Como integrar o Security Center com o Azure Active Directory usando OpenID Connect - Security Center 5.10

Guia do administrador da Central de segurança 5.10

Applies to
Security Center 5.10
Last updated
2023-07-07
Content type
Guias > Guias do administrador
Language
Português
Product
Security Center
Version
5.10

Antes que o Security Center possa usar o Azure Active Directory para autenticar usuários com o OpenID Connect, é necessária a configuração no Config Tool e no Portal do Azure.

Este exemplo mostra as etapas necessárias para configurar a autenticação de terceiros com o Azure Active Directory (Azure AD) usando os tokens de acesso do OpenID Connect (OIDC). O procedimento está dividido nas seguintes seções:

  1. Preparando Security Center
  2. Preparando Azure AD
  3. Integrando Security Center com Azure AD

Para implementar a autenticação de terceiros, você deve ter direitos de administrador no Security Center e no Azure AD.

IMPORTANT: Este exemplo de integração pode ser diferente dos seus requisitos e o Portal do Azure está sujeito a alterações. Ao configurar o Azure AD, certifique-se de que todas as etapas sejam adaptadas à sua situação específica.

1 - Preparando Security Center

  1. Abra Config Tool e conecte-se a Security Center servidor principal como administrador.
  2. Em Config Tool, abra Sistema > Funções e clique em Adicionar entidade > Authentication Service.

  3. Na janela Criar uma função: Authentication Service, selecione ID aberto e clique em Próximo.

  4. Insira um nome e uma descrição opcional para a nova função do Authentication Service e clique em Próximo.

    NOTE: Se o seu sistema tiver várias partições, você também pode adicionar a nova função a uma partição específica aqui.
  5. Na página Resumo, verifique se todas as informações estão corretas, clique em Criar e clique em Fechar.
  6. Na função recém-criada, clique na guia Ponto de extremidade da rede.
  7. Na página Endpoint da rede, copie os URIs de redirecionamento e logout do OIDC. Eles são necessários para configurar o Azure AD.
    NOTE: Pode ser necessário reiniciar a tarefa Sistema para ver os URIs do terminal.

2 - Preparando Azure AD

Antes de concluir essas etapas no Portal do Azure, você deve atender a todos os seguintes pré-requisitos:
  • Tenha um Azure AD que represente seu domínio.
  • Provisionou pelo menos um usuário.
  • Provisionou pelo menos um grupo de usuários que contém os usuários aos quais você deseja conceder acesso a Security Center.
  1. No Portal do Azure, abra o Azure Active Directory para seu locatário.
  2. No menu esquerdo, selecione Registros de aplicativos e clique em Novo registro.

  3. Digite um Nome, selecione Locatário único em Tipos de conta com suporte e clique em Registrar.

  4. No menu esquerdo do seu aplicativo, selecione Autenticação, clique em Adicionar uma plataforma e selecione Web.

  5. Em Configurar Web, insira o primeiro URI de redirecionamento para Security Center para URIs de redirecionamento e clique em Configurar.

    NOTE: O URL de logout explícito não é exigido pelo OIDC.
  6. Em URIs de redirecionamento para a plataforma da Web, clique em Adicionar URI e insira os URIs de redirecionamento e logout restantes para Security Center e clique em Salve.

  7. No menu à esquerda do seu aplicativo, selecione Certificados & segredos e clique em Novo segredo do cliente para gerar um segredo do cliente para Security Center.

    Uma chave secreta do cliente é opcional, mas é altamente recomendável como uma forma mais segura de integração com Security Center.

    Best Practice: Após gerar seu segredo, copie-o e guarde-o em segurança até que a integração seja concluída. É impossível recuperar um segredo do cliente da configuração do Azure AD. Se o segredo for perdido, você deve gerar um novo.
  8. No menu esquerdo do seu aplicativo, selecione Configuração do token.
  9. Clique em Adicionar reivindicação de grupos, selecione os tipos de grupo aos quais deseja conceder acesso Security Center, selecione ID do grupo para o tipo de token de acesso e clique em Adicionar .

  10. Clique em Adicionar declaração opcional, selecione o tipo de token Acesso, selecione a declaração UPN e clique em Adicionar.
    NOTE: Security Center requer um identificador exclusivo para o usuário. UPN é uma possibilidade, mas outras declarações opcionais, como e-mail, podem ser usadas em seu lugar.

  11. No menu à esquerda do seu aplicativo, selecione Manifest, defina accessTokenAcceptedVersion como 2 e clique em Salvar.

  12. No menu esquerdo do seu aplicativo, selecione Expor uma API.
  13. Clique em Definir ao lado de URI do ID do aplicativo para especificar um URI globalmente exclusivo para o aplicativo Security Center e clique em Salvar.

    O Azure AD gera automaticamente um URI utilizável. Você pode usar o padrão ou alterá-lo conforme necessário.

  14. Clique em Adicionar um escopo, preencha os campos obrigatórios com os valores de sua escolha e clique em Adicionar escopo.
    NOTE: Um escopo personalizado garante que o Azure AD tenha como destino Security Center. O escopo pode especificar qualquer coisa.

3 - Integrando Security Center com Azure AD

  1. Em Config Tool, abra a função do Authentication Service criada anteriormente e clique na guia Propriedades.
  2. Preencha as propriedades da seguinte forma:
    Nome de exibição
    Ao fazer login em Security Center, as opções de autenticação de terceiros são apresentadas como um botão com o texto "Entrar com <display name>".
    Emissor
    URL seguro (https) direcionado para o documento de metadados OpenID Connect. Copie-o de Endpoints na configuração do aplicativo Azure AD.

    Nomes de domínio
    Os nomes de domínio dos usuários que serão autenticados usando o Azure AD, como genetec.com. Você deve ter pelo menos um.
    ID do Cliente
    Identificador exclusivo que representa Security Center no Azure AD. Copie-o da Visão geral na configuração do aplicativo Azure AD.

    Cliente confidencial
    Mude para ON se você optou por gerar um segredo de cliente no Azure AD.
    Segredo de cliente
    Insira o segredo do cliente que você gerou no Azure AD.
    Declaração de nome de usuário
    Digite: http://schemas.xmlsoap.org/ws/2005/05/ identity / Claims / upn
    Declaração de grupo
    Entrar: grupos
    Escopos (configuração avançada)
    O escopo personalizado que você criou no Azure AD. Copie-o de Expor uma API na configuração do aplicativo Azure AD.

    Deixe todas as outras propriedades com o valor padrão.

  3. Clique em Aplicar.
  4. Baixe em massa sua lista de grupos do Azure Active Directory como um arquivo CSV.
  5. Importe grupos de usuários do arquivo CSV baixado para Security Center.
    NOTE: O identificador exclusivo externo de grupos importados deve corresponder ao Id de objeto desses grupos no Azure AD.