Microsoft Entra ID integreren met Security Center SaaS voor SSO met behulp van OpenID Connect (OIDC)

Als u uw zakelijke identiteitsprovider wilt integreren met Security Center SaaS voor Eenmalige aanmelding, moet u eerst informatie verzamelen over de Microsoft Entra ID-instellingen van uw organisatie. Neem vervolgens contact op met het GTAC (Genetec™ Technical Assistance Center) om een gesprek met u en de beheerder van uw identiteitsprovider te plannen om de integratie te voltooien.

1. Stuur ten minste één dag van tevoren de volgende informatie naar GTAC om u voor te bereiden op het gesprek met Genetec:
   • E-mailcontactpersoon voor de Microsoft Entra ID-beheerder. Ze moeten over voldoende rechten en expertise beschikken om een applicatie-integratie voor hun identiteitsprovider in te stellen en toestemming voor bedrijfsapplicaties te beheren.
   • Domeinen die door de gebruikers worden gebruikt tijdens het inloggen. Voor gebruikers die zich bijvoorbeeld aanmelden met myuser@company.com, is het domein company.com.
     OPMERKING:

     Deze lijst met domeinen moet de domeinen bevatten voor de e-mailadressen en gebruikersnamen van uw gebruikers. Zakelijke SSO werkt niet goed als de domeinen van het e-mailadres en de gebruikersnaam niet zijn geconfigureerd voor uw integratie.
2. Open in GTAC een ondersteuningsticket voor SSO of SCIM en voeg de informatie toe die eerder in stap 1 is voorbereid.
   1. De systeemintegrator initieert dit ticket meestal.
   2. Genetec verifieert de informatie die in het ticket is opgenomen.
   3. Genetec plant een gesprek met de IT-beheerder om de configuratie van Microsoft Entra ID SSO samen te configureren.
3. Woon het installatiegesprek met Genetec bij om Microsoft Entra ID voor SSO te configureren.
   Genetec biedt een link om het aanmelden in een testsandbox te testen. Na deze eerste aanmelding wordt de Genetec Login-bedrijfsapplicatie toegevoegd aan uw Entra ID-tenant en moet u de vereiste toestemmingsinstellingen controleren en toepassen.
   1. Raadpleeg de documentatie van Microsoft voor meer informatie over toestemmingsinstellingen:
      1. Configureer hoe gebruikers toestemming geven voor toepassingen.
      2. Configureer de workflow voor beheerderstoestemming.
      3. Controleer het verzoek voor beheerderstoestemming en onderneem actie .

      OPMERKING:

      De optie Gebruikerstoestemming toestaan voor apps van geverifieerde uitgevers levert hetzelfde resultaat op als Gebruikerstoestemming niet toestaan, omdat Genetec Login niet wordt gepubliceerd in de Microsoft Entra ID Marketplace.

      Genetec helpt uw beheerder bij het voltooien van de toestemming die vereist is voor Microsoft Entra ID.

      Als toestemming niet is geconfigureerd, kunnen uw gebruikers het volgende dialoogvenster van Microsoft Entra ID tegenkomen:

      

   2. Klik in de linkerzijbalk van uw Genetec Login-bedrijfsapplicatie op Verzoeken om beheerderstoestemming om de instellingen voor beheerderstoestemming te bekijken en te configureren.
      Als de testsandbox is geconfigureerd, kan uw beheerder dit Microsoft Entra ID-scherm bekijken en toestemming geven:

      

4. Test uw SSO-integratie.
   Als u inlogt via de testlink, bevestigt u dat uw identiteitsprovider de verwachte reacties retourneert.
5. Verplaats uw SSO-authenticatie-integratie uit de testomgeving.
   Na de aanmeldingstest draagt Genetec serverconfiguraties over vanuit de testsandbox om authenticatie door derden voor alle gebruikers mogelijk te maken. Door de integratie uit de testomgeving te halen, wordt deze geactiveerd voor alle producten en portals. Dit betekent dat gebruikers van klanten zich kunnen aanmelden met de nieuwe Microsoft Entra ID-integratie voor het volgende:

   • Security Center SaaS
   • Genetec ClearID™
   • Genetec Clearance™
   • Genetec Cloudrunner™
   • Genetec Operations Center
   • Genetec Portal (genetec.com)
   • Genetec Technical Assistance Portal (GTAP)

   OPMERKING:

   Gebruikers moeten nog steeds handmatig worden uitgenodigd voor uw Security Center SaaS-systeem. Zie Automatische gebruikersinrichting instellen verderop in deze taak om dit proces te automatiseren.
6. (Optioneel) Als u van plan bent om Microsoft Entra ID-beleid voor voorwaardelijke toegang te gebruiken, kiest u een van de volgende opties:
   • Optie 1: Werk de configuratiebestanden op de Genetec™ Operation desktop- en Genetec™ Configuration desktop-werkstations bij om signalen van de apparaat-ID en de apparaatstatus te verzenden.
   • Optie 2: Werk uw Microsoft Entra ID-configuratie bij om een voorwaardelijke toegangsregel te gebruiken die niet afhankelijk is van apparaat-ID en apparaatstatussignalen.
   EntraID-regels voor voorwaardelijke toegang kunnen worden geconfigureerd om meerdere typen signalen te gebruiken. Apparaat-ID en Apparaatstatus zijn twee voorbeelden van mogelijke signaaltypen.

   Als u optie 1 hebt gekozen, doet u het volgende:

   1. Open op elk werkstation het bestand generalsettings.gconfig in de map %USERPROFILE%\AppData\Local\Programs\Genetec\Security Center SaaS\ConfigurationFiles.
   2. Voeg in het gedeelte <configuration> het volgende toe:

   <Login UseWebView2="true" />
   <WebBrowser AllowSingleSignOnUsingOsPrimaryAccount="true" />

   De AllowSingleSignOnUsingOsPrimaryAccount instelling maakt automatisch aanmelden mogelijk met de huidige credentials van het werkstation.

   OPMERKING:

   Microsoft Entra ID-beleid voor voorwaardelijke toegang wordt niet ondersteund voor aanmeldingen in de mobiele SC SaaS Operation-applicatie.

   Als u optie 2 hebt gekozen, wijzigt u uw beleid voor voorwaardelijke toegang zodat het niet afhankelijk is van apparaat-ID of apparaatstatussignalen.