Comment intégrer Security Center à Azure Active Directory à l'aide d'OpenID Connect - Security Center 5.10

Guide de l'administrateur Security Center 5.10
Applies to
Security Center 5.10
Last updated
2023-07-07
Content type
Guides > Guides d'administration
Language
Français
Product
Security Center
Version
5.10

Avant que Security Center puisse utiliser Azure Active Directory pour authentifier les utilisateurs avec OpenID Connect, une configuration est requise dans Config Tool et sur le portail Azure.

Cet exemple montre les étapes requises pour configurer l'authentification tierce avec Azure Active Directory (Azure AD) à l'aide des jetons d'accès OpenID Connect (OIDC). La procédure comprend les sections suivantes :

  1. Préparation de Security Center
  2. Préparation d'Azure AD
  3. Intégration de Security Center à Azure AD

Pour implémenter l'authentification tierce, vous devez disposer de droits d'administrateur dans Security Center et Azure AD.

IMPORTANT: Cet exemple d'intégration peut différer de vos exigences, et le portail Azure est sujet à modification. Lors de la configuration d'Azure AD, assurez-vous que toutes les étapes sont adaptées à votre situation spécifique.

1 - Préparation de Security Center

  1. Ouvrez Config Tool et connectez-vous à Security Center serveur principal en tant qu'administrateur.
  2. Dans Config Tool, ouvrez Système > Rôles et cliquez sur Ajouter une entité > Services d'authentification.

  3. Dans la fenêtre Création d'un rôle : service d'authentification, sélectionnez OpenID et cliquez sur Suivant.

  4. Saisissez un nom et une description facultative pour le nouveau rôle de service d'authentification, puis cliquez sur Suivant.

    NOTE: Si votre système possède plusieurs partitions, vous pouvez également ajouter le nouveau rôle à une partition spécifique ici.
  5. Sur la page Résumé, assurez-vous que toutes les informations sont correctes, cliquez sur Créer, puis sur Fermer.
  6. Dans le rôle nouvellement créé, cliquez sur l'onglet Point de terminaison réseau.
  7. Sur la page Point de terminaison réseau, copiez les URI de redirection et de déconnexion OIDC. Ceux-ci sont nécessaires pour configurer Azure AD.
    NOTE: Il se peut que vous deviez redémarrer la tâche Système pour voir les URI de point de terminaison.

2 - Préparation d'Azure AD

Avant d'effectuer ces étapes dans le portail Azure, vous devez remplir toutes les conditions préalables suivantes :
  • Disposer d'un répertoire Azure AD représentant votre domaine.
  • Avoir provisionné au moins un utilisateur.
  • Avoir provisionné au moins un groupe d'utilisateurs contenant les utilisateurs auxquels vous souhaitez accorder l'accès Security Center.
  1. Dans le portail Azure, ouvrez l'instance Azure Active Directory de votre locataire.
  2. Dans le menu de gauche, sélectionnez Inscriptions d'applications, puis cliquez sur Nouvelle inscription.

  3. Saisissez un nom, sélectionnez Locataire unique sous Types de comptes pris en charge, puis cliquez sur S'inscrire.

  4. Dans le menu de gauche de votre application, sélectionnez Authentification, cliquez sur Ajouter une plate-forme et sélectionnez Web.

  5. Dans Configuration Web, saisissez le premier URI de redirection pour Security Center dans URI de redirection et cliquez sur Configurer.

    NOTE: L 'URL de déconnexion explicite n'est pas requise par OIDC.
  6. Sous URI de redirection pour la plate-forme Web, cliquez sur Ajouter un URI et saisissez les URI de redirection et de déconnexion restants pour Security Center, puis cliquez sur Enregistrer.

  7. Dans le menu de gauche de votre application, sélectionnez Certificats et secrets, puis cliquez sur Nouveau secret client pour générer un secret client pour Security Center.

    La configuration d'un secret client est facultative, mais vivement recommandée pour intégrer Security Center de manière plus sécurisée.

    Best Practice: Après avoir généré votre secret, copiez-le et conservez-le en lieu sûr jusqu'à ce que l'intégration soit terminée. Il est impossible de récupérer un secret client à partir de la configuration Azure AD. Si le secret est perdu, vous devez en générer un nouveau.
  8. Dans le menu de gauche de votre application, sélectionnez Configuration du jeton.
  9. Cliquez sur Ajouter une revendication de groupe, sélectionnez les types de groupes auxquels vous souhaitez accorder l'accès Security Center, sélectionnez ID de groupe pour le type de jeton d'accès, puis cliquez sur Ajouter .

  10. Cliquez sur Ajouter une revendication facultative, sélectionnez le type de jeton Accès, sélectionnez la revendication UPN, puis cliquez sur Ajouter.
    NOTE: Security Center nécessite un identifiant unique pour l'utilisateur. La revendication UPN est une possibilité, mais d'autres revendications facultatives, telles que l'e-mail, peuvent être utilisées à la place.

  11. Dans le menu de gauche de votre application, sélectionnez Manifeste, définissez accessTokenAcceptedVersion sur 2, puis cliquez sur Enregistrer.

  12. Dans le menu de gauche de votre application, sélectionnez Exposer une API.
  13. Cliquez sur Définir à côté d'URI d'ID d'application pour spécifier un URI global unique pour l'application Security Center, puis cliquez sur Enregistrer.

    Azure AD génère automatiquement un URI utilisable. Vous pouvez utiliser la valeur par défaut ou la modifier selon vos besoins.

  14. Cliquez sur Ajouter une étendue, remplissez les champs obligatoires avec les valeurs de votre choix, puis cliquez sur Ajouter une étendue.
    NOTE: Une étendue personnalisée garantit qu'Azure AD cible Security Center. La portée peut spécifier n'importe quelle valeur.

3 - Intégration de Security Center à Azure AD

  1. Dans Config Tool, ouvrez le rôle Service d'authentification créé précédemment et cliquez sur l'onglet Propriétés.
  2. Complétez les propriétés comme suit :
    Nom d'affichage
    Lors de la connexion à Security Center, chaque option d'authentification tierce est présentée sous forme de bouton avec le texte « Se connecter avec <display name> ».
    Émetteur
    URL sécurisée (https) pointant vers le document de métadonnées OpenID Connect. Copiez-le depuis Points de terminaison dans la configuration de l'application Azure AD.

    Noms de domaine
    Les noms de domaine des utilisateurs qui s'authentifieront à l'aide d'Azure AD, tels que genetec.com. Vous devez en avoir au moins un.
    ID client
    Identifiant unique qui représente Security Center dans Azure AD. Copiez-le à partir de la vue d'ensemble dans la configuration de l'application Azure AD.

    Client confidentiel
    Définissez cette option sur ACTIVÉ si vous avez choisi de générer un secret client dans Azure AD.
    Code client
    Saisissez le secret client que vous avez généré dans Azure AD.
    Revendication de nom d'utilisateur
    Saisissez : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
    Revendication de groupe
    Entrez : groupes
    Portées (paramètre avancé)
    La portée personnalisée que vous avez créée dans Azure AD. Copiez-la à partir d'Exposer une API dans la configuration de l'application Azure AD.

    Laissez toutes les autres propriétés avec la valeur par défaut.

  3. Cliquez sur Appliquer.
  4. Téléchargez l'ensemble de votre liste de groupes depuis Azure Active Directory sous forme de fichier CSV.
  5. Importez les groupes d'utilisateurs du fichier CSV téléchargé vers Security Center.
    NOTE: L'identifiant unique externe des groupes importés doit correspondre à l'ID d'objet de ces groupes dans Azure AD.
Parent topic: Présentation de l'intégration pour l'authentification tierce à l'aide d'OpenID Connect