Visão geral da integração para autenticação de terceiros usando SAML 2.0 - Security Center 5.12

Guia do administrador do Security Center 5.12

Product
Security Center
Content type
Guias > Guias do administrador
Version
5.12
Language
Português
Last updated
2024-08-13

Para que os usuários possam fazer logon no Security Center usando um provedor de identidade externo com SAML 2.0, é necessário configurar o Security Center com um provedor de identidade externo.

A tabela a seguir lista as tarefas necessárias para implantar a autenticação de terceiros usando SAML 2.0:
Etapa Tarefa Onde encontrar mais informações
Entenda os pré-requisitos e principais problemas antes da integração
1 Aprenda sobre os diferentes componentes e como eles se conectam.
2 Certifique-se de que todos os clientes do Security Center confiem na conexão com seu provedor de identidade.

Para estabelecer a confiança, uma autoridade de certificação deve assinar o certificado de chave pública para o provedor de identidade no computador ou dispositivo móvel conectado ao Security Center.

 
3 Verifique se sua licença do Security Center inclui integrações SAML2.

Vá para a página inicial do Config Tool, clique em Sobre > Security Center e confirme se Número de integrações SAML2 é um ou mais.

Preparar o Security Center
4 Adicione uma função de Authentication Service para SAML2 e clique na guia Ponto de extremidade da rede. Pode ser necessário reiniciar a tarefa System para ver os pontos de extremidade.

Para configurar seu provedor de identidade, você precisa dos endpoints de redirecionamento e logout. Existem diferentes URIs para cada tipo de cliente:

/genetec
Config Tool, Security Desk e SDK
/<Mobile>OpenId
Genetec™ Mobile

Mobile é o endereço da Web padrão para a função Mobile Server.

/<WebApp>OpenId
Genetec™ Web App

WebApp é o endereço da Web padrão para a função Web App.

/<SecurityCenter>OpenId
Security Center Web Client

SecurityCenter é o endereço web padrão para a função Web Client Server.

Qualquer modificação nos endereços Mobile, SecurityCenter ou WebApp gera alterações correspondentes nos URIs.

Para trabalhar com failover de função, URIs separados de redirecionamento e logout são necessários para cada servidor que pode hospedar as funções Directory, Mobile Server, Web Client Server e Web App Server. Certifique-se de que o failover de função esteja configurado corretamente para ver todos os endpoints necessários.

Se quaisquer servidores forem adicionados ou removidos após a configuração do provedor de identidade, pode ser necessário atualizar a configuração adicionando ou removendo URIs.

Todos os clientes devem ser capazes de resolver o URI do terminal para seu tipo. Se um endereço público estiver sendo usado, esse endereço deve resolver para o servidor correto para clientes que se conectam de sua rede privada.

O Security Center também fornece um documento de metadados SAML2 que inclui todos os endpoints necessários. Você pode apontar para este endpoint do seu provedor de identidade para acelerar a configuração e garantir que a configuração mais recente esteja sempre disponível.

Integrar o provedor de identidade externo
5 Seguindo as instruções de seu provedor de identidade, adicione o Security Center como um aplicativo confiável nesse sistema.

Para uma autenticação bem-sucedida, o Security Center exige que o provedor de identidade retorne asserções sobre a parte autenticada em um token de acesso.

No mínimo, essas declarações devem incluir uma declaração de nome de usuário, uma declaração de identificador de nome e uma declaração de associação de grupo. O documento de metadados SAML2 do Security Center descreve o formato esperado do identificador de nome.

 
6 Adicione grupos de usuários autorizados a partir de seu provedor de identidade ao Security Center e defina privilégios.

Se o seu provedor de identidade puder exportar uma lista de grupos no formato CSV, é possível importar essa lista para o Security Center.

Normalmente, os provedores de identidade usam nomes para identificar grupos de usuários de maneira exclusiva. Quando nomes são usados, os grupos de usuários do Security Center devem ter o mesmo nome que o grupo correspondente de seu provedor de identidade e incluir o nome de domínio. Por exemplo: Operators@YourCompany.com.

Se o provedor de identidade usar um ID para identificar exclusivamente um grupo de usuários, será necessário executar outra etapa antes de vincular o grupo à função Authentication Service. Adicione o ID à propriedade Identificador único externo do grupo de usuários correspondente no Security Center.

Os usuários são criados automaticamente e adicionados ao seu grupo atribuído, ou grupos, quando fazem logon pela primeira vez.

7 Configure a função do Authentication Service com informações sobre seu provedor de identidade.

Abra a função do Authentication Service para SAML2, clique na guia Propriedades e insira os campos obrigatórios.