Visão geral da integração para autenticação de terceiros usando SAML 2.0 - Security Center 5.10

Guia do administrador da Central de segurança 5.10

Applies to
Security Center 5.10
Last updated
2023-07-07
Content type
Guias > Guias do administrador
Language
Português
Product
Security Center
Version
5.10

Antes que os usuários possam fazer logon em Security Center usando um provedor de identidade externo com SAML 2.0, você deve seguir uma sequência de etapas.

A tabela a seguir lista as tarefas necessárias para implantar a autenticação de terceiros usando SAML 2.0:
Etapa Tarefa Onde encontrar mais informações
Entender pré-requisitos e principais problemas antes de integrar
1 Aprenda sobre os diferentes componentes e como eles se conectam.
2 Certifique-se de que todos os clientes Security Center confiem na conexão com seu provedor de identidade.

Para estabelecer confiança, o certificado de chave pública para o provedor de identidade deve ser assinado por uma Autoridade de Certificação confiável no computador ou dispositivo móvel conectado a Security Center.

 
3 Verifique se sua licença Security Center inclui integrações SAML2.

Vá para a página inicial de Config Tool, clique em Sobre > Security Center e confirme se Número de integrações SAML2 é um ou mais.

Preparar o Security Center
4 Adicione uma função de Authentication Service para SAML2 e clique na guia Ponto de extremidade da rede. Pode ser necessário reiniciar a tarefa Sistema para ver os pontos de extremidade.

Os pontos de extremidade redirecionar e fazer logoff são necessários para configurar seu provedor de identidade. Existem diferentes URIs para cada tipo de cliente:

/genetec
Config Tool, Security Desk e SDK
/<Mobile>OpenId
Genetec™ Mobile
/<SecurityCenter>OpenId
Web Client
NOTA: Mobile e SecurityCenter são os endereços da web padrão para a função Mobile Server e a função Web Server. Qualquer modificação nesses endereços da web será refletida nos URIs correspondentes.

Para trabalhar com failover de função, URIs separados de redirecionamento e fazer logoff são necessários para cada servidor que pode hospedar as funções de diretório, Mobile Server e Web Server. Certifique-se de que o failover de função esteja configurado corretamente para ver todos os endpoints necessários.

Se novos servidores forem adicionados ou quaisquer servidores forem retirados após a configuração do provedor de identidade, pode ser necessário atualizar a configuração adicionando ou removendo URIs, conforme necessário.

Todos os clientes devem ser capazes de resolver o URI do terminal para seu tipo. Se um endereço público estiver sendo usado, esse endereço deve resolver para o servidor correto para clientes que se conectam de sua rede privada.

Security Center também fornece um documento de metadados SAML2 que inclui todos os endpoints necessários. Você pode apontar para este ponto de extremidade de seu provedor de identidade para acelerar a configuração e garantir que a configuração mais recente esteja sempre disponível.

Integrar o provedor de identidade externo
5 Seguindo as instruções do seu provedor de identidade, adicione Security Center como um aplicativo confiável nesse sistema.

Para uma autenticação bem-sucedida, Security Center exige que o provedor de identidade retorne asserções sobre a parte autenticada em um token de acesso.

No mínimo, essas declarações devem incluir uma declaração de nome de usuário, uma declaração de identificador de nome e uma declaração de associação de grupo. O documento de metadados Security Center SAML2 descreve o formato esperado do identificador de nome.

 
6 Adicione grupos de usuários autorizados de seu provedor de identidade a Security Center e defina privilégios.

Se o seu provedor de identidade puder exportar uma lista de grupos em formato CSV, essa lista pode ser importada para Security Center

Normalmente, os provedores de identidade usam nomes para identificar grupos de usuários de maneira exclusiva. Quando nomes são usados, Security Center grupos de usuários devem ter exatamente o mesmo nome que o grupo correspondente de seu provedor de identidade e incluir o nome de domínio. Por exemplo: Operators@YourCompany.com. No entanto, se o seu provedor de identidade usa um ID para identificar exclusivamente um grupo de usuários, esse ID deve ser adicionado à propriedade Identificador exclusivo externo para o grupo de usuários correspondente em Security Center antes que o grupo seja vinculado à autenticação Função de serviço.

Os usuários são criados automaticamente e adicionados ao seu grupo atribuído, ou grupos, quando fazem logon pela primeira vez.

7 Configure a função do Authentication Service com informações sobre seu provedor de identidade.

Abra a função do Authentication Service para SAML2, clique na guia Propriedades e insira os campos obrigatórios.