Para que os usuários possam fazer logon no Security Center usando um provedor de identidade externo com SAML 2.0, é necessário configurar o Security Center com um provedor de identidade externo.
Etapa | Tarefa | Onde encontrar mais informações |
---|---|---|
Entenda os pré-requisitos e principais problemas antes da integração | ||
1 | Aprenda sobre os diferentes componentes e como eles se conectam. | |
2 | Certifique-se de que todos os clientes do Security Center confiem na conexão com seu provedor de identidade. Para estabelecer a confiança, uma autoridade de certificação deve assinar o certificado de chave pública para o provedor de identidade no computador ou dispositivo móvel conectado ao Security Center. |
|
3 | Verifique se sua licença do Security Center inclui integrações SAML2. Vá para a página inicial do Config Tool, clique em e confirme se Número de integrações SAML2 é um ou mais. |
|
Preparar o Security Center | ||
4 | Adicione uma função de Authentication Service para SAML2 e clique na guia Ponto de extremidade da rede. Pode ser necessário reiniciar a tarefa System para ver os pontos de extremidade. Para configurar seu provedor de identidade, você precisa dos endpoints de redirecionamento e logout. Existem diferentes URIs para cada tipo de cliente:
Qualquer modificação nos endereços Mobile, SecurityCenter ou WebApp gera alterações correspondentes nos URIs. Para trabalhar com failover de função, URIs separados de redirecionamento e logout são necessários para cada servidor que pode hospedar as funções Directory, Mobile Server, Web Client Server e Web App Server. Certifique-se de que o failover de função esteja configurado corretamente para ver todos os endpoints necessários. Se quaisquer servidores forem adicionados ou removidos após a configuração do provedor de identidade, pode ser necessário atualizar a configuração adicionando ou removendo URIs. Todos os clientes devem ser capazes de resolver o URI do terminal para seu tipo. Se um endereço público estiver sendo usado, esse endereço deve resolver para o servidor correto para clientes que se conectam de sua rede privada. O Security Center também fornece um documento de metadados SAML2 que inclui todos os endpoints necessários. Você pode apontar para este endpoint do seu provedor de identidade para acelerar a configuração e garantir que a configuração mais recente esteja sempre disponível. |
|
Integrar o provedor de identidade externo | ||
5 | Seguindo as instruções de seu provedor de identidade, adicione o Security Center como um aplicativo confiável nesse sistema. Para uma autenticação bem-sucedida, o Security Center exige que o provedor de identidade retorne asserções sobre a parte autenticada em um token de acesso. No mínimo, essas declarações devem incluir uma declaração de nome de usuário, uma declaração de identificador de nome e uma declaração de associação de grupo. O documento de metadados SAML2 do Security Center descreve o formato esperado do identificador de nome. |
|
6 | Adicione grupos de usuários autorizados a partir de seu provedor de identidade ao Security Center e defina privilégios. Se o seu provedor de identidade puder exportar uma lista de grupos no formato CSV, é possível importar essa lista para o Security Center. Normalmente, os provedores de identidade usam nomes para identificar grupos de usuários de maneira exclusiva. Quando nomes são usados, os grupos de usuários do Security Center devem ter o mesmo nome que o grupo correspondente de seu provedor de identidade e incluir o nome de domínio. Por exemplo: Operators@YourCompany.com. Se o provedor de identidade usar um ID para identificar exclusivamente um grupo de usuários, será necessário executar outra etapa antes de vincular o grupo à função Authentication Service. Adicione o ID à propriedade Identificador único externo do grupo de usuários correspondente no Security Center. Os usuários são criados automaticamente e adicionados ao seu grupo atribuído, ou grupos, quando fazem logon pela primeira vez. |
|
7 | Configure a função do Authentication Service com informações sobre seu provedor de identidade. Abra a função do Authentication Service para SAML2, clique na guia Propriedades e insira os campos obrigatórios. |