Déploiement d'une authentification tierce via ADFS à l'aide de WS-Federation ou WS-Trust - Security Center 5.10

Guide de l'administrateur Security Center 5.10

series
Security Center 5.10
revised_modified
2021-03-12

Vous pouvez utiliser le serveur Active Directory Federation Services (ADFS) en tant que fournisseur d'identités pour Security Center, et autoriser les utilisateurs externes à se connecter en dehors de votre entreprise en créant une chaîne de confiance entre les serveurs ADFS tiers et le serveur principal Security Center.

Avant de commencer

  • Familiarisez-vous avec les concepts de l'authentification tierce.
  • Assurez-vous que votre serveur ADFS est opérationnel. Pour des informations générales sur l'utilisation et la configuration d'ADFS, reportez-vous à la documentation de votre version du logiciel.

À savoir

Ce processus de déploiement utilise le scénario suivant :
  • Les utilisateurs de la société XYZ doivent accéder à votre système Security Center.
  • Les serveurs de la société XYZ ne sont pas sur le même domaine que les serveurs de votre société.
  • La société XYZ possède un serveur ADFS utilisant WS-Trust ou WS-Federation reposant sur Active Directory en tant que fournisseur d'identité.

Pour que les utilisateurs externes de la société XYZ accèdent à Security Center, une chaîne de confiance doit être établie entre le serveur Active Directory de la société XYZ et le serveur principal de votre système Security Center.

REMARQUE : Security Center exige des attributs particuliers en tant que revendications: Group et UPN (User Principal Name).
BONNE PRATIQUE : Si vous souhaitez utiliser des groupes de sécurité de votre instance Active Directory locale en tant que groupes d'utilisateurs Security Center, ne les fédérez pas via le rôle Service d'authentification, mais Importez-les via Active Directory. Cette dernière approche offre davantage de fonctionnalités, comme la synchronisation de tous les champs standard (prénom, nom, adresse e-mail, etc.), le mappage de champs personnalisés et la possibilité de créer tous les utilisateurs au moment de la synchronisation du rôle.

Procédure

  1. La société XYZ doit ajouter une approbation de partie de confiance à son serveur ADFS pour votre serveur ADFS.
  2. Configurez votre serveur ADFS local comme suit :
    1. Ajoutez une approbation de fournisseur de revendications pour le serveur ADFS tiers.
    2. Configurez les règles de revendication pour le fournisseur de revendications tiers.
    3. Ajoutez une approbation de partie de confiance pour Security Center.
    4. Configurez les règles de revendication pour Security Center.
  3. Configurez Security Center pour effectuer une authentification tierce via ADFS.
    1. Connectez-vous à votre système Security Center avec Config Tool.
    2. Créez un groupe d'utilisateurs pour chaque groupe ADFS que vous souhaitez autoriser en tant que groupe d'utilisateurs Security Center.
    3. Créez un rôle Service d'authentification pour l'authentification tierce à l'aide de WS-Trust ou WS-Federation.

Résultats

Les utilisateurs entrants peuvent désormais être authentifiés par ADFS.
REMARQUE : Les utilisateurs externes qui doivent être authentifiés par ADFS à l'aide du protocole WS-Trust doivent ajouter leur nom de domaine à la fin de leur nom d'utilisateur, tel que NomUtilisateur@SociétéXYZ.com, sur l'écran de connexion Security Center.
IMPORTANT : Il existe actuellement un problème connu concernant l'utilisation d'un répertoire Active Directory local et ADFS. Lorsque vous avez des utilisateurs externes authentifiés via ADFS dans votre système, tous les utilisateurs importés depuis votre Active Directory local doivent également fournir un nom complet, bien qu'ils appartiennent au même domaine que votre système Security Center.