Bevor Security Center Azure Active Directory zur Authentifizierung von Benutzern mit OpenID Connect verwenden kann, ist die Einrichtung im Config Tool und im Azure-Portal erforderlich.
Dieses Beispiel zeigt die Schritte zum Einrichten der Drittanbieterauthentifizierung in Azure Active Directory (Azure AD) mithilfe von OpenID Connect-Zugriffstokens (OIDC). Der Vorgang besteht aus den folgenden Abschnitten:
- Vorbereitung von Security Center
- Vorbereitung von Azure AD
- Integration von Security Center in Azure AD
Um die Authentifizierung von Drittanbietern zu implementieren, müssen Sie über Administratorrechte in Security Center und Azure AD verfügen.
1 - Vorbereitung von Security Center
- Öffnen Sie Config Tool und melden Sie sich bei Security Center Hauptserver als Administrator an.
- Öffnen Sie in Config Tool und klicken Sie auf .
- Wählen Sie im Fenster Erstellen einer Rolle: Authentication Service die Option OpenID aus und klicken Sie auf Weiter.
- Geben Sie einen Namen und eine optionale Beschreibung für die neue Rolle "Authentication Service" ein und klicken Sie auf Weiter.
NOTE: Wenn Ihr System über mehrere Partitionen verfügt, können Sie die neue Rolle hier auch einer bestimmten Partition hinzufügen.
- Stellen Sie auf der Seite Zusammenfassung sicher, dass alle Informationen korrekt sind, klicken Sie auf Erstellen und dann auf Schließen.
- Klicken Sie in der neu erstellten Rolle auf die Registerkarte Netzwerkendpunkt.
- Kopieren Sie auf der Seite Netzwerkendpunkt die OIDC-URIs Umleitung und Abmelden. Diese werden zum Konfigurieren von Azure AD benötigt.NOTE: Möglicherweise müssen Sie den Task System neu starten, um die Endpunkt-URIs anzuzeigen.
2 - Vorbereitung von Azure AD
- Sie haben ein Azure AD, das Ihre Domain darstellt.
- Sie haben mindestens einen Benutzer bereitgestellt.
- Sie haben mindestens eine Benutzergruppe bereitgestellt, die die Benutzer enthält, denen Sie Zugriff auf Security Center gewähren möchten.
- Öffnen Sie im Azure-Portal das Azure Active Directory für Ihren Mandanten.
- Wählen Sie im linken Menü App-Registrierungen aus und klicken Sie auf Neue Registrierung.
- Geben Sie einen Namen ein, wählen Sie Einzelmandant unter Unterstützte Kontotypen aus und klicken Sie auf Registrieren.
- Wählen Sie im linken Menü Ihrer Anwendung Authentifizierung aus, klicken Sie auf Plattform hinzufügen und wählen Sie Web.
- Geben Sie unter Web konfigurieren den ersten Umleitungs-URI für Security Center in Umleitungs-URIs ein und klicken Sie auf Konfigurieren.
NOTE: Die explizite Abmelde-URL wird von OIDC nicht benötigt.
- Klicken Sie unter Umleitungs-URIs für die Web-Plattform auf URI hinzufügen und geben Sie die verbleibenden URIs Umleitung und Abmelden für Security Center ein. Klicken Sie dann auf Speichern.
- Wählen Sie im linken Menü Ihrer Anwendung Zertifikate & Secrets aus und klicken Sie auf Neues Client-Secret, um ein Client-Secret für Security Center zu generieren.
Best Practice: Nachdem Sie Ihr Secret generiert haben, kopieren Sie es und bewahren Sie es sicher auf, bis die Integration abgeschlossen ist. Es ist unmöglich, ein Client-Secret aus der Azure AD-Konfiguration abzurufen. Wenn das Secret verloren geht, müssen Sie ein neues generieren.
- Wählen Sie im linken Menü Ihrer Anwendung Token-Konfiguration.
- Klicken Sie auf Gruppen-Claim hinzufügen, wählen Sie die Gruppentypen aus, denen Sie Zugriff auf Security Center gewähren möchten, wählen Sie Gruppen-ID als Zugriffstoken-Typ aus und klicken Sie dann auf Hinzufügen .
- Klicken Sie auf Optionalen Claim hinzufügen, wählen Sie den Tokentyp Zugriff aus, dann den UPN-Claim und klicken Sie auf Hinzufügen.NOTE: Security Center erfordert eine eindeutige Kennung für den Benutzer. UPN ist eine Möglichkeit, aber auch andere optionale Claims wie E-Mail können verwendet werden.
- Wählen Sie im linken Menü Ihrer Anwendung Manifest aus, setzen Sie accessTokenAcceptedVersion auf 2 und klicken Sie auf Speichern.
- Wählen Sie im linken Menü Ihrer Anwendung API verfügbar machen.
- Klicken Sie neben Anwendungs-ID-URI auf Festlegen, um einen global eindeutigen URI für die Security Center-Anwendung anzugeben, und klicken Sie auf Speichern.
Azure AD generiert automatisch einen verwendbaren URI. Sie können die Standardeinstellung verwenden oder nach Bedarf ändern.
- Klicken Sie auf Bereich hinzufügen, füllen Sie die erforderlichen Felder mit Werten Ihrer Wahl aus und klicken Sie auf Bereich hinzufügen.NOTE: Ein benutzerdefinierter Bereich stellt sicher, dass Azure AD auf Security Center abzielt. Der Bereich kann alles angeben.
3 - Integration von Security Center in Azure AD
- Öffnen Sie in Config Tool die zuvor erstellte Rolle "Authentication Service" und klicken Sie auf die Registerkarte Eigenschaften.
- Vervollständigen Sie die Eigenschaften wie folgt:
- Anzeigename
- Bei der Anmeldung bei Security Center werden Authentifizierungsoptionen von Drittanbietern jeweils als Schaltfläche mit dem Text "Mit <display name> anmelden" angezeigt.
- Aussteller
- Sichere URL (https), die auf das OpenID Connect-Metadaten-Dokument verweist. Kopieren Sie es von Endpunkten in der Azure AD-Anwendungskonfiguration.
- Domainnamen
- Die Domainnamen von Benutzern, die sich mit Azure AD authentifizieren, z. B. genetec.com. Sie müssen mindestens einen haben.
- Client-ID
- Eindeutiger Bezeichner, der Security Center in Azure AD darstellt. Kopieren Sie diesen aus der Übersicht in der Azure AD-Anwendungskonfiguration.
- Vertraulicher Client
- Wechseln Sie zu EIN, wenn Sie ein Client-Secret in Azure AD generieren möchten.
- Client-Secret
- Geben Sie das Client-Secret ein, das Sie in Azure AD generiert haben.
- Benutzernamen-Claim
- Geben Sie Folgendes ein: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
- Gruppen-Claim
- Geben Sie Folgendes ein: groups
- Bereiche (erweiterte Einstellung)
- Der benutzerdefinierte Bereich, den Sie in Azure AD erstellt haben. Kopieren Sie ihn von API verfügbar machen in der Azure AD-Anwendungskonfiguration.
Belassen Sie alle anderen Eigenschaften mit dem Standardwert.
- Klicken Sie auf Anwenden.
- Laden Sie Ihre Gruppenliste als CSV-Datei aus Azure Active Directory herunter.
- Importieren Sie Benutzergruppen aus der heruntergeladenen CSV-Datei nach Security Center.NOTE: Die externe eindeutige Kennung importierter Gruppen muss mit der Objekt-ID dieser Gruppen in Azure AD übereinstimmen.