Integration von Microsoft Entra ID in Security Center SaaS für SSO mithilfe von OpenID Connect (OIDC)

Um Ihren Identitätsprovider für Unternehmen mit Security Center SaaS für Single Sign-On zu integrieren, müssen Sie zunächst einige Informationen über die Microsoft Entra ID-Einrichtung Ihrer Organisation sammeln. Wenden Sie sich dann an das Genetec™ Technical Assistance Center (GTAC), um einen Termin mit Ihnen und dem Administrator Ihres Identitätsproviders zu vereinbaren und die Integration abzuschließen.

1. Zur Vorbereitung des Telefonats mit Genetec senden Sie die folgenden Informationen mindestens einen Tag im Voraus an das GTAC:
   • E-Mail-Kontakt für den Microsoft Entra ID-Administrator. Er muss über ausreichende Rechte und Fachkenntnisse verfügen, um eine Anwendungsintegration für ihren Identitätsprovider einzurichten und die Zustimmung für Unternehmensanwendungen zu verwalten.
   • Domains, die von den Benutzern während der Anmeldung verwendet werden. Für Benutzer, die sich mit myuser@company.com anmelden, ist die Domain beispielsweise company.com.
     BEMERKUNG:

     Diese Liste von Domains muss die Domains für die E-Mail-Adressen und Benutzernamen Ihrer Benutzer enthalten. Unternehmens-SSO funktioniert nicht ordnungsgemäß, wenn die E-Mail- und Benutzernamendomains nicht für Ihre Integration konfiguriert sind.
2. Öffnen Sie im Genetec™ Technical Assistance Center ein Support-Ticket für SSO oder SCIM und fügen Sie die in Schritt 1 vorbereiteten Informationen bei.
   1. In der Regel wird dieses Ticket vom Systemintegrator initiiert.
   2. Genetec überprüft die Informationen im Ticket.
   3. Genetec vereinbart einen Termin mit dem IT-Administrator, um gemeinsam die SSO-Einrichtung von Microsoft Entra ID zu konfigurieren.
3. Nehmen Sie an dem Setup-Anruf mit Genetec teil, um Microsoft Entra ID für SSO zu konfigurieren.
   Genetec stellt einen Link zur Testanmeldung bei einer Test-Sandbox bereit. Nach dieser ersten Anmeldung wird die Genetec Login-Unternehmensanwendung zu Ihrem Entra ID-Mandanten hinzugefügt. Sie müssen die erforderlichen Zustimmungseinstellungen überprüfen und anwenden.
   1. Weitere Informationen zu Zustimmungseinstellungen finden Sie in der Dokumentation von Microsoft:
      1. Konfigurieren Sie, wie Benutzer Anwendungen zustimmen.
      2. Konfigurieren Sie den Workflow für die Administratoreinwilligung.
      3. Prüfen Sie die Anforderung einer Administratoreinwilligung und ergreifen Sie entsprechende Maßnahmen .

      BEMERKUNG:

      Die Option Benutzereinwilligung für Apps von verifizierten Herausgebern zulassen führt zum gleichen Ergebnis wie Benutzereinwilligung nicht zulassen, da Genetec-Login nicht im Microsoft Entra ID Marketplace veröffentlicht wird.

      Genetec unterstützt Ihren Administrator dabei, die von Microsoft Entra ID geforderte Zustimmung zu vervollständigen.

      Wenn die Zustimmung nicht konfiguriert ist, sehen Ihre Benutzer möglicherweise das folgende Dialogfeld von Microsoft Entra ID:

      

   2. Klicken Sie in der linken Seitenleiste Ihrer Genetec-Login Enterprise-Anwendung auf Administratoreinwilligungsanfragen, um die Einstellungen für die Administratoreinwilligung zu überprüfen und zu konfigurieren.
      Wenn die Testsandbox konfiguriert ist, kann Ihr Administrator die Überprüfung mithilfe des folgenden Microsoft Entra ID-Bildschirms vornehmen und zustimmen:

      

4. Testen Sie Ihre SSO-Integration.
   Wenn Sie sich über den Testlink anmelden, bestätigen Sie, dass Ihr Identitätsprovider die erwarteten Antworten zurückgibt.
5. Verschieben Sie Ihre SSO-Authentifizierungsintegration aus der Testumgebung.
   Nach dem Anmeldetest überträgt Genetec die Serverkonfigurationen aus der Test-Sandbox, um die Drittanbieterauthentifizierung für alle Benutzer zu aktivieren. Durch das Verschieben der Integration aus der Testumgebung wird sie für alle Produkte und Portale aktiviert. Das bedeutet, dass sich die Benutzer der Kunden mit der neuen Microsoft Entra ID-Integration für Folgendes anmelden können:

   • Security Center SaaS
   • Genetec ClearID™
   • Genetec Clearance™
   • Genetec Cloudrunner™
   • Genetec Operations Center
   • Genetec Portal (genetec.com)
   • Genetec Technical Assistance Portal (GTAP)

   BEMERKUNG:

   Benutzer müssen weiterhin manuell zu Ihrem Security Center SaaS-System eingeladen werden. Um diesen Prozess zu automatisieren, lesen Sie den Abschnitt „Einrichten der automatischen Benutzerbereitstellung“ weiter unten in diesem Task.
6. (Optional) Wenn Sie planen, Microsoft Entra ID-Richtlinien für bedingten Zugriff zu verwenden, wählen Sie eine der folgenden Optionen:
   • Option 1: Aktualisieren Sie die Konfigurationsdateien auf den Genetec™ Operation Desktop- und Genetec™ Configuration Desktop-Workstations, um Geräteidentifikator- und Gerätestatussignale zu senden.
   • Option 2: Aktualisieren Sie Ihre Microsoft Entra ID-Konfiguration, um eine bedingte Zugriffsregel zu verwenden, die nicht auf Gerätekennzeichen und Gerätestatussignalen basiert.
   EntraID-Regeln für bedingten Zugriff können so konfiguriert werden, dass sie mehrere Arten von Signalen verwenden. Gerätekennung und Gerätestatus sind zwei Beispiele für mögliche Signaltypen.

   Wenn Sie Option 1 gewählt haben, gehen Sie wie folgt vor:

   1. Öffnen Sie auf jeder Workstation die Datei generalsettings.gconfig im Ordner %USERPROFILE%\AppData\Local\Programs\Genetec\Security Center SaaS\ConfigurationFiles.
   2. Fügen Sie im Abschnitt <configuration> Folgendes hinzu:

   <Login UseWebView2="true" />
   <WebBrowser AllowSingleSignOnUsingOsPrimaryAccount="true" />

   Die Einstellung AllowSingleSignOnUsingOsPrimaryAccount ermöglicht die automatische Anmeldung mit den aktuellen Anmeldedaten der Workstation.

   BEMERKUNG:

   Microsoft Entra ID-Richtlinien für bedingten Zugriff werden für Anmeldungen in der mobilen Anwendung Security Center SaaS Operation nicht unterstützt.

   Wenn Sie Option 2 gewählt haben, ändern Sie Ihre Richtlinien für bedingten Zugriff so, dass sie nicht auf Gerätekennungen oder Gerätestatussignale angewiesen sind.