PingFederate Authentication (SAML)

Ivanti Neurons bietet derzeit die Option, PingFederate als externen Authentifizierungsanbieter für Ihren Mandanten auszuwählen. PingFederate bietet sich an, wenn Sie die Anmeldeerfahrung der Endbenutzer zentralisieren, kennwortbezogene Anfragen an den Helpdesk reduzieren und eine granulare Kontrolle über Richtlinien und Prüfverläufe erhalten möchten.

Konfigurieren und Aktivieren der externen Authentifizierung

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Konfigurieren & aktivieren.
    Die Seite Externe Authentifizierung (SSO) aktivieren wird angezeigt.

  3. Wählen Sie aus der Dropdownliste Anbieter die Option PingFederate aus.

  4. Wählen Sie im Dropdownmenü Anmeldemethode die Option SAML 2.0 aus.

    PingFederateSAML 2.0-Konfigurationseinstellungen wird angezeigt.
    Es wird empfohlen, diese Registerkarte geöffnet zu lassen, damit Sie beim Konfigurieren der Details in der PingFederate-Admin-Konsole schnell darauf zugreifen können.

  1. Melden Sie sich bei der PingFederate-Administrationskonsole an.

  2. Wählen Sie bei Anwendungen den Eintrag SP-Verbindungen aus.

  3. Klicken Sie auf Konfiguration erstellen.

  4. Wählen Sie bei Verbindungsvorlage den Eintrag FÜR DIESE VERBINDUNG KEINE VORLAGE VERWENDEN aus und klicken Sie auf Weiter.

  5. Wählen Sie bei Verbindungstyp den Eintrag BROWSER-SSO-PROFILE aus, da für dieses Setup Browserzugriff erforderlich ist.

  6. Wählen Sie im Dropdownmenü PROTOKOLL den Eintrag SAML 2.0 aus und klicken Sie auf Weiter.

  7. Wählen Sie bei den Verbindungsoptionen den Eintrag BROWSER-SSO aus und klicken Sie auf Weiter.

  8. Wählen Sie bei Metadaten importieren den Eintrag Keine aus und klicken Sie auf Weiter.

  9. Geben Sie auf der geöffneten Ivanti Neurons-Registerkarte bei Allgemeine Infos die folgenden Details ein:

    • ENTITÄTS-ID DES PARTNERS (VERBINDUNGS-ID): Eindeutige Verbindungskennung (Entitäts-ID).

    • VERBINDUNGSNAME: Sprachkennung für diese Verbindung.

  10. (Optional) Geben Sie mehrere virtuelle Server-IDs ein, indem Sie die Basis-URL für vereinfachte Partner-Endpunkt-Konfigurationen verwenden, und klicken Sie auf Weiter.

  11. Klicken Sie bei Browser-SSO auf Browser-SSO konfigurieren, um die Konfiguration für sicheres browserbasiertes SSO bei den Ressourcen des Partners einzurichten oder zu bearbeiten.

    1. Wählen Sie bei SAML-Profile den Eintrag SP-initiiertes SSO aus, um den Typ der Nachrichten anzugeben, die zwischen dem Identitätsanbieter und dem Dienstanbieter ausgetauscht werden, und die Transportmethoden (Bindungen) festzulegen. Klicken Sie anschließend auf Weiter.

    2. Legen Sie bei Assertionsdauer die Gültigkeitsdauer vor und nach der Ausgabe für die Zusicherung an den SP fest, und klicken Sie auf Weiter.

    3. Klicken Sie bei Assertion erstellen auf Assertionserstellung konfigurieren, um SAML-Assertionen für den SSO-Zugriff auf die Website Ihres SP-Partners einzurichten.

      1. Wählen Sie bei Identitätszuordnung den Eintrag Standard aus und klicken Sie auf Weiter.

      2. Wählen Sie bei Attributvertrag den Eintrag SAML_SUBJECT aus und aktualisieren Sie die Felder bei Vertrag verlängern mit den folgenden erforderlichen Benutzerattributen, die der Server in der Assertion senden wird:

        • E-Mail-Adresse

        • given_name

        • family_name

      3. Klicken Sie auf Weiter.

      4. Klicken Sie bei Authentifizierungsquelle zuordnen auf Neue Adapterinstanz zuordnen.

        1. Wählen Sie bei Adapterinstanz den Eintrag PingOneIdpAdapter aus und klicken Sie auf Weiter.

        2. Wählen Sie bei der Zuordnungsmethode den Eintrag NUR DIE ADAPTERVERTRAGWERTE DER SAML-ASSERTION VERWENDEN und klicken Sie auf Weiter.

        3. Aktualisieren Sie bei Erfüllung des Attributvertrags den Attributvertrag wie folgt:

          • SAML_SUBJECT: Quelle - Adapter, Wert - username

          • email: Quelle - Adapter, Wert - email

          • family_name: Quelle - Adapter, Wert - name.family

          • given_name: Quelle - Adapter, Wert - name.given

        4. Klicken Sie auf Weiter.

        5. Aktualisieren Sie ggf. die Felder bei Ausgabekriterien oder lassen Sie sie frei, und klicken Sie auf Weiter.

        6. Überprüfen Sie die Details in der Übersicht und klicken Sie auf Fertig.

      5. Klicken Sie bei Authentifizierungsquelle zuordnen auf Weiter.

      6. Überprüfen Sie die Details in der Übersicht und klicken Sie auf Fertig.

    4. Klicken Sie bei Assertion erstellen auf Weiter.

    5. Klicken Sie bei Protokolleinstellungen auf Protokolleinstellungen konfigurieren, um die SAML-Assertionen für den SSO-Zugriff auf die Website Ihres SP-Partners einzurichten.

      1. Kopieren Sie in der Assertion Consumer Service-URL die Assertion Customer Service-URL der Neurons-Plattform und fügen Sie sie in das Feld "Endpunkt-URL" auf dem PingFederate Admin-Portal ein.

      2. Wählen Sie POST aus dem Dropdownfeld "Bindung" aus und klicken Sie auf Hinzufügen > Weiter.

      3. Wählen Sie bei Zulässige SAML-Bindungen den Eintrag POST aus und klicken Sie auf Weiter.

      4. Wählen Sie bei Signaturrichtlinie den Eintrag ANTWORT BEI BEDARF SIGNIEREN aus und klicken Sie auf Weiter.

      5. Wählen Sie bei Verschlüsselungsrichtlinie den Eintrag KEINE aus und klicken Sie auf Weiter.

      1. Überprüfen Sie die Details in der Übersicht und klicken Sie auf Fertig.

    6. Klicken Sie bei den Protokolleinstellungen auf Weiter.

    7. Überprüfen Sie die Details in der Übersicht und klicken Sie auf Fertig.

  1. Klicken Sie bei Browser-SSO auf Weiter.

  2. Klicken Sie bei Anmeldeinformationen auf Anmeldeinformationen konfigurieren, um Einstellungen für die digitale Signatur einzurichten.

    1. Wählen Sie ein Zertifikat aus dem Dropdownmenü SIGNATURZERTIFIKAT aus.

    2. Übernehmen Sie die Werte der Felder SEKUNDÄRES SIGNATURZERTIFIKAT und SIGNATURALGORITHMUS und klicken Sie auf Weiter.

    3. Überprüfen Sie die Details in der Übersicht und klicken Sie auf Speichern.

  1. Klicken Sie bei Anmeldeinformationen auf Weiter.

  2. Überprüfen Sie die Details bei Aktivierung und Übersicht und klicken Sie auf Fertig. Die Seite SP-Verbindungen wird angezeigt.

  3. Klicken Sie auf Aktion auswählen unter Aktionen und wählen Sie für die neu konfigurierte Verbindung > Metadaten exportieren aus.

  4. Wählen Sie bei Metadaten signieren ein Zertifikat aus dem Dropdownmenü SIGNATURZERTIFIKAT aus.

  5. Wählen Sie einen Algorithmus aus dem Dropdownmenü SIGNATURALGORITHMUS aus und klicken Sie auf Weiter.

  6. Wählen Sie Exportieren aus. Die Metadatendatei wird heruntergeladen.

  7. Navigieren Sie zur Seite Externe Authentifizierung aktivieren der geöffneten Ivanti Neurons-Plattform und klicken Sie auf Datei auswählen.

  8. Öffnen Sie die heruntergeladene Metadatendatei und klicken Sie auf Hochladen.

  9. Klicken Sie auf Fortfahren, um die Einstellungen zu validieren.

Zum Validieren der Verbindungseinstellungen müssen Sie sich mit Ihren PingFederate-Anmeldeinformationen anmelden.

  1. Klicken Sie auf der Seite Verbindungseinstellungen validieren auf Einstellungen validieren. Eine neue Registerkarte wird auf der Anmeldeseite Ihres Unternehmens angezeigt. Geben Sie Ihre PingFederate-Anmeldeinformationen ein und melden Sie sich an.

  2. Kehren Sie zurück zur Seite Verbindungseinstellungen validieren und markieren Sie das Kontrollkästchen, um die erfolgreiche Anmeldung zu bestätigen.
    PingFederate ist jetzt konfiguriert, aber noch nicht aktiviert. Für die Aktivierung müssen Sie Ihre Ivanti Neurons-Plattformkonten für die Verwendung von PingFederate konvertieren.

  1. Klicken Sie auf Weiter, um die Seite Ivanti Neurons-Plattformkonto konvertieren aufzurufen.

  • E2018 – Authentifizierung fehlgeschlagen: Dem Benutzer ist die Authentifizierung mit PingFederate nicht gelungen. Prüfen Sie, ob Benutzername und Kennwort richtig sind und ob der Benutzer Berechtigungen für die PingFederate SP-Verbindung besitzt.

  • E2019 – Optionale Forderungen fehlen: Der Validierungsschritt ist fehlgeschlagen, da die zusätzlichen optionalen Forderungen in dem Token, das von PingFederate an die Ivanti Neurons-Plattform zurückgegeben wurde, nicht vorhanden waren.

  • E2020 – Keine Verbindung zum Neurons-Plattform-Benutzerkonto möglich: Der PingFederate-Benutzername stimmt nicht mit dem der Ivanti Neurons-Plattform überein. Die E-Mail-Adresse des Ivanti Neurons-Plattform-Benutzerkontos muss mit der E-Mail-Adresse übereinstimmen, die für die Anmeldung bei PingFederate verwendet wird.

  1. Klicken Sie auf der Seite Ivanti Neurons-Plattformkonten konvertieren auf Abmelden & aktivieren. Ivanti Neurons wird abgemeldet.

  2. Klicken Sie auf Mit PingFederate anmelden und geben Sie Ihre PingFederate-Anmeldeinformationen ein, um den Vorgang abzuschließen.

  3. Prüfen Sie, ob die PingFederate-Anwendung unter Admin > Authentifizierung mit dem Status Aktiviert angezeigt wird.    

  4. Klicken Sie auf Abmelden, um sich von der Neurons-Plattform abzumelden.
    Wenn Sie sich jetzt erneut anmelden, werden Sie zu PingFederate weitergeleitet, wo Sie das Konto auswählen und sich mit Ihren PingFederate-Anmeldeinformationen anmelden können.

Konfigurieren der automatischen Bereitstellung

Durch das Aktivieren der automatischen Bereitstellung erhalten alle Mitglieder innerhalb der PingFederate-SP-Verbindung automatisch Zugriff auf Ivanti Neurons, ohne dass der manuelle Einladungsprozess durchlaufen werden muss. Wenn sich ein Mitglied das erste Mal anmeldet, wird unter Ivanti Neurons > Mitglieder ein neues Ivanti Neurons-Plattformkonto angelegt. Allen neuen automatisch bereitgestellten Mitgliedern werden die im Setup definierten Zugriffskontrollregeln zugewiesen.

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Setup > Authentifizierung.
    Die Seite Authentifizierungsmethode wird angezeigt.

  1. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Aktionen und wählen Sie Automatische Bereitstellung aktivieren aus.

  1. Wählen Sie in der Dropdownliste Standardrollen die Rolle für die Zugriffskontrolle aus, die allen neuen Mitgliedern zugewiesen werden soll.
    Rollen können Sie unter Ivanti Neurons > Admin > Rollen einrichten.

  1. Klicken Sie auf Automatische Bereitstellung aktivieren, um die Rollenauswahl zu bestätigen und die automatische Bereitstellung für alle neuen Mitglieder zu aktivieren.

Nach der Aktivierung können Sie die voreingestellten Zugriffskontrollrollen bearbeiten und die automatische Bereitstellung deaktivieren. Diese Änderungen wirken sich nur auf Mitglieder aus, die nach der Modifizierung bereitgestellt werden, nicht jedoch auf vorhandene Mitglieder.

Durch Aktivieren der automatischen Bereitstellung wird allen Benutzern der PingFederate-Anwendungsregistrierung Zugriff auf Ivanti Neurons gewährt. Sie können den Zugriff innerhalb der PingFederate-Anwendung auf bestimmte Benutzer oder Gruppen begrenzen.

(Optional) Metadaten aktualisieren (Ivanti Neurons Platform)

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung auf Aktionen > Metadaten aktualisieren.
    Der Bildschirm SAML-Metadaten aktualisieren wird angezeigt.

  3. Klicken Sie bei den PingFederate-Konfigurationseinstellungen auf Datei auswählen.

  4. Öffnen Sie die heruntergeladene Metadatendatei und klicken Sie auf Hochladen.

  5. Klicken Sie auf Fortfahren, um die Einstellungen zu validieren.

  6. Klicken Sie auf der Seite Neue SAML-Metadaten validieren auf SAML-Metadaten validieren.

  7. Eine neue Registerkarte wird auf der Anmeldeseite Ihres Unternehmens angezeigt. Geben Sie Ihre Anmeldeinformationen ein, um sich anzumelden.
    Die Validierung findet automatisch statt. Bei erfolgreicher Anmeldung wird eine Bestätigung angezeigt.

  8. Kehren Sie zurück zur Seite Neue SAML-Metadaten validieren und markieren Sie das Kontrollkästchen, um die erfolgreiche Anmeldung zu bestätigen.

  9. Klicken Sie auf Fortfahren, um die Seite Neue SAML-Metadaten speichern aufzurufen.

  10. Klicken Sie auf Änderungen speichern, um den Vorgang abzuschließen.
    Es wird eine Benachrichtigung empfangen, die bestätigt, dass die Metadaten aktualisiert wurden.

(Optional) Authentifizierungsmethode löschen (Ivanti Neurons Platform)

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung auf Aktionen > Authentifizierungsmethode löschen.
    Der Bildschirm Externe Authentifizierung löschen wird angezeigt.

  3. Klicken Sie auf Abmelden & neu authentifizieren.
    Ivanti Neurons wird abgemeldet.

  4. Klicken Sie auf Mit E-Mail-Adresse und Kennwort anmelden.

  5. Geben Sie die Anmeldeinformationen ein und klicken Sie auf Anmelden.

  6. Navigieren Sie zu Admin > Authentifizierung > Externe Authentifizierung und klicken Sie auf Aktionen > Authentifizierungsmethode löschen.
    Der Bildschirm Externe Authentifizierung löschen wird angezeigt.

  7. Klicken Sie auf Authentifizierungsmethode löschen.
    Die vorhandene Authentifizierungsmethode wird gelöscht.