Visão geral da integração para autenticação de terceiros usando OpenID Connect - Security Center 5.10

Guia do administrador da Central de segurança 5.10

Product
Security Center
Content type
Guias > Guias do administrador
Version
5.10
Language
Português
Last updated
2023-07-07

Antes que os usuários possam fazer logon em Security Center usando um provedor de identidade externo com OpenID Connect (OIDC), você deve seguir uma sequência de etapas.

A tabela a seguir lista as tarefas necessárias para implantar a autenticação de terceiros usando OIDC:
Etapa Tarefa Onde encontrar mais informações
Entender pré-requisitos e principais problemas antes de integrar
1 Aprenda sobre os diferentes componentes e como eles se conectam.
2 Certifique-se de que todos os clientes Security Center confiem na conexão com seu provedor de identidade.

Para estabelecer confiança, o certificado de chave pública para o provedor de identidade deve ser assinado por uma Autoridade de Certificação confiável no computador ou dispositivo móvel conectado a Security Center.

 
3 Verifique se sua licença Security Center inclui integrações OpenID Connect.

Vá para a página inicial do Config Tool, clique em Sobre > Security Center e confirme se Número de integrações do OpenID Connect é um ou mais.

Preparar o Security Center
4 Adicione uma função de Authentication Service para OpenID e clique na guia Ponto de extremidade da rede. Pode ser necessário reiniciar a tarefa System para ver os pontos de extremidade.

Os pontos de extremidade redirecionar e fazer logoff são necessários para configurar seu provedor de identidade. Existem diferentes URIs para cada tipo de cliente:

/genetec
Config Tool, Security Desk e SDK
/<Mobile>OpenId
Genetec™ Mobile
/<SecurityCenter>OpenId
Web Client
NOTA: Mobile e SecurityCenter são os endereços da web padrão para a função Mobile Server e a função Web Server. Qualquer modificação nesses endereços da web será refletida nos URIs correspondentes.

Para trabalhar com failover de função, URIs separados de redirecionamento e fazer logoff são necessários para cada servidor que pode hospedar as funções de diretório, Mobile Server e Web Server. Certifique-se de que o failover de função esteja configurado corretamente para ver todos os endpoints necessários.

Se novos servidores forem adicionados ou quaisquer servidores forem retirados após a configuração do provedor de identidade, pode ser necessário atualizar a configuração adicionando ou removendo URIs, conforme necessário.

Todos os clientes devem ser capazes de resolver o URI do terminal para seu tipo. Se um endereço público estiver sendo usado, esse endereço deve resolver para o servidor correto para clientes que se conectam de sua rede privada.

Integrar o provedor de identidade externo
5 Seguindo as instruções do seu provedor de identidade, adicione Security Center como um aplicativo confiável nesse sistema.

Para uma autenticação bem-sucedida, Security Center requer que o provedor de identidade retorne declarações sobre a parte autenticada em um token de acesso (formato JWT) ou o terminal UserInfo.

No mínimo, essas declarações devem incluir uma declaração de nome de usuário e uma declaração de associação ao grupo.

 
6 Adicione grupos de usuários autorizados de seu provedor de identidade a Security Center e defina privilégios.

Se o seu provedor de identidade puder exportar uma lista de grupos em formato CSV, essa lista pode ser importada para Security Center

Normalmente, os provedores de identidade usam nomes para identificar grupos de usuários de maneira exclusiva. Quando nomes são usados, Security Center grupos de usuários devem ter exatamente o mesmo nome que o grupo correspondente de seu provedor de identidade e incluir o nome de domínio. Por exemplo: Operators@YourCompany.com. No entanto, se o seu provedor de identidade usa um ID para identificar exclusivamente um grupo de usuários, esse ID deve ser adicionado à propriedade Identificador exclusivo externo para o grupo de usuários correspondente em Security Center antes que o grupo seja vinculado à autenticação Função de serviço.

Os usuários são criados automaticamente e adicionados ao seu grupo atribuído, ou grupos, quando fazem logon pela primeira vez.

7 Configure a função do Authentication Service com informações sobre seu provedor de identidade.

Abra a função Authentication Service para OpenID, clique na guia Propriedades e insira os campos obrigatórios.