ADFS-Authentifizierung (SAML)

1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.

   Die Seite Authentifizierung wird angezeigt.

2. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Konfigurieren & aktivieren.

   Die Seite Externe Authentifizierung aktivieren (SSO) wird angezeigt.

3. Wählen Sie aus dem Dropdownmenü "Anbieter" die Option ADFS aus.

   Die Seite ADFS-SAML 2.0-Konfigurationseinstellungen wird angezeigt. Es wird empfohlen, diese Registerkarte geöffnet zu lassen, während in der ADFS Service Manager-Konsole Details konfiguriert werden.
   

4. Im Abschnitt mit den ADFS- SAML 2.0-Konfigurationseinstellungen können Sie aus folgenden Optionen wählen:

   • Signierte Anfragen aktivieren: Aktivieren Sie diese Option, um digital signierte Anfragen an einen externen Authentifizierungsanbieter zu senden und den Anbieter zu konfigurieren, um zu überprüfen, ob die signierten Anfragen vom Ivanti Neurons Tenant stammen. Alternativ können Sie diese Option deaktivieren, um das Senden signierter Anfragen einzustellen.

   • Verschlüsselte Assertionen aktivieren: Aktivieren Sie diese Option, um verschlüsselte Benutzerinformationen vom externen Authentifizierungsanbieter zu empfangen. Sie können den Neurons Tenant so konfigurieren, dass er die Informationen entschlüsselt. Alternativ können Sie diese Option deaktivieren, um den Empfang verschlüsselter Benutzerinformationen einzustellen.

5. Klicken Sie auf Änderungen übernehmen.
   Nachdem Sie die Änderungen übernommen haben, können Sie die Identitätsinformationen, wie z. B. die Metadaten und das Zertifikat des Dienstanbieters, für ein SAML-basiertes SSO-System (wie unten angegeben) herunterladen:

• SP-Metadaten herunterladen: Klicken Sie auf diese Option, um die Metadaten des Service Providers (Dienstanbieters) zusammen mit dem Zertifikat im XML-Format herunterzuladen.

• Nur Zertifikat herunterladen: Klicken Sie auf diese Option, um nur das Zertifikat herunterzuladen (im .pem-Format).

1. Melden Sie sich bei der ADFS Service Manager-Konsole an.
   Das Dashboard wird angezeigt.

2. Navigieren Sie vom Dashboard des Service Managers zu Tools > AD FS Management.
   Der AD FS-Verwaltungsassistent wird angezeigt.

3. Erweitern Sie im Abschnitt "Aktionen" den Eintrag AD FS und wählen Sie die Option Vertrauen einer Relying Party hinzufügen.

   Der Assistent zum Hinzufügen von Vertrauen für eine Relying Party wird angezeigt. Er enthält mehrere Schritte zur Durchführung der Konfiguration.

4. Wählen Sie im Schritt Willkommen die Option Claims aware und klicken Sie auf Start.

5. Wählen Sie im Schritt Datenquelle die Option Daten zum Vertrauen der Relying Party manuell eingeben aus. Klicken Sie anschließend auf Weiter.

6. Geben Sie im Schritt Anzeigename angeben einen Namen für das Vertrauen der Relying Party ein. Klicken Sie anschließend auf Weiter.

7. Im Schritt Zertifikat konfigurieren können Sie das Verschlüsselungszertifikat (im .cer-Format) hochladen, das Sie von Ivanti Neurons heruntergeladen haben.
   Um ein Verschlüsselungszertifikat hochzuladen, klicken Sie auf Durchsuchen. Daraufhin werden die verschlüsselten Assertionen für ADFS konfiguriert. Klicken Sie anschließend auf Weiter.

   Weitere Informationen zum Herunterladen des Zertifikats finden Sie bei den Schritten des Abschnitts Externe Authentifizierung konfigurieren und aktivieren (Ivanti Neurons-Plattform).

8. Wählen Sie im Schritt URL konfigurieren die Option Unterstützung für SAML-2.0-WebSSO-Protokolloptionen aktivieren und fügen Sie die kopierte Service-URL aus Neurons Platform ein. Klicken Sie anschließend auf Weiter.

   Kehren Sie für die Service-URL zurück zu Ivanti Neurons und kopieren Sie die Assertion Consumer Service-URL aus dem Abschnitt "ADFS-SAML 2.0-Konfigurationseinstellungen".

9. Geben Sie im Schritt Kennungen konfigurieren die Vertrauenskennung der Relying Party ein und klicken Sie auf Hinzufügen. Klicken Sie anschließend auf Weiter.

   Kehren Sie für die Vertrauenskennung der Relying Party zurück zu Ivanti Neurons und kopieren Sie die Entitäts-ID im Abschnitt "ADFS-SAML 2.0-Konfigurationseinstellungen".

10. Wählen Sie im Schritt Richtlinie für Zugriffskontrolle wählen im Abschnitt Richtlinie für Zugriffskontrolle wählen eine Richtlinie aus, die den Anforderungen Ihres Unternehmens entspricht. Klicken Sie anschließend auf Weiter, um die Einrichtung abzuschließen.

    Der Assistent wird geschlossen und die Vertrauenskonfiguration für die Relying Party wird erstellt.

1. Wählen Sie im AD FS-Verwaltungsassistenten den Ordner Vertrauen Relying Party aus.
   Hier wird die von Ihnen erstellte Vertrauenskonfiguration der Relying Party angezeigt.

2. Doppelklicken Sie auf die von Ihnen erstellte Vertrauenskonfiguration der Relying Party und navigieren Sie zur Registerkarte Signatur.

3. Klicken Sie auf Hinzufügen, um das Signaturprüfzertifikat zu durchsuchen und hochzuladen.

   Weitere Informationen zum Herunterladen des Zertifikats finden Sie bei den Schritten des Abschnitts Externe Authentifizierung konfigurieren und aktivieren (Ivanti Neurons-Plattform).

Stellen Sie sicher, dass die ADFS-Konfiguration die erforderlichen Claims enthält, die für Ivanti-Neurons gelten.

1. Klicken Sie im AD FS-Verwaltungsassistenten im Abschnitt Aktionen auf die OptionRichtlinie für Claim-Ausstellung bearbeiten.

   Der Assistent zum Bearbeiten der Claim-Ausstellungsrichtlinie für die von Ihnen erstellte, ausgewählte Vertrauenskonfiguration.

2. Klicken Sie auf Regel hinzufügen.

   Der Assistent Transformations-Claim-Regel hinzufügen wird angezeigt. Er enthält verschiedene Konfigurationsschritte.

3. Wählen Sie im Schritt Regeltyp wählen die Option LDAP-Attribute als Claims senden aus und klicken Sie auf Weiter.

4. Geben Sie im Claim-Regel konfigurieren einen Claim-Namen ein, wählen Sie den Attributspeicher aus und ordnen Sie die LDAP-Attribute zu.

   Stellen Sie sicher, dass folgende Zuordnungen konfiguriert sind:

   • E-Mail-Adressen -> E-Mail-Adresse

   • Vorname -> Vorname

   • Nachname -> Nachname

   • E-Mail-Adressen -> Namens-ID

5. Klicken Sie auf Fertigstellen.
   Der Assistent "Richtlinie für Claim-Ausstellung bearbeiten" wird angezeigt.

6. Klicken Sie auf Anwenden.

Sobald die ADFS-Konfiguration abgeschlossen ist, müssen Sie die Metadaten-Endpunkt-URL des Identitätsanbieters in der Ivanti Neurons-Anwendung anwenden.

1. Identifizieren und kopieren Sie die Metadaten-URL Ihres ADFS-Anbieters.

   Die IdP-Metadaten-URL Ihres ADFS-Anbieters weist das folgende Format auf:
   https://<adfs-federation-service-name>/FederationMetadata/2007-06/FederationMetadata.xml"

2. Kehren Sie zurück zu Ivanti Neurons Platform und fügen Sie die URL in das Feld Metadaten-Endpunkt-URL des Identitätsanbieters ein.
   Daraufhin wird die URL validiert.

3. Klicken Sie zum Fortfahren auf Fortfahren.

Sie müssen sich mit Ihrem ADFS-Server verbinden, um Ihre Verbindungseinstellungen zu überprüfen.

1. Klicken Sie auf der Seite Verbindungseinstellungen validieren auf Einstellungen validieren.

   Die Validierung findet automatisch statt. Bei erfolgreicher Anmeldung wird eine Bestätigung angezeigt.

2. Kehren Sie zurück zur Seite Verbindungseinstellungen validieren und markieren Sie das Kontrollkästchen, um die erfolgreiche Anmeldung zu bestätigen.

3. Klicken Sie auf Weiter, um die Seite Ivanti Neurons-Plattformkonto konvertieren aufzurufen.

ADFS ist jetzt konfiguriert, jedoch noch nicht aktiviert.

Für die Aktivierung müssen Sie Ihre Ivanti Neurons-Plattformkonten für die Verwendung von ADFS konvertieren.

1. Klicken Sie auf der Seite Ivanti Neurons-Plattformkonten aktivieren auf Abmelden & aktivieren.
   Die Ivanti Neurons-Anmeldeseite wird angezeigt.
2. Wählen Sie Mit ADFS anmelden aus und geben Sie Ihre ADFS-Anmeldedaten ein. Die Konvertierung ist damit abgeschlossen.
   Melden Sie sich zur Überprüfung bei Neurons an, wechseln Sie zu Admin > Authentifizierung und vergewissern Sie sich, dass ADFS als Anbieter für die externe Authentifizierung aufgeführt wird.
   

Es muss ein und derselbe Benutzer die ADFS-Authentifizierung und Anmeldung konfigurieren und die Anmeldeinformationen in Ivanti Neurons validieren, um Fehler vom Typ 'Zugriff verweigert' zu vermeiden.

Alle Mitglieder werden per E-Mail darüber informiert, dass das Konto konvertiert wurde und der Zugriff auf den Mandanten ab sofort über die ADFS-Anmeldeinformationen erfolgt. Falls ein Mitglied keine ADFS-Anmeldeinformationen besitzt, hat es keinen Zugriff auf Ivanti Neurons.

Die externe Authentifizierung (SSO) wird jetzt mit dem Status Aktiviert angezeigt.

1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Setup > Authentifizierung.

   Die Seite Authentifizierungsmethode wird angezeigt.

2. Klicken Sie im Abschnitt Externe Authentifizierung auf Aktionen und wählen Sie Automatische Bereitstellung aktivieren aus.

3. Wählen Sie aus der Dropdownliste Standardrollen die Rolle für die Zugriffskontrolle aus, die allen neuen Mitgliedern zugewiesen werden soll.

   Rollen können Sie unter Ivanti Neurons > Admin > Rollen einrichten.

4. Klicken Sie auf Automatische Bereitstellung aktivieren, um die Rollenauswahl zu bestätigen und die automatische Bereitstellung für alle neuen Mitglieder zu aktivieren.