Como integrar o Security Center com o Azure Active Directory usando OpenID Connect - Security Center 5.12

Guia do administrador do Security Center 5.12
Product
Security Center
Content type
Guias > Guias do administrador
Version
5.12
ft:locale
pt-BR
Last updated
2025-01-28

Antes que o Security Center possa usar o Azure Active Directory para autenticar usuários com o OpenID Connect, é necessária a configuração no Config Tool e no portal do Azure.

Este exemplo mostra como configurar a autenticação de terceiros com o Azure Active Directory (Azure AD) usando os tokens de acesso do OpenID Connect (OIDC). O procedimento está dividido em três seções:

  1. Preparação do Security Center
  2. Preparação do Azure AD
  3. Integração do Security Center com o Azure AD
O Security Center oferece configuração assistida do provedor de identidade para facilitar a autenticação de terceiros com o Azure AD. Ele fornece as informações relevantes necessárias para a configuração.
NOTA: Quando você cria uma função Authentication Service com Provider:Other, o Security Center não oferece muita assistência na configuração do provedor de identidade.
A janela Authentication Service no Config Tool exibe a configuração assistida do provedor de identidade.
Em cada etapa, o assistente de configuração o ajuda com as seguintes tarefas:
  • Localizar as propriedades no portal do Azure
  • Entender a importância de cada propriedade
  • Validar as propriedades antes de prosseguir
  • Acessar os tópicos de ajuda

Para implementar a autenticação de terceiros, você deve ter direitos de administrador no Security Center e no Azure AD.

IMPORTANTE: Este exemplo de integração pode ser diferente dos seus requisitos e o Portal do Azure está sujeito a alterações. Ao configurar o Azure AD, certifique-se de que todas as etapas estejam adaptadas à sua situação.

1 - Preparação do Security Center

  1. Abra o Config Tool e conecte-se ao servidor principal do Security Center como administrador.
  2. Na página inicial do Config Tool, abra a tarefa Sistema e clique na visualização Funções.
  3. Clique em Adicionar uma entidade () > Authentication Service.
    Adicione um menu de entidade na Config Tool, com a função Authentication Service destacada.

    A janela Criar uma função: Authentication Service é aberta.

  4. Na seção Informações específicas, selecione o provedor de identidade e o protocolo de autenticação e clique em Próximo.
    Provedor
    AD do Azure
    Protocolo
    OpenID Connect

    Criar uma função: janela Authentication Service no Config Tool, com o provedor de identidade Azure AD e o protocolo OpenID selecionado.

  5. Na seção Informações básicas insira um nome e uma descrição opcional para a nova função Authentication Service.

    Criar uma função: janela Authentication Service na Config Tool exibindo os campos de Informações básicas para o Azure AD.

  6. Se houver partições em seu sistema, selecione a partição da qual essa função faz parte e clique em Criar.

    As partições determinam quais usuários do Security Center têm acesso a esta entidade. Somente usuários que receberam acesso à partição podem ver essa função.

  7. Na página Registro de aplicativo, copie os URIs de redirecionamento e logout.

    Para obter mais informações, consulte Sobre a configuração de endpoints de função.

  8. Clique em Suspender > Salvar.
    NOTA: O botão Suspender permite que você salve e saia temporariamente do assistente de configuração. Você pode suspender a configuração a qualquer momento durante o processo.

2 - Preparando Azure AD

Antes de concluir essas etapas no portal do Azure, você deve atender aos seguintes pré-requisitos:
  • Tenha um Azure AD que represente seu domínio.
  • Provisionou pelo menos um usuário.
  • Provisionou pelo menos um grupo de usuários que contém os usuários aos quais você deseja conceder acesso ao Security Center.
  1. No Portal do Azure, abra o Azure Active Directory para seu locatário.
  2. No menu esquerdo, selecione Registros de aplicativos e clique em Novo registro.

    O portal do Azure mostra o botão Novo registro na página Registros de aplicativos.

  3. Digite um Nome, selecione Locatário único em Tipos de conta com suporte e clique em Registrar.

    Registre um assistente de aplicativo no portal do Azure, com nome de exibição e tipos de conta com suporte.

  4. No menu esquerdo do seu aplicativo, selecione Autenticação, clique em Adicionar uma plataforma e selecione Web.

    O portal do Azure mostra as definições de configuração da plataforma na página Autenticação.

  5. Em Configurar Web, insira o primeiro URI de redirecionamento para o Security Center para URIs de redirecionamento e clique em Configurar.

    Configure o assistente da Web no portal do Azure, com uma chamada para URIs de redirecionamento.

    NOTA: O OIDC não requer um URL de logout explícito.
  6. Em URIs de redirecionamento para a plataforma da Web, clique em Adicionar URI, insira os URIs de redirecionamento e logout restantes para o Security Center e clique em Salvar.

    Assistente de configurações da plataforma no portal do Azure, com uma chamada para Adicionar URI.

  7. No menu à esquerda do seu aplicativo, selecione Certificados e segredos e clique em Novo segredo do cliente para gerar um segredo do cliente para o Security Center.

    O portal do Azure mostra o botão Novo segredo de cliente na página de Certificados e segredos.

    MELHOR PRÁTICA: Após gerar seu segredo, copie-o do cabeçalho da coluna Valor e guarde-o em segurança até que a integração seja concluída. É impossível recuperar um segredo do cliente da configuração do Azure AD. Se o segredo for perdido, você deve gerar um novo.

    O portal do Azure mostra o valor do segredo do cliente na página Certificados e segredos.

  8. No menu esquerdo do seu aplicativo, selecione Configuração do token.
  9. Clique em Adicionar declaração de grupos, selecione o tipo de grupo aos quais deseja conceder acesso ao Security Center, selecione ID do grupo para o tipo de token de acesso e clique em Adicionar .

    O portal do Azure mostra as configurações de declaração de grupos na página de configuração do token.

    IMPORTANTE: Para evitar uma declaração de excesso de grupos, recomendamos que os sistemas de grandes empresas selecionem Grupos atribuídos ao aplicativo em vez de Todos os grupos na seção Editar declaração de grupos. Consulte este tópico do Microsoft Learn para obter mais informações.
  10. Clique em Adicionar declaração opcional, selecione o tipo de token Acesso, selecione a declaração UPN e clique em Adicionar.
    NOTA: O Security Center requer um identificador exclusivo para o usuário. UPN é uma possibilidade, mas outras declarações opcionais, como e-mail, podem ser usadas em seu lugar.

    O portal do Azure mostra as configurações de Adicionar declaração opcional na página de configuração do token.

  11. No menu à esquerda do seu aplicativo, selecione Manifest, defina accessTokenAcceptedVersion como 2 e clique em Salvar.

    O portal do Azure mostra a página Manifesto com uma chamada para a configuração de accessTokenAcceptedVersion.

  12. No menu esquerdo do seu aplicativo, selecione Expor uma API.
  13. Clique em Adicionar ao lado do URI do ID do aplicativo para especificar um URI globalmente exclusivo para o aplicativo Security Center e clique em Salvar.

    O portal do Azure mostra as configurações do URI do ID do aplicativo na página Expor uma API.

    O Azure AD gera automaticamente um URI utilizável. Você pode usar o padrão ou alterá-lo conforme necessário.

    O portal do Azure mostra o URI do ID do aplicativo gerado.

  14. Clique em Adicionar um escopo, preencha os campos obrigatórios com os valores de sua escolha e clique em Adicionar escopo.
    NOTA: Um escopo personalizado garante que o Azure AD tenha como destino o Security Center. O escopo pode especificar qualquer coisa.

    O Portal do Azure mostra as configurações de Adicionar um escopo na página Expor uma API.

3 - Integração do Security Center com o Azure AD

  • Antes de configurar um Authentication Service no Security Center, é necessário registrar os URIs de redirecionamento e logout no portal do Azure.
  • O sistema valida as propriedades em cada etapa antes que você possa prosseguir.
  1. No Config Tool, selecione a função Authentication Service criada anteriormente e clique em Configuração.

    A página Registro de aplicativo da janela Criando uma função: Authentication Service é aberta e você pode retomar a configuração.

  2. Na página Registro do aplicativo, clique em Próximo.
  3. Na página Comunicar com o provedor , clique em Iniciar, insira um URI emissor e ID do aplicativo (cliente) e clique em Próximo.

    Criação de uma função: A janela Authentication Service no Config Tool mostrando as configurações do provedor da janela Comunicar.

    Emissor
    URL seguro (HTTPS) direcionado para o documento de metadados OpenID Connect. Copie-o de Endpoints na configuração do aplicativo Azure AD.
    ID do aplicativo (cliente)
    Um identificador exclusivo que representa o Security Center no Azure AD. Copie-o da Visão geral na configuração do aplicativo Azure AD.

    O portal do Azure mostra as propriedades de ID do Emissor e do Aplicativo (cliente) na página Visão Geral.

  4. Na seção Metadados, digite o URL e clique em Próximo.
    URL
    URL seguro (HTTPS) direcionado para o documento de metadados OpenID Connect. Copie-o de Endpoints na configuração do aplicativo Azure AD.
  5. Na página Domínios aceitos, configure a opção Provedor padrão:
    • Esta opção está desligada por padrão. Quando desativada, você deve adicionar pelo menos um nome de domínio de usuários que podem se autenticar usando esse Authentication Service.

      Criação de uma função: A janela Authentication Service no Config Tool mostrando as configurações dos domínios aceitos.

    • Ative a opção Provedor padrão para usar esse provedor de identidade para autenticar usuários de todos os domínios.

      Se você tiver várias funções do Authentication Service, somente uma função poderá ser definida como o provedor padrão, e essa opção será desativada para todas as outras funções.

      CUIDADO:
      A ativação da opção Provedor padrão exclui todos os nomes de domínio que foram adicionados anteriormente.
  6. Especifique se deseja ou não utilizar este provedor de identidade como uma opção de login.

    Se você selecionar Sim, digite o nome do provedor de identidade a ser exibido na tela de logon com o texto "Entrar com <nome de exibição>".

  7. Clique em Próximo.
  8. (Opcional) Na página Autenticação de cliente, ative a opção Cliente confidencial para definir o Security Center como cliente confidencial desse provedor de identidade.

    O campo Segredo do cliente é exibido.

  9. (Opcional) No campo, Segredo do cliente, insira o segredo do cliente que foi gerado no Azure Portal anteriormente.
  10. Clique em Próximo.
  11. Na página Reivindicações e escopos, selecione as seguintes propriedades:
    Declaração de nome de usuário
    Declaração de OpenID fornecida pelo provedor de identidade que contém o nome de usuário da parte autenticada.

    Selecione: preferred_username

    Declaração de grupo
    Declaração de OpenID fornecida pelo provedor de identidade que contém os grupos aos quais a parte autenticada pertence.

    Selecione: grupos

  12. Clique em Próximo.
  13. Na página Grupos, clique em Adicionar um item (), selecione um grupo existente ou crie um novo grupo de usuários e clique em Próximo.
    DICA: Você pode baixar em massa grupos de usuários do Azure Active Directory como um arquivo CSV e importar esses grupos para o Security Center. O identificador exclusivo externo dos grupos importados deve corresponder ao ID de objeto desses grupos no Azure AD.
  14. Na página Testar a configuração, clique em Testar logon para validar a configuração e clique em Próximo.

    Para obter mais informações, consulte Teste de uma configuração de autenticação de terceiros.

  15. Na página Resultado da criação, verifique se as informações estão corretas e clique em Próximo > Fechar.
Tópico superior: Visão geral da integração para autenticação de terceiros usando OpenID Connect
Navegar