Présentation de l'intégration pour l'authentification tierce à l'aide de SAML 2.0

Présentation de l'intégration pour l'authentification tierce à l'aide de SAML 2.0 - Security Center 5.12

Guide de l'administrateur Security Center 5.12

Product

Security Center

Content type

Guides > Guides d'administration

Version

5.12

ft:locale

fr-FR

Last updated

2025-02-18

Avant que les utilisateurs puissent se connecter à Security Center en utilisant un fournisseur d'identité externe avec SAML 2.0, vous devez configurer Security Center avec un fournisseur d'identité externe.

Le tableau suivant répertorie les tâches requises pour déployer l'authentification tierce à l'aide de SAML 2.0 :

Étape	Tâche	Informations complémentaires
Comprendre les prérequis et les problèmes clés avant l'intégration
1	Prenez connaissance des différents composants et de leur mode d'interaction.	OpenID Connect et intégration SAML2.0.
2	Assurez-vous que tous les clients de Security Center font confiance à la connexion à votre fournisseur d'identité. Pour cela, une autorité de certificat fiable doit signer le certificat de clé publique du fournisseur d'identité sur l'ordinateur ou le périphérique mobile se connectant à Security Center.
3	Vérifiez que votre licence Security Center inclut les intégrations SAML2. Accédez à la page d'accueil Config Tool, cliquez sur À propos de > Security Center et confirmez que le `nombre d'intégrations SAML2` est égal à un ou plus.	Options de licence dans Security Center
Préparer Security Center
4	Ajoutez un rôle Service d'authentification pour SAML2 et cliquez sur l'onglet Point de terminaison réseau. Il se peut que vous deviez redémarrer la tâche Système pour voir les nœuds finaux. Pour configurer votre fournisseur d'identité, les points de terminaison de redirection et de déconnexion sont requis. Il existe différents URI pour chaque type de client : /genetec Config Tool, Security Desk, et Kit de développement logiciel /`<Mobile>`OpenId Genetec™ Mobile Mobile est l'adresse Web par défaut pour le rôle Mobile Server. /`<WebApp>`OpenId Genetec™ Web App WebApp est l'adresse Web par défaut pour le rôle Serveur Web App. /`<SecurityCenter>`OpenId Security Center Web Client SecurityCenter est l'adresse Web par défaut pour le rôle Serveur Web Client. Toute modification des adresses Mobile, SecurityCenter ou WebpApp est répercutée dans les URI. Pour utiliser le basculement de rôle, des URI de redirection et de déconnexion distincts sont nécessaires pour chaque serveur pouvant héberger les rôles Répertoire, Mobile Server, Serveur Web Client et Serveur Web App. Assurez-vous que le basculement de rôle est correctement configuré pour afficher tous les points de terminaison requis. Si des serveurs sont ajoutés ou retirés après la configuration du fournisseur d'identité, il se peut que vous deviez mettre à jour la configuration en ajoutant ou en supprimant des URI. Tous les clients doivent pouvoir résoudre l'URI du point de terminaison pour leur type. Si une adresse publique est utilisée, cette adresse doit être résolue sur le serveur approprié pour les clients se connectant à partir de votre réseau privé. Security Center fournit également un document de métadonnées SAML2 qui inclut tous les points de terminaison requis. Vous pouvez spécifier d'utiliser ce point de terminaison depuis votre fournisseur d'identité pour accélérer la configuration et vous assurer que la dernière configuration est toujours disponible.	À propos de la configuration des points de terminaison des rôles Configurer le basculement et l'équilibrage de charge du Répertoire Configurer le basculement d'un rôle
Intégrer le fournisseur d'identité externe
5	En suivant les instructions de votre fournisseur d'identité, ajoutez Security Center en tant qu'application de confiance dans ce système. Pour que l'authentification réussisse, Security Center nécessite que le fournisseur d'identité renvoie des assertions sur la partie authentifiée dans un jeton d'accès. Au minimum, ces assertions doivent inclure une assertion de nom d'utilisateur, une assertion d'identifiant de nom et une assertion d'appartenance à un groupe. Le document de métadonnées SAML2 de Security Center décrit le format attendu de l'identificateur de nom.
6	Ajoutez les groupes d'utilisateurs autorisés de votre fournisseur d'identité dans Security Center et définissez des privilèges. Si votre fournisseur d'identité peut exporter une liste de groupes au format CSV, cette liste peut être importée dans Security Center. En règle générale, les fournisseurs d'identité utilisent des noms pour identifier de manière unique les groupes d'utilisateurs. Lorsque des noms sont utilisés, les groupes d'utilisateurs Security Center doivent avoir exactement le même nom que le groupe correspondant de votre fournisseur d'identité et inclure le nom de domaine. Par exemple : `Operateurs@VotreEntreprise.com`. Si votre fournisseur d'identité utilise un ID pour n'identifier qu'un groupe d'utilisateurs, vous devez effectuer une autre étape avant de lier le groupe au rôle de service d'authentification. Ajoutez l'ID à la propriété Identifiant unique externe pour le groupe d'utilisateurs correspondant dans Security Center. Les utilisateurs sont automatiquement créés et ajoutés à leur(s) groupe(s) attribué(s) lors de leur première connexion.	Créer un groupe d'utilisateurs À propos des privilèges Importation de groupes d'utilisateurs depuis un fichier CSV pour l'authentification tierce
7	Configurez le rôle Service d'authentification avec des informations sur votre fournisseur d'identité. Ouvrez le rôle Service d'authentification pour SAML2, cliquez sur l'onglet Propriétés et renseignez les champs requis.	Service d'authentification - Onglet Propriétés (SAML2)