Antes que o Security Center possa usar o Okta para autenticar usuários com SAML 2.0, é necessário realizar a configuração no Config Tool e no Okta Admin Console.
Este exemplo mostra como configurar a autenticação de terceiros com o Okta usando SAML 2.0. O procedimento está dividido em três seções:
- Localizando as propriedades no Okta Admin Console
- Entender a importância de cada propriedade
- Validar as propriedades antes de prosseguir
- Acessar os tópicos de ajuda
Para implementar a autenticação de terceiros, você deve ter direitos de administrador no Security Center e no Okta.
1 - Preparação do Security Center
- Abra o Config Tool e conecte-se ao servidor principal do Security Center como administrador.
- Na página inicial do Config Tool, abra a tarefa Sistema e clique na visualização Funções.
- Clique em Adicionar uma entidade (
) > Authentication Service.A janela Criar uma função: Authentication Service é aberta.
- Na seção Informações específicas, selecione o provedor de identidade e o protocolo de autenticação e clique em Próximo.
- Provedor
- Okta
- Protocolo
- SAML 2.0
- Insira um nome e uma descrição opcional para a nova função do Authentication Service e clique em Próximo.
- Se houver partições em seu sistema, selecione a partição da qual essa função faz parte e clique em Criar.
As partições determinam quais usuários do Security Center têm acesso a esta entidade. Somente usuários que receberam acesso à partição podem ver essa função.
- Na página Registro de aplicativo, copie os URIs de redirecionamento e logout.
Para obter mais informações, consulte Sobre a configuração de endpoints de função.
- Clique em .NOTA: O botão Suspender permite que você salve e saia temporariamente do assistente de configuração. Você pode suspender a configuração a qualquer momento durante o processo.
- No servidor principal do Security Center, siga as instruções para o seu sistema operacional para exportar o certificado de chave pública usado pelo servidor principal do Security Center no formato X.509.NOTA: O certificado Nome Comum (CN) ou Nome Alternativo do Sujeito (SAN) deve corresponder ao nome do host, endereço IP ou Nome de Domínio Totalmente Qualificado (FQDN) usado nos URIs de redirecionamento e logout.
Essa chave pública é exigida pelo Okta para possibilitar o Logout Único. O certificado do Security Center é exibido na seção Comunicação segura na página Server Admin - Servidor principal.
2 - Preparando Okta
- Ter uma conta de administrador Okta.
- Provisionou pelo menos um usuário.
- Provisionou pelo menos um grupo de usuários que contém os usuários aos quais você deseja conceder acesso ao Security Center.
- No Okta Admin Console, selecione e clique em Criar integração de aplicativo.
- No assistente Criar nova integração de aplicativo, selecione SAML 2.0 e clique em Próximo.
- No assistente Criar integração SAML, entre com o Nome do aplicativo e clique em Próximo.
- Na página Configurar SAML, configure o seguinte:
-
URL de logon único: Copiado dos URIs de direcionamento no Security CenterNOTA: Se for necessário mais de um URI, desmarque Use isso para URL do destinatário e URL do destino e digite os URIs adicionais conforme necessário.
- URI de público-alvo (ID de entidade SP): Insira urn:SecurityCenter
- Formato do ID de nome: Selecione Persistente
-
URL de logon único: Copiado dos URIs de direcionamento no Security Center
- Ainda na seção Configurações de SAML clique em Exibir configurações avançadas e configure o seguinte:
- Certificado de assinatura
- Carregue o certificado de chave pública exportado do Security Center.
- Habilitar logout único
- Selecione a opção Permitir que o aplicativo inicie o logout único.
- URL de logout único
- Copie o endpoint /genetec dos URIs logout no Security Center
- Emissor SP
- Insira urn:SecurityCenter
- Na seção Declarações de atributo, configure:
- Nome
- login
- Formato de nome
- Referência de URI
- VALOR
- usuário.login
- Na seção Declarações de atributos de grupo, configure:
- Nome
- grupos
- Formato de nome
- Referência de URI
- Filtro
-
Corresponde à expressão regular
.*
NOTA: O filtro Corresponde à expressão regular com
.*retorna todos os grupos aos quais o usuário autenticado pertence.Se necessário, você também pode usar este filtro para excluir certos grupos. Pelo menos um grupo atribuído ao Security Center deve ser incluído para conceder acesso.
- Clique em Próximo.
- Na página Feedback, selecione Sou um cliente Okta adicionando um aplicativo interno, forneça um feedback e clique em Concluir.
- Na página de Logon para o seu aplicativo, faça o seguinte:
- Copie o URL de metadados.
Isso é exigido pela função Authentication Service no Security Center.
- Clique em Ver instruções de configuração de SAML.
- Copie o URL de metadados.
- Na página Como configurar o SAML 2.0 parar <aplicativo>, baixe o Certificado X.509.
- Na página Atribuições para o seu aplicativo, atribua os grupos de usuário do Security Center ao aplicativo.
3 - Integração do Security Center com o Okta
- Antes de configurar um Authentication Service no Security Center, é necessário registrar os URIs de redirecionamento e logout no Okta Admin Console.
- O sistema valida as propriedades em cada etapa antes que você possa prosseguir.
- No Config Tool, selecione a função Authentication Service criada anteriormente e clique em Configuração.
A página Registro de aplicativo da janela Criando uma função: Authentication Service é aberta e você pode retomar a configuração.
- Na página Registro do aplicativo, clique em Próximo.
- Na página Comunicar com o provedor, clique em Iniciar.
- Na seção Metadados, insira o URL dos metadados e clique em Próximo.
O URL dos metadados está disponível na página Entrar do seu aplicativo Okta.
- Na seção Comunicar com o provedor, selecione as seguintes propriedades:
- Emissor
- Digite o Emissor provedor de identidade que foi copiado de no Okta.
- Público-alvo
- Disponível em no Okta.
- Clique em Próximo.
- Na página Domínios aceitos, configure a opção Provedor padrão:
- Esta opção está desligada por padrão. Quando desativada, você deve adicionar pelo menos um nome de domínio de usuários que podem se autenticar usando esse Authentication Service.
- Ative a opção Provedor padrão para usar esse provedor de identidade para autenticar usuários de todos os domínios.
Se você tiver várias funções do Authentication Service, somente uma função poderá ser definida como o provedor padrão, e essa opção será desativada para todas as outras funções.
CUIDADO:A ativação da opção Provedor padrão exclui todos os nomes de domínio que foram adicionados anteriormente.
- Esta opção está desligada por padrão. Quando desativada, você deve adicionar pelo menos um nome de domínio de usuários que podem se autenticar usando esse Authentication Service.
- Especifique se deseja ou não utilizar este provedor de identidade como uma opção de login.
Se você selecionar Sim, digite o nome do provedor de identidade a ser exibido na tela de logon com o texto "Entrar com <nome de exibição>".
- Clique em Próximo.
- Na página Reivindicações e escopos, insira as seguintes propriedades:
- Declaração de nome de usuário
- login
- Declaração de grupo
- grupos
- Clique em Próximo.
- Na página Grupos, clique em Adicionar um item (), selecione um grupo existente ou crie um novo grupo de usuários e clique em Próximo.DICA: Você pode exportar a lista de usuários ativos do Okta Admin Console como um arquivo CSV e importar o grupo para o Security Center. Você pode adicionar um ou mais grupos de usuários do Security Center com o mesmo nome ou identificador único dos grupos atribuídos ao aplicativo Security Center no Okta.
- Na página Testar a configuração, clique em Testar logon para validar a configuração e clique em Próximo.
Para obter mais informações, consulte Teste de uma configuração de autenticação de terceiros.
- Na página Resultado da criação, verifique se as informações estão corretas e clique em .