Présentation de l'intégration pour l'authentification tierce à l'aide de SAML 2.0 - Security Center 5.10

Guide de l'administrateur Security Center 5.10

series
Security Center 5.10
revised_modified
2021-03-12

Avant que les utilisateurs ne puissent se connecter à Security Center via un fournisseur d'identité externe en utilisant SAML 2.0, vous devez suivre une séquence d'étapes.

Le tableau suivant répertorie les tâches requises pour déployer l'authentification tierce à l'aide de SAML 2.0 :
Étape Tâche Informations complémentaires
Comprendre les prérequis et les problèmes clés avant l'intégration
1 Prenez connaissance des différents composants et de leur mode d'interaction.
2 Assurez-vous que tous les clients Security Center font confiance à la connexion à votre fournisseur d'identité.

Pour cela, le certificat de clé publique du fournisseur d'identité doit être signé par une autorité de certification de confiance sur l'ordinateur ou le périphérique mobile se connectant à Security Center.

 
3 Vérifiez que votre licence Security Center inclut les intégrations SAML2.

Accédez à la page d'accueil Config Tool, cliquez sur À propos > Security Center et confirmez que le nombre d'intégrations SAML2 est égal à un ou plus.

Préparer Security Center
4 Ajoutez un rôle Service d'authentification pour SAML2 et cliquez sur l'onglet Point de terminaison réseau. Il se peut que vous deviez redémarrer la tâche Système pour voir les nœuds finaux.

Les points de terminaison de redirection et de déconnexion sont requis pour configurer votre fournisseur d'identité. Il existe différents URI pour chaque type de client :

/genetec
Config Tool, Security Desk et SDK
/<Mobile>OpenId
Genetec™ Mobile
/<SecurityCenter>OpenId
Web Client
REMARQUE : Mobile et SecurityCenter sont les adresses Web par défaut pour les rôles Mobile Server et Web Server. Toute modification de ces adresses Web sera reflétée dans les URI correspondants.

Pour utiliser le basculement de rôles, des URI de redirection et de déconnexion sont nécessaires pour chaque serveur pouvant héberger les rôles Répertoire, Mobile Server et Web Server. Assurez-vous que le basculement de rôle est correctement configuré pour voir tous les points de terminaison requis.

Si de nouveaux serveurs sont ajoutés ou si des serveurs sont retirés après la configuration du fournisseur d'identité, il se peut que vous deviez mettre à jour la configuration en ajoutant ou en supprimant des URI, si nécessaire.

Tous les clients doivent pouvoir résoudre l'URI du point de terminaison pour leur type. Si une adresse publique est utilisée, cette adresse doit être résolue sur le serveur approprié pour les clients se connectant à partir de votre réseau privé.

Security Center fournit également un document de métadonnées SAML2 qui inclut tous les points de terminaison requis. Vous pouvez spécifier d'utiliser ce document depuis votre fournisseur d'identité pour accélérer la configuration et vous assurer que la dernière configuration est toujours disponible.

Intégrer le fournisseur d'identité externe
5 En suivant les instructions de votre fournisseur d'identité, ajoutez Security Center en tant qu'application de confiance dans ce système.

Pour que l'authentification réussisse, Security Center nécessite que le fournisseur d'identité renvoie des assertions sur la partie authentifiée dans un jeton d'accès.

Au minimum, ces assertions doivent inclure une assertion de nom d'utilisateur, une assertion d'identifiant de nom et une assertion d'appartenance à un groupe. Le document de métadonnées Security Center SAML2 décrit le format attendu de l'identificateur de nom.

 
6 Ajoutez les groupes d'utilisateurs autorisés de votre fournisseur d'identité dans Security Center et définissez des privilèges.

Si votre fournisseur d'identité peut exporter une liste de groupes au format CSV, cette liste peut être importée dans Security Center.

En règle générale, les fournisseurs d'identité utilisent des noms pour identifier de manière unique les groupes d'utilisateurs. Lorsque des noms sont utilisés, les groupes d'utilisateurs Security Center doivent avoir exactement le même nom que le groupe correspondant de votre fournisseur d'identité et inclure le nom de domaine. Par exemple : Operateurs@VotreEntreprise.com. Toutefois, si votre fournisseur d'identité utilise un ID pour identifier de manière unique un groupe d'utilisateurs, cet ID doit être ajouté à la propriété Identificateur unique externe du groupe d'utilisateurs correspondant dans Security Center avant que le groupe ne soit lié au rôle Service d'authentification.

Les utilisateurs sont automatiquement créés et ajoutés à leur(s) groupe(s) attribué(s) lors de leur première connexion.

7 Configurez le rôle Service d'authentification avec des informations sur votre fournisseur d'identité.

Ouvrez le rôle Service d'authentification pour SAML2, cliquez sur l'onglet Propriétés et renseignez les champs requis.