PingOne-Authentifizierung

Ivanti Neurons bietet derzeit die Option, PingOne als externen Authentifizierungsanbieter für Ihren Mandanten auszuwählen. Diese Methode bietet sich an, wenn Sie die Anmeldeerfahrung der Endbenutzer zentralisieren, kennwortbezogene Anfragen an den Helpdesk reduzieren und eine granulare Kontrolle über Richtlinien und Prüfverläufe erhalten möchten.

Konfigurieren und Aktivieren der externen Authentifizierung

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
  2. Klicken Sie auf der Seite "Authentifizierung" im Abschnitt "Externe Authentifizierung (SSO)" auf Konfigurieren & Aktivieren.
  3. Wählen Sie auf der Seite "Externe Authentifizierung aktivieren (SSO)" in der Dropdownliste Anbieter die Option PingOne aus.
    Daraufhin wir die Seite "PingOne-Konfigurationseinstellungen" angezeigt.

Damit Sie die Ivanti Neurons-Konfiguration fortsetzen können, müssen Sie zunächst einige Schritte in der PingOne-Admin-Konsole ausführen.

Damit Sie die Ivanti Neurons-Konfiguration fortsetzen können, müssen Sie zuerst die folgenden Schritte in der PingOne-Admin-Konsole ausführen:

  1. Melden Sie sich bei der PingOne-Administrationskonsole an.
  2. Wählen Sie bei "Meine Umgebungen > Administratoren" die Option Verbindungen im seitlichen Menü aus.
  3. Wählen Sie im Menü "Verbindungen" die Option Anwendungen aus.
  4. Wählen Sie auf der Seite "Anwendungen" neben dem Eintrag "Anwendungen" das Pluszeichen (+) aus, um eine neue Anwendung hinzuzufügen.
  5. Geben Sie auf der Seite Neue Anwendung einen Namen für die Anwendung ein, z. B. Ivanti Neurons.
  6. Wählen Sie im Abschnitt "Anwendungstyp" die Option Nativ aus.
  7. Wählen Sie Speichern. Daraufhin wird die Seite "Neue Anwendung" angezeigt.
  8. Wählen Sie auf der Seite "Neue Anwendung" die Registerkarte Konfiguration aus.
  9. Wählen Sie Bearbeiten aus.
  10. Fügen Sie in das Feld Umleitungs-URL die URL ein, die Sie auf der Seite "Authentifizierung" der Ivanti Neurons-Plattform kopiert haben.
  11. Setzen Sie die Token-Endpunkt-Authentifizierungsmethode auf Geheimer Clientschlüssel POST.
  12. Fügen Sie in das Feld Abmelde-URL die URL ein, die Sie auf der Seite "Authentifizierung" der Ivanti Neurons-Plattform kopiert haben.
  13. Wählen Sie Speichern.
  14. Wählen Sie die Registerkarte Ressourcen aus.
  15. Wählen Sie Bearbeiten aus.
  16. Fügen Sie zwei neue Scopes hinzu: E-Mail und Profil.
  17. Wählen Sie Speichern.
  18. Setzen Sie den Umschalter bei der neuen Anwendung auf Aktivieren, damit Benutzer Zugriff auf die Anwendung haben.
  19. Wählen Sie nach dem Aktivieren die Registerkarte Konfiguration aus. Alle Pfade wurden generiert. Folgende Pfade müssen in die externe Authentifizierungskonfiguration der Ivanti Neurons-Plattform kopiert werden:
    • Aussteller
    • Client-ID (dazu den Abschnitt "Allgemein" erweitern)
    • Geheimer Clientschlüssel (dazu den Abschnitt "Allgemein" erweitern)

    20. Halten Sie den Herausgeber, die Client-ID und den geheimen Clientschlüssel griffbereit (notieren oder kopieren Sie diese), da Sie die Angaben im nächsten Schritt der Ivanti Neurons-Plattform-Einrichtung brauchen.

Die PingOne-Einrichtung ist nun abgeschlossen, und Sie können zur Ivanti Neurons-Plattform zurückkehren, um mit der Einrichtung fortzufahren.

Sobald Sie die PingOne-Anwendung erstellt haben, können Sie mit der Konfiguration der Ivanti Neurons-Plattform fortfahren.

  1. Kehren Sie zur Seite PingOne-Konfigurationseinstellungen zurück (Ivanti Neurons-Plattform > Authentifizierung > Externe Authentifizierung (SSO) > Konfigurieren und aktivieren).

  2. Geben Sie den Aussteller-Pfad ein, der von PingOne generiert und kopiert/gespeichert wurde.
  3. Geben Sie die Client-ID ein, die von PingOne generiert und kopiert/gespeichert wurde.
  4. Geben Sie den geheimen Clientschlüssel ein, der von PingOne generiert und kopiert/gespeichert wurde.
  5. Wählen Sie zum Anzeigen der Seite "Verbindungseinstellungen validieren" Weiter aus.

Zum Validieren der Verbindungseinstellungen müssen Sie sich mit Ihren PingOne-Anmeldeinformationen anmelden.

  1. Klicken Sie auf der Seite "Verbindungseinstellungen validieren" auf Einstellungen validieren, um über eine neue Registerkarte auf die Anmeldeseite Ihrer Organisation zuzugreifen. Geben Sie dort Ihre PingOne-Anmeldeinformationen ein und setzen die Anmeldung fort. Wenn Sie bereits angemeldet sind, brauchen Sie keine Anmeldeinformationen und die Validierung erfolgt automatisch. Stellen Sie daher sicher, dass Sie an dem Konto angemeldet sind, das Sie authentifizieren möchten.
    Bei erfolgreicher Anmeldung wird eine Bestätigung angezeigt.

    2. Der PingOne-Benutzername muss exakt mit dem Ivanti Neurons-Benutzernamen übereinstimmen.

  2. Kehren Sie zu dieser Registerkarte (Verbindungseinstellungen validieren) zurück.
  3. Aktivieren Sie das Kontrollkästchen Ich bestätige, dass ich die Verbindungseinstellungen erfolgreich validiert habe, um zu bestätigen, dass Sie sich erfolgreich angemeldet haben.
  4. Klicken Sie auf Weiter, um mit der Konvertierung von Konten auf der Ivanti Neurons-Plattform fortzufahren. Die Seite "Ivanti Neurons-Plattformkonten aktivieren" wird angezeigt.
  • E2018 – Authentifizierung fehlgeschlagen: Dem Benutzer ist die Authentifizierung mit PingOne nicht gelungen. Prüfen Sie, ob Benutzername und Kennwort richtig sind und ob der Benutzer Berechtigungen für PingOne besitzt.
  • E2020 – Keine Verbindung zum Neurons-Plattform-Benutzerkonto möglich: Der PingOne-Benutzername stimmt nicht mit dem der Ivanti Neurons-Plattform überein. Die E-Mail-Adresse des Ivanti Neurons-Plattform-Benutzerkontos muss mit der E-Mail-Adresse übereinstimmen, die für die Anmeldung bei PingOne verwendet wird.

PingOne ist jetzt konfiguriert, jedoch noch nicht aktiviert.

Für die Aktivierung müssen Sie Ihre Ivanti Neurons-Plattformkonten für die Verwendung von PingOne konvertieren.

  1. Klicken Sie auf der Seite "Ivanti Neurons-Plattformkonten aktivieren" auf Abmelden und aktivieren. Daraufhin wird die Ivanti Neurons-Anmeldeseite angezeigt.
  2. Wählen Sie auf der Ivanti Neurons-Anmeldeseite die Option Bei PingOne anmelden aus, und geben Sie Ihre PingOne-Anmeldeinformationen ein. Anschließend wird die Konvertierung abgeschlossen.
    Alle Mitglieder werden per E-Mail darüber informiert, dass das Konto konvertiert wurde und der Zugriff auf den Mandanten ab sofort über die PingOne-Anmeldeinformationen erfolgt. Falls ein Mitglied keine PingOne-Anmeldeinformationen besitzt, hat es keinen Zugriff auf Ivanti Neurons.

Die externe Authentifizierung (SSO) wird jetzt mit dem Status Aktiviert angezeigt.

Konfigurieren der automatischen Bereitstellung

Durch das Aktivieren der automatischen Bereitstellung erhalten alle Mitglieder innerhalb der PingOne-Anwendung automatisch Zugriff auf Ivanti Neurons, ohne dass der manuelle Einladungsprozess durchlaufen werden muss. Wenn sich ein Mitglied das erste Mal anmeldet, wird unter Ivanti Neurons > Mitglieder ein neues Ivanti Neurons-Plattformkonto angelegt. Allen neuen automatisch bereitgestellten Mitgliedern werden die im Setup definierten Zugriffskontrollregeln zugewiesen.

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Setup > Authentifizierung, um die Seite "Authentifizierungsmethode" aufzurufen.
  2. Klicken Sie im Abschnitt "Externe Authentifizierung (SSO)" auf Aktionen und wählen Sie Automatische Bereitstellung aktivieren aus.
  3. Wählen Sie aus der Dropdownliste "Standardrollen" die Rolle für die Zugriffskontrolle aus, die allen neuen Mitgliedern zugewiesen werden soll.
    Rollen können Sie unter Ivanti Neurons > Admin > Rollen einrichten.
  4. Klicken Sie auf Automatische Bereitstellung aktivieren, um die Rollenauswahl zu bestätigen und die automatische Bereitstellung für alle neuen Mitglieder zu aktivieren.

Nach der Aktivierung sind die Optionen Standardzugriffskontrollregeln bearbeiten und Automatisch Bereitstellung deaktivieren verfügbar. Bearbeitete Rollen oder das Deaktivieren der automatischen Bereitstellung wirken sich nicht auf bestehende automatisch bereitgestellte Mitglieder aus, sondern nur auf jene Mitglieder, die nach den Änderungen bereitgestellt werden.

Wichtig: Nachdem die automatische Bereitstellung aktiviert wurde, haben alle Benutzer mit Zugriff auf die PingOne-Anwendung Zugriff auf Ivanti Neurons. Sie können den Zugriff innerhalb der PingOne-Anwendung auf bestimmte Benutzer oder Gruppen begrenzen. Weitere Informationen finden Sie in der PingOne-Dokumentation.

Geheimen Clientschlüssel akualisieren

Wenn Sie den geheimen PingOne-Clientschlüssel aktualisieren möchten, müssen Sie einen neuen festlegen, damit Sie diese Authentifizierungsmethode weiterhin verwenden können.

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Setup > Authentifizierung.
  2. Klicken Sie auf Aktionen und wählen Sie Geheimen Clientschlüssel aktualisieren aus.
    Die Seite "Geheimen Clientschlüssel aktualisieren" wird angezeigt.
  3. Geben Sie den neuen geheimen Clientschlüssel aus der PingOne-Anwendung ein.
  4. Klicken Sie auf Fortfahren.
    Die Seite "Geheimen Clientschlüssel validieren" wird angezeigt.
  5. Klicken Sie auf Geheimen Clientschlüssel validieren. Daraufhin wird die PingOne-Anmeldeseite geöffnet.
    Geben Sie Ihren Benutzernamen und Ihr Kennwort ein. Diese entsprechen den Anmeldeinformationen für die Ivanti Neurons-Plattform. Wenn Sie sich anmelden, wird der neue geheime Clientschlüssel validiert. Wenn der Vorgang erfolgreich war, kehren Sie zu diesem Assistenten zurück und aktualisieren Sie den geheimen Clientschlüssel. Falls der Vorgang nicht erfolgreich war, kehren Sie zurück und prüfen Sie, ob Sie den neuen geheimen Clientschlüssel richtig eingegeben haben. Weitere Fehlergründe finden Sie unter Behebung von Validierungsfehlern.
  6. Sobald Sie den neuen geheimen Clientschlüssel erfolgreich validiert haben, aktivieren Sie das Bestätigungskontrollästchen Ich habe meinen neuen geheimen Clientschlüssel erfolgreich validiert, und klicken auf Weiter.
  7. Klicken Sie auf Änderungen speichern, um den Vorgang abzuschließen. Dadurch wird der geheime Clientschlüssel mit sofortiger Wirkung aktualisiert. Sie müssen nichts weiter unternehmen.