrateur.
  2. Sur la page d'accueil de Config Tool, ouvrez la tâche Système, puis cliquez sur la vue Rôles.
  3. Cliquez sur Ajouter une entité () > Service d'authentification.
    Menu Ajouter une entité dans Config Tool, avec le rôle Service d'authentification sélectionné.

    La fenêtre Créer un rôle : Service d'authentification s'ouvre.

  4. Dans la section Informations spécifiques, sélectionnez le fournisseur d'identité et le protocole d'authentification, puis cliquez sur Suivant.
    services cloud
    Okta
    Protocole
    SAML 2.0
    Fenêtre Créer un rôle : Service d'authentification dans Config Tool, avec le fournisseur d'identité Okta et le protocole SAML 2.0 sélectionnés.
  5. Saisissez un nom et une description facultative pour le nouveau rôle de service d'authentification, puis cliquez sur Suivant.
    Fenêtre Créer un rôle : Service d'authentification dans Config Tool affichant les champs Informations de base pour Okta.
  6. Si votre système comprend des partitions, sélectionnez la partition dont ce rôle fait partie, puis cliquez sur Créer.

    Les partitions déterminent quels utilisateurs Security Center ont accès à cette entité. Seuls les utilisateurs ayant accès à la partition peuvent voir ce rôle.

  7. Sur la page Inscription de l'application, copiez les URI de redirection et de déconnexion.

    Pour en savoir plus, voir À propos de la configuration des points de terminaison des rôles.

  8. Cliquez sur Suspendre > Enregistrer.
    REMARQUE : Le bouton Suspendre vous permet d'enregistrer et de quitter temporairement l'assistant de configuration. Vous pouvez suspendre la configuration à tout moment au cours du processus.
  9. Sur le serveur principal Security Center, suivez les instructions pour votre système d'exploitation afin d'exporter le certificat de clé publique utilisé par le serveur principal Security Center au format X.509.
    REMARQUE : Les options CN (Common Name) ou SAN (Subject Alternative Name) du certificat doivent correspondre au nom d’hôte, à l’adresse IP ou au nom de domaine complet (FQDN) utilisé dans les URI de redirection et de déconnexion.

    Cette clé publique est exigée par Okta pour activer la déconnexion unique. Le certificat Security Center est affiché dans la section Sécuriser les communications de la page Server Admin - Serveur principal.

    Page Server Admin - Serveur principal affichant la section Sécuriser les communications.

2- Préparer Okta

Avant d'effectuer ces étapes dans Okta Admin Console, vous devez disposer des éléments suivants :
  • Avoir un compte administrateur Okta.
  • Avoir provisionné au moins un utilisateur.
  • Avoir provisionné au moins un groupe d'utilisateurs contenant les utilisateurs auxquels vous souhaitez accorder l'accès à Security Center.
  1. Dans Okta Admin Console, sélectionnez Applications > Applications puis cliquez sur Create App Integration.
    Okta Admin Console affichant le bouton Create App Integration sur la page Applications.
  2. Dans l’assistant Create a new app integration, sélectionnez SAML 2.0 et cliquez sur Next.
    Assistant de création d'intégration d'application dans la console d'administration Okta, avec l’option SAML 2.0 sélectionnée.
  3. Dans l'assistant Create SAML Integration, renseignez App name (Nom de l’application) et cliquez sur Next.
    Page New Web App Integration dans Okta Admin Console, avec les champs App integration name et Grant type mis en évidence.
  4. Sur la page Configure SAML, configurez les réglages suivants :
    • Single sign on URL : copiée depuis les URI de redirection dans Security Center
      REMARQUE : Si plusieurs URI sont nécessaires, désélectionnez Use this for Recipient URL and Destination URL et saisissez les URI supplémentaires comme requis.
    • Audience URI (SP Entity ID) : saisissez urn:SecurityCenter
    • Name ID format : sélectionnez Persistent
    Page de configuration SAML dans Okta Admin Console, avec les options Single sign on URL, Audience URI et Name ID format mises en évidence.
  5. Toujours dans la section SAML Settings, cliquez sur Show Advanced Settings, et configurez les réglages suivants :
    Signature Certificate
    Téléchargez le certificat de clé publique exporté depuis Security Center.
    Enable Single Logout (Activer la déconnexion unique)
    Sélectionnez l'option Allow application to initiate Single Logout.
    Single Logout URL
    Copiez le point de terminaison /genetec depuis les URI de déconnexion dans Security Center
    SP Issuer
    Saisissez urn:SecurityCenter
    Page de configuration SAML dans Okta Admin Console, avec les réglages de déconnexion unique mis en évidence.
  6. Dans la section Attribute statements (Déclarations d'attributs), configurez les réglages suivants :
    Nom
    login
    Name format
    URI Reference
    Valeur
    user.login
    Page de configuration SAML dans la console d'administration Okta, avec les déclarations d'attributs.
  7. Dans la section Group attribute statements (Déclarations d'attributs de groupe), configurez les réglages suivants :
    Nom
    groups
    Name format
    URI Reference
    Filtrer
    Matches regex .*
    REMARQUE : Le filtre Correspondances regex avec .* renvoie tous les groupes auquel appartient l'utilisateur authentifié.

    Le cas échéant, vous pouvez également utiliser ce filtre pour exclure certains groupes. Au moins un groupe affecté à Security Center doit être inclus pour accorder l'accès.

    Page de configuration SAML dans la console d'administration Okta, avec les déclarations d'attributs de groupe.
  8. Cliquez sur Suivant.
  9. Sur la page Feedback, sélectionnez I'm an Okta customer adding an internal app (Je suis un client Okta qui ajoute une application interne), entrez vos commentaires éventuels, et cliquez sur Finish (Terminer).
  10. Sur la page Sign On (Connexion) pour votre application, procédez de la manière suivante :
    1. Copiez la valeur du champ Metadata URL.

      Cette URL est requise par le rôle Service d'authentification dans Security Center.

    2. Cliquez sur View SAML setup instructions.
    Page de connexion de l’application dans Okta Admin Console, avec les options de métadonnées du fournisseur d'identité et d'affichage des instructions de configuration mises en évidence.
  11. Sur la page How to Configure SAML 2.0 for <application> (Comment configurer SAML 2.0 pour <application>), téléchargez le Certificat X.509.
  12. Sur la page Affectations de votre application, affectez les groupes d'utilisateurs Security Center à l’application.
    Page Application Assignments dans Okta Admin Console affichant les affectations de groupes.

3 - Intégration de Security Center à Okta

  • Avant de configurer un Service d'authentification dans Security Center, vous devez enregistrer les URI de redirection et de déconnexion dans Okta Admin Console.
  • Le système valide les propriétés à chaque étape avant que vous ne puissiez continuer.
  1. Dans Config Tool, sélectionnez le rôle Service d'authentification créé précédemment, puis cliquez sur Configuration.

    La page Inscription de l'application de la fenêtre Créer un rôle : Service d'authentification s'ouvre et vous pouvez reprendre la configuration.

  2. Sur la page Inscription de l'application, cliquez sur Suivant.
  3. Sur la page Communiquer avec le fournisseur, cliquez sur Démarrer.
  4. Dans la section Métadonnées, entrez l'URL de métadonnées et cliquez sur Suivant.

    L'URL de métadonnées est disponible sur la page Sign On de votre application Okta.

  5. Dans la section Communiquer avec le fournisseur, sélectionnez les propriétés suivantes :
    Émetteur
    Saisissez l'Émetteur du fournisseur d'identité copié depuis Sign On > View SAML setup instructions dans Okta.
    Public
    Accessible depuis General > Audience Restriction dans Okta.

    Fenêtre Créer un rôle : Service d'authentification dans Config Tool affichant les paramètres de la fenêtre Communiquer avec le fournisseur.

  6. Cliquez sur Suivant.
  7. Sur la page Domaines acceptés, configurez l'option Fournisseur par défaut :
    • Cette option est désactivée par défaut. Lorsqu'elle est désactivée, vous devez ajouter au moins un nom de domaine pour les utilisateurs qui peuvent s'authentifier à l'aide de ce service d'authentification.

      Fenêtre Créer un rôle : Service d'authentification dans Config Tool affichant les paramètres Domaines acceptés.

    • Activez l'option Fournisseur par défaut pour utiliser ce fournisseur d'identité pour authentifier les utilisateurs de tous les domaines.

      Si vous avez plusieurs rôles de service d'authentification, un seul rôle peut être défini comme fournisseur par défaut, et cette option est désactivée pour tous les autres rôles.

      ATTENTION :
      L'activation de l'option Fournisseur par défaut supprime tous les noms de domaine qui ont été ajoutés précédemment.
  8. Spécifiez s'il convient ou non d'utiliser ce fournisseur d'identité en tant qu’option de connexion.

    Si vous sélectionnez Oui, saisissez le nom du fournisseur d'identité à afficher sur l'écran de connexion avec le texte « Se connecter avec <nom d'affichage> ».

  9. Cliquez sur Suivant.
  10. Sur la page Revendications et périmètres, saisissez les propriétés suivantes :
    Revendication de nom d’utilisateur
    login
    Revendication de groupe
    groups
  11. Cliquez sur Suivant.
  12. Sur la page Groupes, cliquez sur Ajouter un élément (), sélectionnez un groupe existant ou créez un groupe d'utilisateurs, puis cliquez sur Suivant.
    CONSEIL : Vous pouvez exporter la liste des utilisateurs actifs depuis Okta Admin Console sous forme de fichier CSV et importer le groupe dans Security Center. Vous pouvez ajouter un ou plusieurs groupes d'utilisateurs Security Center avec le même nom ou le même identificateur unique que les groupes affectés à l'application Security Center dans Okta.
  13. Sur la page Tester la configuration, cliquez sur Test de connexion pour valider la configuration, puis cliquez sur Suivant.

    Pour en savoir plus, voir Test d'une configuration d'authentification tierce.

  14. Sur la page Résultat de la création, vérifiez que les informations sont correctes et cliquez sur Suivant > Fermer.
Sujet parent : Présentation de l'intégration pour l'authentification tierce à l'aide de SAML 2.0
Explorer