Antes que o Security Center possa usar o Azure Active Directory para autenticar usuários com o OpenID Connect, é necessária a configuração no Config Tool e no Portal do Azure.
Este exemplo mostra as etapas necessárias para configurar a autenticação de terceiros com o Azure Active Directory (Azure AD) usando os tokens de acesso do OpenID Connect (OIDC). O procedimento está dividido nas seguintes seções:
Para implementar a autenticação de terceiros, você deve ter direitos de administrador no Security Center e no Azure AD.
IMPORTANT: Este exemplo de integração pode ser diferente dos seus requisitos e o Portal do Azure está sujeito a alterações. Ao configurar o Azure AD, certifique-se de que todas as etapas sejam adaptadas à sua situação específica.
1 - Preparando Security Center
- Abra Config Tool e conecte-se a Security Center servidor principal como administrador.
- Em Config Tool, abra e clique em .
- Na janela Criar uma função: Authentication Service, selecione ID aberto e clique em Próximo.
- Insira um nome e uma descrição opcional para a nova função do Authentication Service e clique em Próximo.
NOTE: Se o seu sistema tiver várias partições, você também pode adicionar a nova função a uma partição específica aqui.
- Na página Resumo, verifique se todas as informações estão corretas, clique em Criar e clique em Fechar.
- Na função recém-criada, clique na guia Ponto de extremidade da rede.
- Na página Endpoint da rede, copie os URIs de redirecionamento e logout do OIDC. Eles são necessários para configurar o Azure AD.NOTE: Pode ser necessário reiniciar a tarefa Sistema para ver os URIs do terminal.
2 - Preparando Azure AD
Antes de concluir essas etapas no Portal do Azure, você deve atender a todos os seguintes pré-requisitos:
- Tenha um Azure AD que represente seu domínio.
- Provisionou pelo menos um usuário.
- Provisionou pelo menos um grupo de usuários que contém os usuários aos quais você deseja conceder acesso a Security Center.
- No Portal do Azure, abra o Azure Active Directory para seu locatário.
- No menu esquerdo, selecione Registros de aplicativos e clique em Novo registro.
- Digite um Nome, selecione Locatário único em Tipos de conta com suporte e clique em Registrar.
- No menu esquerdo do seu aplicativo, selecione Autenticação, clique em Adicionar uma plataforma e selecione Web.
- Em Configurar Web, insira o primeiro URI de redirecionamento para Security Center para URIs de redirecionamento e clique em Configurar.
NOTE: O URL de logout explícito não é exigido pelo OIDC.
- Em URIs de redirecionamento para a plataforma da Web, clique em Adicionar URI e insira os URIs de redirecionamento e logout restantes para Security Center e clique em Salve.
- No menu à esquerda do seu aplicativo, selecione Certificados & segredos e clique em Novo segredo do cliente para gerar um segredo do cliente para Security Center.
Best Practice: Após gerar seu segredo, copie-o e guarde-o em segurança até que a integração seja concluída. É impossível recuperar um segredo do cliente da configuração do Azure AD. Se o segredo for perdido, você deve gerar um novo.
- No menu esquerdo do seu aplicativo, selecione Configuração do token.
- Clique em Adicionar reivindicação de grupos, selecione os tipos de grupo aos quais deseja conceder acesso Security Center, selecione ID do grupo para o tipo de token de acesso e clique em Adicionar .
- Clique em Adicionar declaração opcional, selecione o tipo de token Acesso, selecione a declaração UPN e clique em Adicionar.NOTE: Security Center requer um identificador exclusivo para o usuário. UPN é uma possibilidade, mas outras declarações opcionais, como e-mail, podem ser usadas em seu lugar.
- No menu à esquerda do seu aplicativo, selecione Manifest, defina accessTokenAcceptedVersion como 2 e clique em Salvar.
- No menu esquerdo do seu aplicativo, selecione Expor uma API.
- Clique em Definir ao lado de URI do ID do aplicativo para especificar um URI globalmente exclusivo para o aplicativo Security Center e clique em Salvar.
O Azure AD gera automaticamente um URI utilizável. Você pode usar o padrão ou alterá-lo conforme necessário.
- Clique em Adicionar um escopo, preencha os campos obrigatórios com os valores de sua escolha e clique em Adicionar escopo.NOTE: Um escopo personalizado garante que o Azure AD tenha como destino Security Center. O escopo pode especificar qualquer coisa.
3 - Integrando Security Center com Azure AD
- Em Config Tool, abra a função do Authentication Service criada anteriormente e clique na guia Propriedades.
- Preencha as propriedades da seguinte forma:
- Nome de exibição
- Ao fazer login em Security Center, as opções de autenticação de terceiros são apresentadas como um botão com o texto "Entrar com <display name>".
- Emissor
- URL seguro (https) direcionado para o documento de metadados OpenID Connect. Copie-o de Endpoints na configuração do aplicativo Azure AD.
- Nomes de domínio
- Os nomes de domínio dos usuários que serão autenticados usando o Azure AD, como genetec.com. Você deve ter pelo menos um.
- ID do Cliente
- Identificador exclusivo que representa Security Center no Azure AD. Copie-o da Visão geral na configuração do aplicativo Azure AD.
- Cliente confidencial
- Mude para ON se você optou por gerar um segredo de cliente no Azure AD.
- Segredo de cliente
- Insira o segredo do cliente que você gerou no Azure AD.
- Declaração de nome de usuário
- Digite: http://schemas.xmlsoap.org/ws/2005/05/ identity / Claims / upn
- Declaração de grupo
- Entrar: grupos
- Escopos (configuração avançada)
- O escopo personalizado que você criou no Azure AD. Copie-o de Expor uma API na configuração do aplicativo Azure AD.
Deixe todas as outras propriedades com o valor padrão.
- Clique em Aplicar.
- Baixe em massa sua lista de grupos do Azure Active Directory como um arquivo CSV.
- Importe grupos de usuários do arquivo CSV baixado para Security Center.NOTE: O identificador exclusivo externo de grupos importados deve corresponder ao Id de objeto desses grupos no Azure AD.