IDP externe (explications)
IDP est un acronyme pour Identity Provider. Un IDP externe est une application et un service externes où vous pouvez stocker et gérer les informations d’identité de l’utilisateur et fournir des services d’authentification de l’utilisateur à d’autres systèmes. Vous pouvez associer un IDP externe avec le VMS XProtect.
XProtect prend en charge les IDP externes compatibles avec Connect (OIDC) OpenID.
Authentification des utilisateurs
Lorsqu’un IDP externe est configuré, les clients XProtect prennent en charge l’utilisation d’IDP externes en tant qu’option d’authentification supplémentaire.
Lorsque l’adresse de l’ordinateur dans l’écran de connexion du client pointe vers un VMS XProtect avec un IDP externe configuré, un appel d’API sera déclenché et l’option d’authentification pour l’IDP externe sera disponible sur l’écran de connexion. L’appel d’API est activé au démarrage du client et à chaque fois que l’adresse est modifiée.
L’API particulière que le client interroge est une API publique qui ne nécessite aucune authentification de l’utilisateur, de sorte que ces informations peuvent toujours être lues par le client.
Revendications
Une demande est un énoncé qu'une entité comme un utilisateur ou une application formule sur lui ou elle-même.
La revendication se compose d’un nom de revendication et d’une valeur de revendication. Par exemple, le nom de la demande peut être un nom standard qui décrit le contenu de la valeur de demande, et la valeur de demande peut être le nom d'un groupe. Voir plus d’exemples de revendications d’un IDP externe : Exemple de demandes à partir d'un IDP externe.
Les revendications ne sont pas obligatoires. Cependant, elles sont nécessaires pour relier automatiquement les utilisateurs d’IDP externes à des rôles dans le VMS XProtect afin de déterminer les autorisations des utilisateurs. Les revendications sont incluses dans le jeton d’identification de l’utilisateur provenant de l’IDP externe et, par le biais de l’association avec les rôles, elles déterminent les autorisations de l’utilisateur dans XProtect.
Si les revendications liées aux rôles du VMS XProtect ne sont pas fournies pour les utilisateurs d’IDP externes, ces derniers peuvent être créés dans le VMS XProtect lorsqu’ils se connectent pour la première fois. Dans ce cas, les utilisateurs d’IDP externes ne sont liés à aucun rôle. L’administrateur du VMS XProtect doit alors ajouter manuellement les utilisateurs aux rôles.
Conditions préalables pour les IDP externes
Les étapes suivantes doivent être effectuées dans l’IDP externe avant qu’il ne soit configuré dans le VMS.
-
L’ID et le secret du client à utiliser avec le VMS XProtect doivent avoir été créés dans l’IDP externe. Pour plus d’informations, voir Noms d’utilisateurs uniques pour les utilisateurs d’IDP externes .
-
L’autorité d’authentification de l’IDP externe doit être connue. Pour plus d’informations, consultez les informations relatives à l’autorité d’authentification pour l’IDP externe dans la boîte de dialogue Options. doit être connue.
-
Les URI de redirection vers le VMS XProtect doivent avoir été configurés dans l’IDP. Pour plus d’informations, voir Ajouter des URI de redirection pour les clients Web.
-
Facultativement, les revendications liées au VMS doivent avoir été configurées pour les utilisateurs ou les groupes dans l’IDP.
-
Le VMS XProtect doit être entièrement configuré avec des certificats pour garantir que toutes les communications sont effectuées via https crypté. Dans le cas contraire, la plupart des IDP externes n’accepteront pas les demandes du VMS XProtect et de ses clients, ou une partie du flux de communication et de l’échange de jetons de sécurité échouera.
-
Le VMS XProtect et tous les ordinateurs ou téléphones intelligents clients qui doivent utiliser l’IDP externe doivent pouvoir contacter l’adresse de connexion de l’IDP externe.
Autorisez les utilisateurs à se connecter au VMS XProtect à partir d’un IDP externe
-
À partir de l’IDP externe, créez les utilisateurs et les revendications pour identifier les utilisateurs en tant qu’utilisateurs de l’IDP externe dans le VMS XProtect. La création de revendications n’est pas une étape obligatoire, mais c’est ainsi que vous pouvez relier automatiquement les utilisateurs aux rôles. Pour plus d’informations, voir Revendications.
-
À partir du VMS XProtect, créez une configuration qui permette à Identity Provider, intégré au VMS, de contacter l’IDP externe. Pour plus d’informations sur la création d’une configuration pour un IDP externe, voir Ajouter et configurer un IDP externe.
-
À partir du VMS XProtect, établissez l’authentification des utilisateurs en mappant les revendications utilisateur depuis l’IDP externe à des rôles XProtect. Pour de plus amples informations sur la procédure de mappage des revendications à des rôles, consultez Mapper des revendications d’un IDP externe à des rôles dans XProtect.
-
Connectez-vous à un client XProtect en utilisant un IDP externe pour l’authentification de l’utilisateur, voir Connexion via un IDP externe.
Rediriger URI
Le URI redirigé indique la page vers laquelle l’utilisateur est envoyé après une authentification réussie. Dans votre IDP externe, vous devez ajouter l’adresse du serveur de gestion suivie du Chemin de rappel que vous avez défini dans XProtect Management Client. Par exemple, https://management-server-computer.company.com/idp/signin-oidc
Selon le mode d’accès au VMS XProtect, la configuration du réseau, des serveurs et de Microsoft Active Directory, plusieurs URI de redirection peuvent être nécessaires, dont vous trouverez quelques exemples ci-dessous :
Exemples
Serveur de gestion avec ou sans domaine dans l’URL :
-
« https://[nom_du_serveur]/idp/signin-oidc »
-
« https://[nom_du_serveur].[nom_du_domaine]/idp/signin-oidc »
Serveur mobile avec ou sans le domaine dans l’URL :
-
« https://[nom_du_serveur]:[port_mobile]/idp/signin-oidc »
-
« https://[nom_du_serveur].[nom_du_domaine]:[port_mobile]/idp/signin-oidc »
Si le serveur mobile est configuré pour être accessible via Internet, vous devez également ajouter l’adresse publique et les ports.
Noms d’utilisateurs uniques pour les utilisateurs d’IDP externes
Les noms d’utilisateurs sont créés automatiquement pour les utilisateurs qui se connectent à Milestone XProtect via un IDP externe.
L’IDP externe fournit un ensemble de revendications pour créer automatiquement un nom pour l’utilisateur dans XProtect, et dans XProtect un algorithme est utilisé pour choisir un nom à partir de l’IDP externe qui est unique dans la base de données VMS.
Exemples de revendications d’un IDP externe
Les demandes se composent d'un nom de demande et d'une valeur de demande. Par exemple :
Nom de la revendication | Valeur de la revendication |
|---|---|
| name | Raz Van |
| 123@domain.com | |
| amr | pwd |
| idp | 00o2ghkgazGgi9BIE5d7 |
| preferred_username | 321@domain.com |
| vmsRole | Opérateur |
| paramètres régionaux | fr-FR |
| given_name | Raz |
| family_name | Lindberg |
| zoneinfo | Amérique/Los_Angeles |
| email_verified | Vrai |
Utilisation d'un numéro de séquence de demande pour créer des noms d'utilisateur dans XProtect
Dans XProtect, la priorité de recherche lors de la création d'un utilisateur dans le VMS XProtect est déterminée par le numéro de séquence des demandes dans le tableau ci-dessous. Le premier nom de demande disponible sera utilisé dans le VMS XProtect :
Nom de la revendication | Numéro de séquence | Description |
|---|---|---|
| UserNameClaimType | 1 | Mappage configuré avec une demande pour définir le nom d'utilisateur. La revendication est définie dans le champ Revendication à utiliser pour créer un nom d’utilisateur dans l’onglet IDP externe sous Outils > Options. |
| preferred_username | 2 | Une revendication pouvant provenir d’un IDP externe. Une revendication standard qui est normalement utilisée pour ceci dans Oidc (OpenID Connect). |
| name | 3 | |
| given_name family_name | 4 | Nom et nom de famille donnés dans une combinaison telle que Bob Johnson. |
| 5 | ||
| Première demande disponible + #(premier numéro disponible) | 6 | Par exemple, Bob#1 |
Définition de demandes spécifiques pour créer des noms d'utilisateur dans XProtect
Les administrateurs XProtect peuvent définir une revendication spécifique à partir de l’IDP externe qui doit être utilisé pour créer un nom d’utilisateur dans le VMS XProtect. Lorsqu’un administrateur définit une revendication à utiliser pour la création du nom d’utilisateur dans le VMS XProtect, le nom de la revendication doit être écrit exactement de la même manière que le nom de la revendication provenant de l’IDP externe.
-
La revendication à utiliser pour créer un nom d’utilisateur est définie dans le champ Revendication à utiliser pour créer un nom d’utilisateur dans l’onglet IDP externe sous Outils > Options.
Supprimer des utilisateurs d’un IDP externe
Les utilisateurs créés dans XProtect par une connexion IDP externe sont supprimés de la même façon qu’un utilisateur basique et l’utilisateur peut être supprimé à n’importe quel moment après que l’utilisateur a été créé.
Si un utilisateur est supprimé dans XProtect et que l’utilisateur se connecte à nouveau à partir d’un IDP externe, un nouvel utilisateur sera créé dans XProtect. Cependant, les données associées à l'utilisateur dans XProtect comme les vues et les rôles privés sont perdues et ces informations doivent être recréées pour l'utilisateur dans XProtect.
Si un IDP externe est supprimé dans le/la Management Client, tous les utilisateurs connectés au VMS via l’IDP externe sont aussi supprimés.