Entra ID-Authentifizierung

Ivanti Neurons bietet derzeit die Option, Entra ID als externen Authentifizierungsanbieter für Ihren Mandanten auszuwählen. Diese Methode bietet sich an, wenn Sie die Anmeldeerfahrung der Endbenutzer zentralisieren, kennwortbezogene Anfragen an den Helpdesk reduzieren und eine granulare Kontrolle über Richtlinien und Prüfverläufe erhalten möchten.

Damit Entra ID verwendet werden kann, müssen alle Mitglieder die Anfrage für den Zugriff durch Ivanti auf die grundlegenden Profildaten von Azure akzeptieren.

Konfigurieren und Aktivieren der externen Authentifizierung

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
    Die Seite Authentifizierung wird angezeigt.
  2. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Konfigurieren & aktivieren.
    Die Seite Externe Authentifizierung (SSO) aktivieren wird angezeigt.
  3. Wählen Sie aus der Dropdownliste Anbieter die Option Entra ID aus.
    Die Entra ID-Konfigurationseinstellungen werden angezeigt.

Bevor Sie die Ivanti Neurons-Konfiguration fortsetzen können, müssen Sie zunächst einige Schritte im Microsoft Azure-Portal ausführen.

Bevor Sie die Ivanti Neurons-Konfiguration fortsetzen können, müssen Sie zunächst die folgenden Schritte im Microsoft Azure-Portal ausführen:

Schritt A – Entra ID-Anwendung erstellen

  1. Melden Sie sich als Office 365-Administrator beim Entra ID Admin Center an.

Wenn es sich bei der Person, die SSO einrichtet, nicht um einen Azure-Administrator handelt, muss sich ein Azure-Administrator bei Azure anmelden und die Anfrage der App nach Berechtigungen vom Typ "User-Read\Signin" genehmigen.

  1. Klicken Sie in der seitlichen Menüleiste auf Alle Dienste > App-Registrierungen.
    Das App-Registrierungs-Dashboard wird angezeigt.
  2. Klicken Sie auf Neue Registrierung.
  3. Geben Sie einen geeigneten Namen für die Anwendung ein und übernehmen Sie den unterstützten Standard-Kontotyp: Nur Konten in diesem Unternehmensverzeichnis.
    Microsoft Azure-Bildschirm "Anwendung registrieren"
  4. Geben Sie die Umleitungs-URI ein, die bei den Entra ID-Konfigurationseinstellungen auf der Neurons-Plattform angezeigt wird.
  5. Klicken Sie unten im Dialogfeld auf Registrieren.
  6. Eine Anwendungs-ID (Client) wird generiert und angezeigt.

Notieren Sie sich die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant), da Sie diese Angaben für die nächste Phase der Einrichtung in Ivanti Neurons benötigen werden.

Schritt B – Authentifizierungseinstellungen konfigurieren

  1. Wählen Sie im Menü für die App-Registrierung die Option Authentifizierung aus.
  2. Wechseln Sie zu Erweiterte Einstellungen.
  3. Geben Sie die Abmelde-URL ein, die bei den Entra ID-Konfigurationseinstellungen auf der Neurons Platform angezeigt wird.
  4. Stellen Sie sicher, dass unter Implizite Genehmigung das Kontrollkästchen ID-Tokens aktiviert ist.
    Bildschirm mit impliziter Genehmigung und Hybridflüssen, aus denen die ausgewählten ID-Token hervorgehen
  5. Klicken Sie auf Speichern.

Schritt C – Geheimschlüssel erstellen

  1. Wechseln Sie innerhalb der erstellten App zu App-Registrierung > Zertifikate & Geheimschlüssel.
  2. Erstellen Sie einen Neuen geheimen Clientschlüssel.
  3. Fügen Sie eine Beschreibung hinzu.
  4. Wählen Sie ein Ablaufdatum aus, das Ihren Unternehmensstandards entspricht.
  5. Klicken Sie auf Hinzufügen.
  6. Ein neuer Wert wird erstellt. Kopieren Sie diesen an einen sicheren Ort, da er nur einmalig hier angezeigt wird.

Stellen Sie sicher, dass Sie den geheimen Wert und nicht die Geheimschlüssel-ID kopieren.

Die Entra ID-Einrichtung ist nun abgeschlossen, und Sie können zur Ivanti Neurons-Plattform zurückkehren.

Die Lebensdauer des Geheimschlüssels ist befristet. Ihr Unternehmen sollte daher geeignete Maßnahmen ergreifen, um den Schlüssel vor Ablauf zu ersetzen und einen ungewollten Ausfall von Ivanti Neurons zu vermeiden. Erfahren Sie, wie Sie den Geheimen Clientschlüssel akualisieren.

Schritt D – Tokenkonfiguration

Richten Sie die Tokenkonfiguration ein, um die automatische Bereitstellung nutzen zu können.

  1. Wählen Sie im Menü für die App-Registrierung die Option Tokenkonfiguration aus.
  2. Wählen Sie Optionalen Anspruch hinzufügen, um den Seitenbereich aufzurufen.
  3. Wählen Sie als Tokentyp die Option ID aus.
  4. Wählen Sie aus der Liste Ansprüche die Optionen E-Mail, Nachname und Vorname aus. Dadurch können E-Mail-Adresse, Vor- und Zuname für neue Mitglieder von Ivanti Neurons abgerufen werden, was Voraussetzung für die automatische Bereitstellung ist.
  5. Klicken Sie auf Hinzufügen.

Nachdem Sie die Entra ID-Anwendung (Client), das Verzeichnis (Mandant) und den Geheimschlüssel erstellt haben, können Sie mit der Konfiguration der Ivanti Neurons-Plattform fortfahren.

  1. Kehren Sie zur Seite Entra ID-Konfigurationseinstellungen zurück (Ivanti Neurons-Plattform > Authentifizierung > Externe Authentifizierung (SSO) > Konfigurieren und aktivieren).

  2. Geben Sie die Verzeichnis-ID (Mandant) aus der Entra ID-App-Registrierung ein.
  3. Geben Sie die Anwendungs-ID (Client) aus der Entra ID-App-Registrierung ein.
  4. Geben Sie den generierten und gespeicherten Wert für den geheimen Clientschlüssel ein.
  5. Geben Sie das Ablaufdatum für den geheimen Clientschlüssel ein. Dieses sollte mit dem Ablaufdatum übereinstimmen, das bei der Erstellung des geheimen Clientschlüssels festgelegt wurde. Weitere Informationen finden Sie unter "Geheimen Clientschlüssel aktivieren".
  6. Klicken Sie zum Anzeigen der Seite "Verbindungseinstellungen validieren" auf Weiter.

Zum Validieren der Verbindungseinstellungen müssen Sie sich mit Ihren Entra ID-Anmeldeinformationen anmelden.

  1. Klicken Sie auf der Seite "Verbindungseinstellungen validieren" auf Einstellungen validieren, um über eine neue Registerkarte auf die Anmeldeseite Ihrer Organisation zuzugreifen. Geben Sie dort Ihre Entra ID-Anmeldeinformationen ein und setzen Sie die Anmeldung fort. Wenn Sie bereits angemeldet sind, brauchen Sie keine Anmeldeinformationen und die Validierung erfolgt automatisch. Stellen Sie daher sicher, dass Sie an dem Konto angemeldet sind, das Sie authentifizieren möchten.
    Bei erfolgreicher Anmeldung wird eine Bestätigung angezeigt.

    2. Der Azure-Benutzername muss exakt mit dem Ivanti Neurons-Benutzernamen übereinstimmen.

  2. Kehren Sie zu dieser Registerkarte (Verbindungseinstellungen validieren) zurück.
  3. Aktivieren Sie das Kontrollkästchen Ich bestätige, dass ich die Verbindungseinstellungen erfolgreich validiert habe, um zu bestätigen, dass Sie sich erfolgreich angemeldet haben.
  4. Klicken Sie auf Weiter, um die Konvertierung von Konten auf der Ivanti Neurons-Plattform fortzusetzen.
    Die Seite Ivanti Neurons-Plattformkonten aktivieren wird angezeigt.
  • E2018 – Authentifizierung fehlgeschlagen: Dem Benutzer ist die Authentifizierung mit Entra ID nicht gelungen. Prüfen Sie, ob Benutzername und Kennwort richtig sind und der Benutzer Berechtigungen für die Entra ID-Anwendungsregistrierung besitzt.
  • E2019 – Fehlende optionale Ansprüche: Der Validierungsschritt ist fehlgeschlagen, da die zusätzlichen optionalen Ansprüche in dem Token, das von Entra ID an die Ivanti Neurons-Plattform zurückgegeben wurde, nicht vorhanden war.
  • E2020 – Keine Verbindung zum Neurons Platform-Benutzerkonto möglich: Der Entra ID-Benutzername stimmt nicht mit dem der Ivanti Neurons-Plattform überein. Die E-Mail-Adresse des Ivanti Neurons-Plattform-Benutzerkontos muss mit der E-Mail-Adresse übereinstimmen, die für die Anmeldung bei Entra ID verwendet wird.

Entra ID ist jetzt konfiguriert, jedoch noch nicht aktiviert.

Für die Aktivierung müssen Sie Ihre Ivanti Neurons-Plattformkonten für die Verwendung von Entra ID konvertieren.

  1. Klicken Sie auf der Seite Ivanti Neurons-Plattformkonten aktivieren auf Abmelden & aktivieren.
    Die Ivanti Neurons-Anmeldeseite wird angezeigt.
  2. Wählen Sie die Option Mit Entra ID anmelden aus und geben Sie Ihre Entra ID-Anmeldeinformationen ein. Damit ist die Konvertierung abgeschlossen.

    3. Es muss ein und derselbe Benutzer die Entra ID-Authentifizierung und Anmeldung konfigurieren und die Anmeldeinformationen in Ivanti Neurons validieren, um Fehler vom Typ 'Zugriff verweigert' zu vermeiden.

Alle Mitglieder werden per E-Mail darüber informiert, dass das Konto konvertiert wurde und der Zugriff auf den Mandanten ab sofort über die Entra ID-Anmeldeinformationen erfolgt. Falls ein Mitglied keine Entra ID-Anmeldeinformationen besitzt, hat es keinen Zugriff auf Ivanti Neurons.

Die externe Authentifizierung (SSO) wird jetzt mit dem Status Aktiviert angezeigt.

Konfigurieren der automatischen Bereitstellung

Durch Aktivieren der automatischen Bereitstellung erhalten alle Mitglieder innerhalb der Entra ID-App-Registrierung automatisch Zugriff auf Ivanti Neurons, ohne dass der manuelle Einladungsprozess durchlaufen werden muss. Wenn sich ein Mitglied das erste Mal anmeldet, wird unter Ivanti Neurons > Mitglieder ein neues Ivanti Neurons-Plattformkonto angelegt. Allen neuen automatisch bereitgestellten Mitgliedern werden die im Setup definierten Zugriffskontrollregeln zugewiesen.

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Setup > Authentifizierung.
    Die Seite Authentifizierungsmethode wird angezeigt.
  2. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Aktionen und wählen Sie Automatische Bereitstellung aktivieren aus.
  3. Wählen Sie aus der Dropdownliste Standardrollen die Rolle für die Zugriffskontrolle aus, die allen neuen Mitgliedern zugewiesen werden soll.
    Rollen können Sie unter Ivanti Neurons > Admin > Rollen einrichten.
  4. Klicken Sie auf Automatische Bereitstellung aktivieren, um die Rollenauswahl zu bestätigen und die automatische Bereitstellung für alle neuen Mitglieder zu aktivieren.

Nach der Aktivierung sind die Optionen Standardzugriffskontroll-Rollen bearbeiten und Automatisch Bereitstellung deaktivieren verfügbar. Bearbeitete Rollen oder das Deaktivieren der automatischen Bereitstellung wirken sich nicht auf bestehende automatisch bereitgestellte Mitglieder aus, sondern nur auf jene Mitglieder, die nach den Änderungen bereitgestellt werden.

Damit die automatische Bereitstellung funktioniert, müssen Sie die optionalen Ansprüche aus Schritt D – Tokenkonfiguration konfigurieren.

Wichtig: Nachdem die automatische Bereitstellung aktiviert wurde, haben alle Benutzer mit Zugriff auf die Entra ID-App-Registrierung Zugriff auf Ivanti Neurons. Sie können über das Entra ID-Portal den Zugriff auf bestimmte Benutzer oder Gruppen eingrenzen. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Azure.

Geheimen Clientschlüssel akualisieren

Wenn der geheime Clientschlüssel für Entra ID demnächst abläuft, müssen Sie einen neuen festlegen, damit Sie diese Authentifizierungsmethode weiterhin verwenden können.

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Setup > Authentifizierung.
  2. Klicken Sie auf Aktionen und wählen Sie Geheimen Clientschlüssel aktualisieren aus.
    Die Seite Geheimen Clientschlüssel akualisieren wird angezeigt.
  3. Geben Sie den neuen geheimen Clientschlüssel aus Ihrer Entra ID-Anwendung ein.
  4. Geben Sie das Datum ein, an dem Sie eine Erinnerung zum anstehenden Ablauf des geheimen Clientschlüssels erhalten möchten. 28 Tage vor Ablauf wird auf der Benutzeroberfläche ein Erinnerungsbanner angezeigt und Benutzer mit Admin-Rolle erhalten eine Erinnerungs-E-Mail. Weitere Erinnerungs-E-Mails werden 7 Tage vor Ablauf und 1 Tag vor Ablauf gesendet.
    Wenn der geheime Clientschlüssel ablaufen darf und kein neuer festgelegt wurde, wird der Zugriff auf den Dienst unterbrochen. Sie müssen Kontakt zum Ivanti Support aufnehmen, um wieder Zugriff zu erhalten.
  5. Klicken Sie auf Fortfahren.
    Die Seite Geheimen Clientschlüssel validieren wird angezeigt.
  6. Klicken Sie auf Geheimen Clientschlüssel validieren, um die Anmeldeseite von Entra ID aufzurufen.
    Geben Sie Ihren Benutzernamen und Ihr Kennwort ein. Diese entsprechen den Anmeldeinformationen für die Ivanti Neurons-Plattform. Wenn Sie sich anmelden, wird der neue geheime Clientschlüssel validiert. Wenn der Vorgang erfolgreich war, kehren Sie zu diesem Assistenten zurück und aktualisieren Sie den geheimen Clientschlüssel. Falls der Vorgang nicht erfolgreich war, kehren Sie zurück und prüfen Sie, ob Sie den neuen geheimen Clientschlüssel richtig eingegeben haben. Weitere Fehlergründe finden Sie unter Behebung von Validierungsfehlern.
  7. Sobald Sie den neuen geheimen Clientschlüssel erfolgreich validiert haben, aktivieren Sie das Bestätigungskontrollästchen Ich habe meinen neuen geheimen Clientschlüssel erfolgreich validiert, und klicken auf Weiter.
  8. Klicken Sie auf Änderungen speichern, um den Vorgang abzuschließen. Dadurch werden der geheime Clientschlüssel und die Ablauferinnerung mit sofortiger Wirkung aktualisiert. Sie müssen nichts weiter unternehmen.