Antes que o Security Center possa usar o Okta para autenticar usuários com o SAML 2.0, a configuração é necessária em Config Tool e no Okta Admin Console.
Este exemplo mostra as etapas necessárias para configurar a autenticação de terceiros com Okta usando SAML 2.0. O procedimento está dividido nas seguintes seções:
Para implementar a autenticação de terceiros, você deve ter direitos de administrador em Security Center e Okta.
IMPORTANT: Este exemplo de integração pode ser diferente de seus requisitos e o Okta Admin Console está sujeito a alterações. Ao configurar o Okta, certifique-se de que todas as etapas sejam adaptadas à sua situação específica.
1 - Preparando Security Center
- Abra Config Tool e conecte-se a Security Center servidor principal como administrador.
- Em Config
Tool, abra e clique em .
- Na janela Criar uma função: Authentication Service, selecione SAML2 e clique em Próximo.
- Insira um nome e uma descrição opcional para a nova função do Authentication Service e clique em Próximo.
NOTE: Se o seu sistema tiver várias partições, você também pode adicionar a nova função a uma partição específica aqui. - Na página Resumo, verifique se todas as informações estão corretas, clique em Criar e clique em Fechar.
- Na função recém-criada, clique na guia Ponto de extremidade da rede.
- Na página Endpoint da rede, copie os URIs de redirecionamento e logout. Eles são necessários para configurar o URL de logon único e o URL de logout único do Okta.NOTE: Pode ser necessário reiniciar a tarefa Sistema para ver os URIs do terminal.
Os mesmos URIs são utilizados para OIDC e SAML 2.0. Esses URIs devem ser acessíveis a partir de todos os clientes usando logon único.
- No servidor principal do Security Center, siga as instruções para o seu sistema operacional para exportar o certificado de chave pública usado pelo servidor principal do Security Center em formato X.509.NOTE: O certificado Nome Comum (CN) ou Nome Alternativo do Sujeito (SAN) deve corresponder ao nome de host, endereço IP ou Nome de Domínio Totalmente Qualificado (FQDN) usado nos URIs de redirecionamento e logout.
Essa chave pública é exigida pelo Okta para possibilitar o Logout Único. O certificado Security Center é exibido na seção Comunicação segura na página Server Admin - Servidor principal.
2 - Preparando Okta
Antes de concluir essas etapas no Okta Admin Console, você deve atender a todos os seguintes pré-requisitos:
- Ter uma conta de administrador Okta.
- Provisionou pelo menos um usuário.
- Provisionou pelo menos um grupo de usuários que contém os usuários aos quais você deseja conceder acesso a Security Center.
- No Okta Admin Console, selecione e clique em Criar integração de aplicativo.
- No assistente Criar nova integração de aplicativo, selecione SAML 2.0 e clique em Próximo.
- No assistente Criar integração SAML, entre com o Nome do aplicativo e clique em Próximo.
- Na página Configurar SAML, configure o seguinte:
- URL de logon único copiado dos URIs de direcionamento no Security CenterNOTE: Se for necessário mais de um URI, selecione Permitir que esse aplicativo solicite outros URLs de logon único e insira os URIs adicionais conforme necessário.
- URI de público-alvo (ID de entidade SP) inserir urn:SecurityCenter
- Formato de ID de nome selecionar Persistente
-
- URL de logon único copiado dos URIs de direcionamento no Security Center
- Ainda na seção Configurações de SAML clique em Exibir configurações avançadas e configure o seguinte:
- Habilitar logout único
- URL de logout único o endpoint da /genetec copiado dos URIs de logout no Security Center
- Emissor de SP inserir urn:SecurityCenter
- Certificado de assinatura fazer upload de certificado de chave pública exportado de Security Center
- Na seção Declarações de atributo, configure:
- Nome
- login
- Formato de nome
- Referência de URI
- VALOR
- usuário.login
- Na seção Declarações de atributos de grupo, configure:
- Nome
- grupos
- Formato de nome
- Referência de URI
- Filtro
- Corresponde à expressão regular .*NOTE: O filtro Corresponde à expressão regular com
. *retorna todos os grupos aos quais o usuário autenticado pertence.Se necessário, o filtro também pode ser usado para excluir certos grupos. Pelo menos um grupo atribuído a Security Center deve ser incluído para conceder acesso.
- Clique em Próximo.
- Na página Feedback, selecione Sou um cliente Okta adicionando um aplicativo interno, forneça um feedback e clique em Concluir.
- Na página de Logon para o seu aplicativo, faça o seguinte:
- Copie o URL dos metadados do Provedor de Identidade. Esse é o URL de metadados exigido pela função Authentication Service no Security Center.
- Clique em Ver instruções de configuração.
- Na página Como configurar o SAML 2.0 parar <aplicativo>, baixe o Certificado X.509.
- Na página Atribuições para o seu aplicativo, atribua os grupos de usuário do Security Center ao aplicativo.
3 - Integrando Security Center com Okta
- No Security Center servidor principal, siga as instruções para o seu sistema operacional para importar o certificado Okta.NOTE: Pode ser necessário reiniciar o Windows para que o certificado se torne ativo.
- Em Config Tool, abra a função do Authentication Service criada anteriormente e clique na guia Propriedades.
- Preencha as propriedades da seguinte forma:
- Nome de exibição
- Ao fazer login em Security Center, as opções de autenticação de terceiros são apresentadas como um botão com o texto "Entrar com <display name>".
- URL de metadados
- Insira o URL dos metadados do Provedor de Identidade copiado do Okta.
- Público-alvo
- urn:SecurityCenter
- Nomes de domínio
- Os nomes de domínio dos usuários que serão autenticados usando o Okta, como genetec.com. Você deve ter pelo menos um.
- Confirmação de nome de usuário
- login
- Confirmação de grupo
- grupos
Deixe todas as outras propriedades com o valor padrão.
- Clique em Aplicar.
- Crie um ou mais grupos de usuários com exatamente o mesmo nome dos grupos atribuídos ao aplicativo Security Center no Okta.
- Adicione grupos autorizados a se conectar usando Okta à lista Grupos de usuários na função Authentication Service.