Security Center(가)이 Okta를 사용하여 SAML 2.0을 통해 사용자를 인증하기 전에 Config Tool 및 Okta 관리자 Console에서 설정이 필요합니다.
이 예에서는 SAML 2.0을 사용하여 Okta로 타사 인증 설정에 필요한 단계를 보여줍니다. 해당 절차는 다음과 같은 섹션으로 구성됩니다.
타사 인증을 구현하려면 Security Center 및 Okta에 관리자 권한이 있어야 합니다.
IMPORTANT: 이 샘플 통합은 사용자의 요구 사항과 다를 수 있으며 Okta 관리자 콘솔이 변경될 수 있습니다. Okta를 설정할 때는 특정 상황에 맞게 모든 단계를 조정해야 합니다.
1 - Security Center 준비
- Config Tool을 열고 Security Center 메인 서버에 관리자로 연결합니다.
- Config
Tool에서 을 열고 를 클릭합니다.
- Role 생성: Authentication Service 창에서 SAML2 를 선택하고 다음 을 클릭.
- 새 Authentication Service 역할에 사용할 이름과 선택적 설명을 입력하고 다음을 클릭합니다.
NOTE: 시스템에 여러 개의 파티션이 있는 경우 여기에서 특정 파티션에 새 역할을 추가할 수도 있습니다. - 요약 페이지에서 모든 정보가 올바른지 확인하고 생성을 클릭한 후 종료를 클릭합니다.
- 새로 생성한 역할에서 네트워크 끝점 탭을 클릭합니다.
- 네트워크 엔드포인트 페이지에서 리디렉션 및 로그아웃 URI를 복사합니다. 이것들은 Okta Single Sign-On URL 및 Single Logout URL을 구성하는 데 필요합니다.NOTE: 엔드포인트 URI를 보려면 시스템 작업을 재시작해야 할 수도 있습니다.
OIDC 및 SAML 2.0에 같은 URI가 사용됩니다. 이러한 URI는 모든 클라이언트에서 Single 통합 인증(single-sign-on)을 사용하여 연결할 수 있어야 합니다.
- Security Center 메인 서버에서 운영 시스템의 지침에 따라 Security Center 메인 서버에서 사용하는 공개 키 인증서를 X.509 형식으로 내보냅니다.NOTE: 인증서 일반 이름(CN) 또는 주체 대체 이름(SAN)은 리디렉션 및 로그아웃 URI에 사용되는 호스트 이름, IP 주소 또는 정규화된 도메인 이름(FQDN)과 일치해야 합니다.
공개 키 는 Okta에서 Single Logout을 활성화하기 위해 필요합니다. Security Center 인증서는 - Server Admin메인 서버 페이지의 보안 통신 섹션에 표시됩니다.
2 - Okta 준비
Okta 관리자 콘솔에서 이러한 단계를 완료하려면 다음 필수조건을 모두 충족해야 합니다.
- Okta 관리자 계정이 있습니다.
- 한 명 이상의 사용자에게 프로비저닝했습니다.
- Security Center에 대한 접근 권한을 부여하려는 사용자가 포함된 하나 이상의 사용자 그룹에 프로비저닝했습니다.
- Okta 관리자 Console에서 을 선택한 다음 앱 통합 생성을 클릭합니다.
- 새 앱 통합 생성 마법사에서 SAML 2.0을 선택하고 다음을 클릭합니다.
- SAML 마법사 생성에서 앱 이름 을 입력하고 다음 을 클릭합니다.
- SAML 구성 페이지에서 다음을 설정합니다.
- 의 리디렉션 URI에서 복사한 Security CenterURL의 단일 서명NOTE: URI가 두 개 이상 필요한 경우 이 앱이 다른 SO URL을 요청하도록 허용을 선택하고 필요한 경우 추가 URI를 입력합니다.
- Audience URI (SP 속성 ID) 는urn:SecurityCenter 를 입력
- 이름 ID 형식은 영구 를 선택
-
- 의 리디렉션 URI에서 복사한 Security CenterURL의 단일 서명
- 하지만 SAML 설정 섹션에서 고급 설정 표시 를 클릭하고 다음을 설정합니다.
- Single Logout 활성화
- Single 로그아웃 URL 의 로그아웃 URI에서 복사한 Security Center/genetec 엔드 포인트
- SP 발급자가 urn:SecurityCenter 를 입력합니다.
- 에서 내보낸 공개 키 인증서를 Security Center서명 인증서 에 업로드
- 속성 설명 섹션에서 다음을 설정합니다.
- 이름
- 로그인
- 이름 형식
- URI 참조
- 값
- user.로그인
- 그룹 속성 설명 섹션에서 다음을 설정합니다.
- 이름
- 그룹
- 이름 형식
- URI 참조
- 필터
- Matches regex . *NOTE:
.*가 있는 Matches regex 필터는 인증된 사용자가 속하는 모든 그룹을 반환합니다.필요한 경우 해당 필터를 사용하여 특정 그룹을 제외할 수 있습니다. 출입 통제 권한을 부여하려면 Security Center에 할당된 1개 이상의 그룹이 포함되어야 합니다.
- 다음을 클릭합니다.
- 피드백 페이지에서 내부 앱을 추가하는 Okta 고객입니다 를 선택하고 선택적 피드백을 제공, 다음 마침 을 클릭합니다.
- 애플리케이션의 Sign On 페이지에서 다음을 수행합니다.
- ID 제공자 메타데이터 URL을 복사합니다. 이 URL은 에서 Authentication Service Role 에 필요한 Security Center메타데이터 URL입니다.
- 설정 지침 을 클릭합니다.
- 을(를) 위해 SAML 2.0 를 구성하는 방법<application> 페이지에서 X.509 인증서 를 다운로드합니다.
- 애플리케이션 할당 페이지에서 Security Center사용자 그룹을 애플리케이션에 할당합니다.
3 - Security Center와 Okta 통합
- Security Center 메인 서버에서 시스템 지침에 따라 Okta 인증서를 가져옵니다.NOTE: 인증서 적용 시 Windows를 재시작해야 할 수 있습니다.
- Config Tool에서 이전에 생성한 Authentication Service 역할을 열고 속성 탭을 클릭합니다.
- 다음과 같이 속성을 작성합니다.
- 이름 표시
- Security Center에 로그온할 때 타사 인증 옵션은 각각 '<display name>(으)로 로그인'이라는 텍스트가 있는 버튼으로 표시됩니다.
- 메타데이터 URL
- Okta에서 복사한 ID 제공자 메타데이터 URL을 입력합니다.
- 대상 그룹
- urn:SecurityCenter
- 도메인 이름
- Okta를 사용하여 인증하는 사용자의 도메인 이름(예: genetec.com)입니다. 1개 이상 있어야 합니다.
- 사용자 이름 어설션
- 로그인
- 그룹 어설션
- 그룹
기타 모든 속성은 기본값으로 유지합니다.
- 적용을 클릭합니다.
- Okta의 Security Center 애플리케이션에 할당된 그룹과 완전히 동일한 이름을 사용하여 사용자 그룹을 1개 이상 생성합니다.
- Okta를 사용하여 연결할 권한이 있는 그룹을 Authentication Service 역할의 사용자 그룹 목록에 추가합니다.