Você pode configurar um Authentication Service usando o protocolo OpenID na visualização Funções da tarefa Sistema no Config Tool do Security Center.
Na página Propriedades, você pode configurar um provedor de identidade OpenID para autenticação de terceiros.
- Protocolo
- Configura o protocolo de autenticação para ser utilizado com esse provedor de identidade. A alteração do protocolo faz com que a configuração do Authentication Service migre entre OpenID e SAML2.CUIDADO:Dependendo da configuração original, a migração da função Authentication Service para outro protocolo pode deixar erros na nova configuração. Após a migração, certifique-se de que a nova configuração está completa e precisa antes de usar a mesma.
- Nome de exibição
- Identifica esse provedor na tela de logon do cliente. Cada provedor é apresentado na forma de um botão com o texto "Entrar com <display name>".
- Emissor
- URL segura (HTTPS) direcionada para o documento de descoberta OpenID do provedor. Esse arquivo metadados contém todas as informações necessárias para a interação com o provedor de identidade terceiro, incluindo capacidades e localizações de endpoint.
- Provedor padrão
- Esta opção está desligada por padrão. Ative para usar esse provedor de identidade para autenticação de usuários de todos os domínios. Se você tiver várias funções do Authentication Service, somente uma função poderá ser definida como o provedor padrão, e essa opção será desativada para todas as outras funções.
- Nomes de domínio
- Exibido somente quando Provedor padrão está desativado. Uma lista de nomes de domínio associados a usuários que podem se conectar ao Security Center utilizando esse provedor de identidade. Nomes de usuário que incluam um desses domínios serão automaticamente redirecionados para a tela de login.
- ID do Cliente
- A ID de cliente (também conhecida como público-alvo:) é um identificador único para o Security Center emitido pelo provedor de identidade quando o aplicativo é registrado.
- Cliente confidencial
- Esta opção está desligada por padrão. Ative-a para definir o Security Center como cliente confidencial desse provedor de identidade. Ser um cliente confidencial é mais seguro e fortemente recomendado. Os clientes confidenciais utilizam um segredo de cliente privado para identificar-se ao provedor de identidade.
- Segredo de cliente
- Exibido somente quando Cliente confidencial está ativado. O segredo do cliente é uma senha confidencial emitida pelo provedor de identidade quando o Security Center está registrado como cliente confidencial.
- Declaração de nome de usuário
- Declaração de OpenID usada pelo provedor de identidade para fornecer o nome de usuário da parte autenticada. O Centro de Segurança requer um nome de usuário para autorizar o acesso ao cliente.
- Declaração de grupo
- Declaração de OpenID usada pelo provedor de identidade para fornecer as associações a grupos da parte autenticada. O Security Center requer a adesão de grupos para autorizar o acesso ao cliente.
- ID de recurso
- Somente ADFS. URI contendo o Identificador da parte confiável para o Security Center.
- Público-alvo
- Somente Keycloak. Os tokens de acesso fornecidos pelo Keycloak especificam um público-alvo diferente da ID de cliente. Esse público-alvo deve ser especificado aqui.
- Obter declarações de
- Especifica onde o Security Center deve obter declarações feitas por esse provedor de identidade. As declarações podem ser obtidas de um token de acesso, ponto de extremidade UserInfo ou ambos.
- Solicitar acesso offline
- Solicita escopo de acesso offline ao aplicativo Security Center.
- Escopos
- Escopos personalizados definidos para o aplicativo Security Center.
- Parâmetros personalizados
- Se necessário, especifique um ou mais parâmetros personalizados para enviar a este provedor de identidade com cada solicitação de autenticação. Os parâmetros personalizados não são definidos pelo protocolo OpenID e se destinam a atender às necessidades de configurações não padrão.
- Grupos de usuários
- Adicionar ou remover grupos de usuários do Security Center associados a esse provedor de identidade. Se o seu provedor de identidade puder exportar uma lista de grupos em formato CSV, essa lista pode ser importada aqui. Grupos que não estejam presentes nessa lista não estão associados com o provedor de identidade e não serão utilizados para autorizar usuários de entrada.