Déployer l'authentification par revendications - Security Center 5.8

Guide de l’administrateur Security Center 5.8

series
Security Center 5.8
revised_modified
2019-08-28

Vous pouvez utiliser le serveur Active Directory Federation Services (ADFS) en tant que fournisseur de revendications pour Security Center, et autoriser les utilisateurs externes à se connecter à votre système en créant une chaîne de confiance entre les serveurs ADFS tiers et le serveur principal Security Center de votre société.

Avant de commencer

Nous partons du principe que vous comprenez l'authentification par revendications et que le serveur ADFS de votre société est opérationnel. Pour des informations générales sur l'installation et la configuration d'ADFS, veuillez vous reporter à la documentation fournie par Microsoft.

À savoir

Imaginons que vous souhaitez autoriser les utilisateurs externes de la Société XYZ à accéder à votre système Security Center. Société XYZ a son propre serveur ADFS qui utilise son propre Active Directory en tant que fournisseur de revendications. Les serveurs de Société XYZ ne sont pas sur le même domaine que les serveurs de votre société. Le serveur ADFS de votre société dépend du serveur ADFS de Société XYZ en tant que fournisseur de revendications, et agit à son tour en tant que fournisseur de revendications pour votre système Security Center. Par conséquent, une chaîne de confiance doit être établie entre l'Active Directory de Société XYZ jusqu'au serveur principal du système Security Center de votre société.
REMARQUE : Security Center exige des attributs particuliers en tant que revendications: Group et UPN (User Principal Name).

BONNE PRATIQUE : Si vous souhaitez accepter des groupes de sécurité de votre annuaire Active Directory local en tant que groupes d'utilisateurs Security Center, ne les fédérez pas via le rôle ADFS. Importez-les plutôt via le rôle Active Directory. Cette dernière approche offre davantage de fonctionnalités, comme la synchronisation de tous les champs standard (prénom, nom, adresse e-mail, etc.), l'association de champs personnalisés et la possibilité de créer tous les utilisateurs au moment de la synchronisation du rôle.

Procédure

  1. Configurez la chaîne de confiance à l'extérieur du domaine de votre société.
    Vérifiez que les tâches suivantes sont effectuées par le service informatique de Société XYZ.
    1. Ajoutez un fournisseur de revendications au serveur ADFS de Société XYZ pour l'Active Directory de Société XYZ.
    2. Ajoutez une approbation de partie de confiance au serveur ADFS de Société XYZ pour le serveur ADFS de votre société.
  2. Configurez votre serveur ADFS local en tant que fournisseur de revendications pour votre système Security Center.
    1. Sur le serveur ADFS de votre société, ouvrez le composant logiciel enfichable Gestion AD FS.
    2. Ajoutez une approbation de fournisseur de revendications à votre ADFS pour le serveur ADFS tiers .
    3. Configurez les règles de revendication pour le fournisseur de revendications tiers.
    4. Ajoutez une approbation de partie de confiance à votre serveur ADFS pour Security Center.
    5. Configurez les règles de revendication pour Security Center, l'approbation de partie de confiance que vous venez d'ajouter.
  3. Configurez votre système Security Center pour recevoir des revendications de votre serveur ADFS local.
    1. Connectez-vous à votre système Security Center avec Config Tool.
    2. Créez un groupe d'utilisateurs pour chaque groupe ADFS que vous souhaitez autoriser en tant que groupe d'utilisateurs Security Center.
    3. Créez le rôle Active Directory Federation Service.

Résultats

Tous les utilisateurs authentifiés via ADFS doivent se connecter avec un nom d'utilisateur complet, c'est-à-dire qu'ils doivent ajouter leur nom de domaine à leur nom d'utilisateur, comme dans Utilisateur@SociétéXYZ.com.
IMPORTANT : Il existe actuellement un problème connu concernant l'utilisation d'un Active Directory local et ADFS. Lorsque vous avez des utilisateurs externes authentifiés via ADFS dans votre système, tous les utilisateurs importés depuis votre Active Directory local doivent également fournir un nom complet, bien qu'ils appartiennent au même domaine que votre système Security Center.