Antes que o Security Center possa usar o Okta para autenticar usuários com o OpenID Connect, a configuração é necessária em Config Tool e no Okta Admin Console.
Este exemplo mostra as etapas necessárias para configurar a autenticação de terceiros com Okta usando o endpoint UserInfo do OpenID Connect (OIDC). O procedimento está dividido nas seguintes seções:
Para implementar a autenticação de terceiros, você deve ter direitos de administrador em Security Center e Okta.
1 - Preparando Security Center
- Abra Config Tool e conecte-se a Security Center servidor principal como administrador.
- Em Config
Tool, abra e clique em .
- Na janela Criar uma função: Authentication Service, selecione ID aberto e clique em Próximo.
- Insira um nome e uma descrição opcional para a nova função do Authentication Service e clique em Próximo.NOTE: Se o seu sistema tiver várias partições, você também pode adicionar a nova função a uma partição específica aqui.
- Na página Resumo, verifique se todas as informações estão corretas, clique em Criar e clique em Fechar.
- Na função recém-criada, clique na guia Ponto de extremidade da rede.
- Na página Endpoint da rede, copie os URIs de redirecionamento e logout do OIDC. Eles são necessários para configurar URIs de redirecionamento de entrada e URIs de redirecionamento de saída do Okta.NOTE: Pode ser necessário reiniciar a tarefa Sistema para ver os URIs do terminal.
2 - Preparando Okta
- Ter uma conta de administrador Okta.
- Provisionou pelo menos um usuário.
- Provisionou pelo menos um grupo de usuários que contém os usuários aos quais você deseja conceder acesso a Security Center.
- No Okta Admin Console, selecione Criar integração de aplicativo.
- No assistente Criar nova integração de aplicativo, selecione OIDC - OpenID Connect, aplicativo de web e clique em Próximo.
- Na página Integração de novo aplicativo de web, configure o seguinte e clique em Salvar:
- Nome de integração de aplicativo
- URIs de redirecionamento de entrada copiados dos URIs de redirecionamento no Security Center
- URIs de redirecionamento de saída copiados dos URIs de saída no Security Center
- Acesso controlado Selecionar Limitar acesso a grupos selecionados e adicionar os grupos necessários
- Nome de integração de aplicativo
- Na página Geral do seu aplicativo, copie a ID de cliente e o Segredo de cliente padrão. Eles são necessários para configurar Security Center. Se necessário, você pode clicar em Editar para gerar um novo segredo de cliente.
- Clique na guia Okta API Scopes para seu aplicativo Security Center e conceda as operações
okta.groups.read
eokta.users.read
. - Clique em Security Center.
- Abra o servidor de autorização padrão, clique na guia Reivindicações e clique em Adicionar reivindicação.
- Adicione uma reivindicação de grupo da seguinte forma e clique em Criar:NOTE: O filtro Corresponde à expressão regular com
. *
retorna todos os grupos aos quais o usuário autenticado pertence.Se necessário, o filtro também pode ser usado para excluir certos grupos da reivindicação. Pelo menos um grupo atribuído a Security Center deve ser incluído com a reivindicação para conceder acesso.
3 - Integrando Security Center com Okta
- Em Config Tool, abra a função do Authentication Service criada anteriormente e clique na guia Propriedades.
- Preencha as propriedades da seguinte forma:
- Nome de exibição
- Ao fazer login em Security Center, as opções de autenticação de terceiros são apresentadas como um botão com o texto "Entrar com <display name>".
- Emissor
- Insira o URI do emissor que foi copiado do servidor de autorização padrão no Okta.
- Nomes de domínio
- Os nomes de domínio dos usuários que serão autenticados usando o Okta, como genetec.com. Você deve ter pelo menos um.
- ID do Cliente
- Insira o ID do cliente que você copiou do aplicativo Security Center no Okta.
- Cliente confidencial
- Mude para ON.
- Segredo de cliente
- Digite o segredo do cliente que você copiou do aplicativo Security Center no Okta.
- Declaração de nome de usuário
- Digite: preferred_username
- Declaração de grupo
- Entrar: grupos
- Obter reivindicações de (configuração avançada)
-
- Mude o token de acesso para OFF.
- Alterne o endpoint de informações do usuário para ON.
Deixe todas as outras propriedades com o valor padrão.
- Clique em Aplicar.
- Crie um ou mais grupos de usuários com exatamente o mesmo nome dos grupos atribuídos ao aplicativo Security Center no Okta.
- Adicione grupos autorizados a se conectar usando Okta à lista Grupos de usuários na função Authentication Service.