Création de rôles de service d'authentification pour WS-Federation ou WS-Trust - Security Center 5.10

Guide de l'administrateur Security Center 5.10

series
Security Center 5.10
revised_modified
2021-03-12

Pour que Security Center reçoive des revendications d'un serveur ADFS à l'aide des protocoles WS-Trust ou WS-Federation, vous devez créer et configurer un rôle Service d'authentification.

Avant de commencer

À savoir

Le rôle Service d'authentification connecte Security Center à un fournisseur d'identité externe pour l'authentification tierce.

Vous devez créer un rôle de service d'authentification pour WS-Trust ou WS-Federation dans Security Center pour chaque serveur ADFS racine. Dans notre exemple de scénario, le serveur ADFS local est le serveur ADFS racine, donc un seul rôle Service d'authentification est nécessaire.

Si vous ne disposez pas d'un serveur ADFS local, mais de plusieurs serveurs ADFS tiers indépendants agissant en tant que fournisseurs d'identité pour Security Center, vous devez créer un rôle Service d'authentification pour chacun d'eux.

Procédure

  1. Sur la page d'accueil de Config Tool, ouvrez la tâche Système, puis cliquez sur la vue Rôles.
  2. Cliquez sur Ajouter une entité () > Service d'authentification.
  3. Sur la page Informations spécifiques, sélectionnez WS-Federation ou WS-Trust, puis cliquez sur Test suivant.
    REMARQUE : Ces protocoles peuvent uniquement être sélectionnés lors de la création du rôle.
  4. Sur la page Informations de base, entrez un nom et une description pour le rôle.
  5. Sélectionnez une Partition à laquelle appartient le rôle, et cliquez sur Suivant.
    Les partitions déterminent quels utilisateurs Security Center ont accès à cette entité. Seuls les utilisateurs qui ont un accès à la partition peuvent voir le rôle ADFS.
  6. Cliquez sur Suivant > Créer > Fermer.
    Un nouveau rôle de service d'authentification () est créé.
  7. Cliquez sur l'onglet Propriétés, et configurez l'option Chaînes de confiance (domaines).
    1. Cliquez sur Ajouter un élément (), configurez le serveur ADFS, et cliquez sur OK.
      Domaine
      Il s'agit du domaine de votre serveur ADFS local. Exemple : VotreDomaine.com.
      URL
      Il s'agit de l'adresse du document de métadonnées pour votre serveur ADFS. Le format suivant est toujours utilisé : adfs.VotreSociété.com

      Remplacez VotreSociété.com par le nom de votre serveur ADFS.

      Security Center
      Partie de confiance
      Identifiant saisi dans Identifiant de la partie de confiance lorsque vous avez ajouté l'approbation de partie de confiance pour Security Center.

      L'identifiant de la partie de confiance permet à Security Center de s'identifier auprès du serveur ADFS, même lorsque le rôle bascule vers un autre serveur.

      Authentification Web (WS-Federation)
      Sélectionnez cette option pour activer Authentification basée sur le Web (par défaut=ARRÊT).
      IMPORTANT : La connexion utilisateur supervisée ne fonctionne pas si vous activez l'authentification Web, car l'authentification utilisateur est gérée en externe.
    2. Cliquez sur Ajouter un élément (), configurez le serveur ADFS distant, et cliquez sur OK.
      Domaine
      Il s'agit du domaine du serveur ADFS distant. Exemple : SociétéXYZ.com.
      Les utilisateurs de ce domaine doivent ajouter le nom de domaine à leur nom d'utilisateur lorsqu'ils se connectent à Security Center.
      Exemple : johnny@SociétéXYZ.com.
      URL
      Adresse du document de métadonnées du serveur ADFS distant. Le format suivant est toujours utilisé : adfs.SociétéXYZ.com

      Remplacez SociétéXYZ.com par le nom du serveur ADFS distant.

      Ignorer la partie de confiance
      (Réglage avancé) Sélectionnez cette option si le fournisseur de revendications sur ce domaine attend un public différent dans la demande de jeton effectuée par la partie de confiance, et entrez la valeur attendue.
    3. Si vous avez configuré plusieurs serveurs ADFS distants en tant que fournisseurs de revendications à votre serveur ADFS local, ajoutez-les maintenant.
  8. Configurez les groupes d'utilisateurs externes qui seront autorisés par Security Center.
    1. Dans la section Groupes d'utilisateurs autorisés, cliquez sur Ajouter un élément ().
    2. Dans la boîte de dialogue qui s'ouvre, sélectionnez les groupes d'utilisateurs associés aux groupes ADFS distants, et cliquez sur OK.
    Les utilisateurs membres des groupes d'utilisateurs acceptés peuvent se connecter à votre système. Security Center ne conserve ni ne valide ses mots de passe. C'est le serveur ADFS qui s'en charge. Security Center leur fait simplement confiance en tant qu'utilisateurs authentiques dès lors qu'ils sont autorisés par le serveur ADFS.
    REMARQUE : Les utilisateurs externes qui doivent être authentifiés par ADFS à l'aide du protocole WS-Trust doivent ajouter leur nom de domaine à la fin de leur nom d'utilisateur, tel que NomUtilisateur@SociétéXYZ.com, sur l'écran de connexion Security Center.
  9. Cliquez sur Appliquer.