Okta-Authentifizierung

Ivanti Neurons bietet derzeit die Option, Okta als externen Authentifizierungsanbieter für Ihren Mandanten auszuwählen. Diese Methode bietet sich an, wenn Sie die Anmeldeerfahrung der Endbenutzer zentralisieren, kennwortbezogene Anfragen an den Helpdesk reduzieren und eine granulare Kontrolle über Richtlinien und Prüfverläufe erhalten möchten.

Konfigurieren und Aktivieren der externen Authentifizierung

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
    Die Seite Authentifizierung wird angezeigt.
  2. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Konfigurieren & aktivieren.
    Die Seite Externe Authentifizierung (SSO) aktivieren wird angezeigt.
  3. Wählen Sie aus der Dropdownliste Anbieter die Option Okta aus.
    Die Okta-Konfigurationseinstellungen werden angezeigt.

Bevor Sie die Ivanti Neurons-Konfiguration fortsetzen können, müssen Sie zunächst einige Schritte in Okta ausführen.

Bevor Sie die Ivanti Neurons-Konfiguration fortsetzen können, müssen Sie zunächst die folgenden Schritte in Okta ausführen.

  1. Melden Sie sich bei Okta an.
  2. Wählen Sie im Seitenleisten-Menü Anwendungen > Anwendungen aus.
    Das Dashboard Anwendungen wird angezeigt.
  3. Wählen Sie App-Katalog durchsuchen aus.
    Der Katalog App-Integration durchsuchen wird angezeigt.
  4. Machen Sie Ivanti Neurons ausfindig und wählen Sie den Eintrag aus.
  5. Wählen Sie Integration hinzufügen aus.
    Die Seite Ivanti Neurons hinzufügen wird angezeigt.
  6. Die Anwendungsbezeichnung lautet standardmäßig Ivanti Neurons, Sie können dies jedoch ändern. Wählen Sie Fertig aus.
    Die Seite Zuweisung wird angezeigt.
  7. Auf der Seite Zuweisungen legen Sie fest, wer Zugriff auf Ivanti Neurons erhalten soll. Dabei können Sie den Zugriff entweder Einzelpersonen oder Gruppen gewähren.
    Wählen Sie Personen zuweisen oder Gruppen zuweisen.

    Denken Sie daran, den Zugriff der Person zuzuweisen, die die Integration einrichtet, da diese dazu Zugriff auf die Anwendung benötigt.

  8. Machen Sie die Personen oder Gruppen ausfindig, denen Sie die App zuweisen möchten, und wählen Sie sie aus.
  9. Wählen Sie Zuweisen aus.
  10. Wenn Sie mit allen Zuweisungen fertig sind, wählen Sie Fertig aus.
  11. Wählen Sie die Registerkarte Anmeldung aus.
  12. Wählen Sie Bearbeiten aus.
  13. Fügen Sie in Basis-URL die URL ein, die Sie auf der Seite Ivanti Neurons-Plattform > Authentifizierung kopiert haben.
  14. Wählen Sie Speichern. Die Integration wird erstellt.
  15. Eine Client-ID und ein geheimer Clientschlüssel werden generiert und angezeigt.

    16. Notieren Sie sich die Domäne, die Client-ID und den geheimen Clientschlüssel, damit Sie die Angaben für den nächsten Schritt der Einrichtung in der Ivanti Neurons-Plattform parat haben.

Es wird nur vom SP-initiiertes SSO unterstützt.

  1. Melden Sie sich als Administrator bei Okta an.
  2. Erweitern Sie das Dropdownmenü Anwendungen und klicken Sie auf Anwendungen.
  3. Klicken Sie auf App-Katalog durchsuchen.
  4. Suchen Sie nach Bookmark-App, wählen Sie sie aus der Ergebnisliste aus und klicken Sie auf Hinzufügen.
  5. Geben Sie eine Anwendungsbezeichnungein. Diese dient als Anzeigename. Beispiel: Ivanti Neurons <Company Name> Neurons-Mandant.
  6. Kopieren Sie die URL, um direkt in das Feld URL zu verlinken. Dies sollte die URL für den Neurons-Mandanten sein, zu dem Sie eine Verbindung herstellen möchten.
  7. Klicken Sie auf Speichern.
  8. Weisen Sie Benutzer zum Testen zu.

Die Okta-Einrichtung ist nun abgeschlossen, und Sie können zur Ivanti Neurons-Plattform zurückkehren, um mit der Einrichtung fortzufahren.

Sobald Sie die Okta-Anwendung erstellt haben, können Sie mit der Konfiguration der Ivanti Neurons-Plattform fortfahren.

  1. Kehren Sie zur Seite Okta-Konfigurationseinstellungen zurück (Ivanti Neurons-Plattform > Authentifizierung > Externe Authentifizierung (SSO) > Konfigurieren und aktivieren).
  2. Geben Sie die Okta-Domäne aus der Benutzerprofil-Dropdownliste im rechten oberen Bereich der Okta-App-Integration ein.
  3. Lassen Sie das Feld Auth-Server-ID leer. Sie müssen nur dann Mandantendetails angeben, wenn Sie einen benutzerdefinierten Autorisierungsserver verwenden. Weitere Einzelheiten finden Sie unter Okta-App-Setup – Benutzerdefinierter Autorisierungsserver.
  4. Geben Sie die Client-ID ein, die über die Okta-App-Integration generiert und gespeichert wurde.
  5. Geben Sie den Wert für den Client-Geheimschlüssel ein, der über die Okta-App-Integration generiert und gespeichert wurde.
  6. Wählen Sie Weiter, um die Seite "Verbindungseinstellungen validieren" anzuzeigen.

Zum Validieren der Verbindungseinstellungen müssen Sie sich mit Ihren Okta-Anmeldeinformationen anmelden.

  1. Klicken Sie auf der Seite Verbindungseinstellungen validieren auf Einstellungen validieren, um über eine neue Registerkarte auf die Anmeldeseite Ihrer Organisation zuzugreifen. Geben Sie Ihre Okta-Anmeldeinformationen ein und fahren Sie mit der Anmeldung fort. Wenn Sie bereits angemeldet sind, brauchen Sie keine Anmeldeinformationen und die Validierung erfolgt automatisch. Stellen Sie daher sicher, dass Sie an dem Konto angemeldet sind, das Sie authentifizieren möchten.
    Bei erfolgreicher Anmeldung wird eine Bestätigung angezeigt.

    2. Der Okta-Benutzername muss exakt mit Ihrem Ivanti Neurons-Benutzernamen übereinstimmen.

  2. Kehren Sie zu dieser Registerkarte (Verbindungseinstellungen validieren) zurück.
  3. Aktivieren Sie das Kontrollkästchen Ich bestätige, dass ich die Verbindungseinstellungen erfolgreich validiert habe, um zu bestätigen, dass Sie sich erfolgreich angemeldet haben.
  4. Klicken Sie auf Weiter, um mit der Konvertierung von Konten auf der Ivanti Neurons-Plattform fortzufahren. Die Seite "Ivanti Neurons-Plattformkonten aktivieren" wird angezeigt.
  • E2018 – Authentifizierung fehlgeschlagen: Dem Benutzer ist die Authentifizierung mit Okta nicht gelungen. Prüfen Sie, ob Benutzername und Kennwort richtig sind und der Benutzer Berechtigungen für die Okta-Anwendungsregistrierung besitzt.
  • E2020 – Keine Verbindung zum Neurons-Plattform-Benutzerkonto möglich: Der Azure Okta-Benutzername stimmt nicht mit dem der Ivanti Neurons-Plattform überein. Die E-Mail-Adresse des Ivanti Neurons-Plattform-Benutzerkontos muss mit der E-Mail-Adresse übereinstimmen, die für die Anmeldung bei Okta verwendet wird.

Okta ist jetzt konfiguriert, jedoch noch nicht aktiviert.

Für die Aktivierung müssen Sie Ihre Ivanti Neurons-Plattformkonten für die Verwendung von Okta konvertieren.

  1. Klicken Sie auf der Seite Ivanti Neurons-Plattformkonten aktivieren auf Abmelden & aktivieren.
    Die Ivanti Neurons-Anmeldeseite wird angezeigt.
  2. Wählen Sie die Option Mit Okta anmelden aus und geben Sie Ihre Okta-Anmeldeinformationen ein. Damit ist die Konvertierung abgeschlossen.
    Alle Mitglieder werden per E-Mail darüber informiert, dass das Konto konvertiert wurde und der Zugriff auf den Mandanten ab sofort über die Okta-Anmeldeinformationen erfolgt. Falls ein Mitglied keine Okta-Anmeldeinformationen besitzt, hat es keinen Zugriff auf Ivanti Neurons.

Die externe Authentifizierung (SSO) wird jetzt mit dem Status Aktiviert angezeigt.

  1. Melden Sie sich bei Okta an.
  2. Wählen Sie im Seitenleistenmenü Anwendungen > Anwendungen aus.
    Das Anwendungs-Dashboard wird angezeigt.
  3. Wählen Sie App-Integration erstellen aus.
    Die Seite Neue App-Integration erstellen wird angezeigt.
  4. Wählen Sie die Anmeldungsmethode OIDC – OpenID Connect aus.
  5. Wählen Sie den Anwendungstyp Webanwendung aus.
  6. Klicken Sie auf Weiter.
    Die Seite Neue Web-App-Integration wird angezeigt.
  7. Vergeben Sie in Name für die App-Integration einen Namen für die Anwendung.
  8. Wählen Sie als Gewährungstyp Implizit (hybrid) aus.
  9. Geben Sie die Umleitungs-URI für die Anmeldung ein und hängen Sie an die Basis-URL (siehe Anzeige bei den Okta-Konfigurationseinstellungen auf der Ivanti Neurons-Plattform) die Zeichenfolge /signin-okta an.
  10. Geben Sie die Umleitungs-URI für die Abmeldung ein und hängen Sie an die Basis-URL (siehe Anzeige bei den Okta-Konfigurationseinstellungen auf der Ivanti Neurons-Plattform) die Zeichenfolge /signout-okta an.
  11. Wählen Sie unter Zuweisungen den gewünschten Grad der Kontrolle über den Zugriff aus.
  12. Wählen Sie Speichern. Die Anwendung wird erstellt.
  13. Eine Client-ID und ein geheimer Clientschlüssel werden generiert und angezeigt.

    14. Notieren Sie sich die Domäne, die Client-ID und den geheimen Clientschlüssel, damit Sie die Angaben für den nächsten Schritt der Einrichtung in der Ivanti Neurons-Plattform parat haben.

Die Okta-Einrichtung ist nun abgeschlossen, und Sie können zur Ivanti Neurons-Plattform zurückkehren.

Konfigurieren der automatischen Bereitstellung

Durch das Aktivieren der automatischen Bereitstellung erhalten alle Mitglieder innerhalb der Okta-Anwendung automatisch Zugriff auf Ivanti Neurons, ohne dass der manuelle Einladungsprozess durchlaufen werden muss. Wenn sich ein Mitglied das erste Mal anmeldet, wird unter Ivanti Neurons > Mitglieder ein neues Ivanti Neurons-Plattformkonto angelegt. Allen neuen automatisch bereitgestellten Mitgliedern werden die im Setup definierten Zugriffskontrollregeln zugewiesen.

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Setup > Authentifizierung.
    Die Seite Authentifizierungsmethode wird angezeigt.
  2. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Aktionen und wählen Sie Automatische Bereitstellung aktivieren aus.
  3. Wählen Sie aus der Dropdownliste Standardrollen die Rolle für die Zugriffskontrolle aus, die allen neuen Mitgliedern zugewiesen werden soll.
    Rollen können Sie unter Ivanti Neurons > Admin > Rollen einrichten.
  4. Klicken Sie auf Automatische Bereitstellung aktivieren, um die Rollenauswahl zu bestätigen und die automatische Bereitstellung für alle neuen Mitglieder zu aktivieren.

Nach der Aktivierung sind die Optionen Standardzugriffskontroll-Rollen bearbeiten und Automatische Bereitstellung deaktivieren verfügbar. Bearbeitete Rollen oder das Deaktivieren der automatischen Bereitstellung wirken sich nicht auf bestehende automatisch bereitgestellte Mitglieder aus, sondern nur auf jene Mitglieder, die nach den Änderungen bereitgestellt werden.

Nachdem die automatische Bereitstellung aktiviert wurde, haben alle Benutzer mit Zugriff auf die Okta-Anwendung auch Zugriff auf Ivanti Neurons. Sie können den Zugriff in der Okta-Anwendung auf bestimmten Benutzer oder Gruppen beschränken. Weitere Informationen finden Sie in der Okta-Dokumentation.

Geheimen Clientschlüssel akualisieren

Wenn Sie den geheimen Okta-Clientschlüssel aktualisieren möchten, müssen Sie einen neuen festlegen, damit Sie diese Authentifizierungsmethode weiterhin verwenden können.

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Setup > Authentifizierung.
  2. Klicken Sie auf Aktionen und wählen Sie Geheimen Clientschlüssel aktualisieren aus.
    Die Seite Geheimen Clientschlüssel akualisieren wird angezeigt.
  3. Geben Sie den neuen geheimen Clientschlüssel aus der Okta-Anwendung ein.
  4. Klicken Sie auf Fortfahren.
    Die Seite Geheimen Clientschlüssel validieren wird angezeigt.
  5. Klicken Sie auf Geheimen Clientschlüssel validieren. Daraufhin wird die Okta-Anmeldeseite geöffnet.
    Geben Sie Ihren Benutzernamen und Ihr Kennwort ein. Diese entsprechen den Anmeldeinformationen für die Ivanti Neurons-Plattform. Wenn Sie sich anmelden, wird der neue geheime Clientschlüssel validiert. Wenn der Vorgang erfolgreich war, kehren Sie zu diesem Assistenten zurück und aktualisieren Sie den geheimen Clientschlüssel. Falls der Vorgang nicht erfolgreich war, kehren Sie zurück und prüfen Sie, ob Sie den neuen geheimen Clientschlüssel richtig eingegeben haben. Weitere Fehlergründe finden Sie unter Behebung von Validierungsfehlern.
  6. Sobald Sie den neuen geheimen Clientschlüssel erfolgreich validiert haben, aktivieren Sie das Bestätigungskontrollästchen Ich habe meinen neuen geheimen Clientschlüssel erfolgreich validiert, und klicken auf Weiter.
  7. Klicken Sie auf Änderungen speichern, um den Vorgang abzuschließen. Dadurch wird der geheime Clientschlüssel mit sofortiger Wirkung aktualisiert. Sie müssen nichts weiter unternehmen.