PingFederate Authentication (OIDC)

Ivanti Neurons bietet derzeit die Option, PingFederate als externen Authentifizierungsanbieter für Ihren Mandanten auszuwählen. PingFederate bietet sich an, wenn Sie die Anmeldeerfahrung der Endbenutzer zentralisieren, kennwortbezogene Anfragen an den Helpdesk reduzieren und eine granulare Kontrolle über Richtlinien und Prüfverläufe erhalten möchten.

Konfigurieren und Aktivieren der externen Authentifizierung

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Konfigurieren & aktivieren.
    Die Seite Externe Authentifizierung (SSO) aktivieren wird angezeigt.

  3. Wählen Sie aus der Dropdownliste Anbieter die Option PingFederate aus.

  4. Wählen Sie im Dropdownmenü Anmeldemethode die Option OpenId Connect (OIDC) aus.

    Die PingFederate-Konfigurationseinstellungen werden angezeigt.
    Es wird empfohlen, diese Registerkarte geöffnet zu lassen, damit Sie beim Konfigurieren der Details in der PingFederate-Admin-Konsole schnell darauf zugreifen können.

  1. Melden Sie sich bei der PingFederate-Administrationskonsole an.

  2. Wählen Sie bei Anwendungen den Eintrag OAuth aus.

  3. Klicken Sie auf Client hinzufügen.

  4. Aktualisieren Sie bei Client die Clientkonfiguration und die Richtlinieninformationen wie folgt:

    1. CLIENT-ID: Geben Sie eine eindeutige Client-ID Ihrer Wahl ein. Kopieren Sie die Client-ID und fügen Sie sie in das Feld Client-ID der geöffneten Registerkarte "Ivanti Neurons" ein.

    2. NAME: Entspricht der CLIENT-ID.

    3. CLIENT-AUTHENTIFIZIERUNG: Wählen Sie GEHEIMER CLIENTSCHLÜSSEL aus.

    4. GEHEIMER CLIENTSCHLÜSSEL: Wählen Sie GEHEIMEN CLIENTSCHLÜSSEL ÄNDERN aus und klicken Si auf Geheimen Clientschlüssel generieren.

    5. Kopieren Sie den Wert des GEHEIMEN CLIENTSCHLÜSSELS und fügen Sie ihn in das Feld Geheimer Clientschlsüssel der geöffneten Registerkarte "Ivanti Neurons" ein.

    6. UMLEITUNGS-URIS: Kopieren Sie die Umleitungs-URI der Neurons-Plattform und fügen Sie sie in das Feld Umleitungs-URIs des OneLogin-Adminportals ein.

    7. Klicken Sie auf Hinzufügen.

    8. ZULÄSSIGE GEWÄHRUNGSTYPEN: Wählen Sie Autorisierungscode und Implizit aus.

    9. STANDARD-ZUGRIFFSTOKEN-MANAGER: Wählen Sie IvantiTestToken aus.

    10. OPENID-CONNECT: Kopieren Sie die Abmelde-URI der Neurons-Plattform und fügen Sie sie in das Feld Umleitungs-URIs nach der Abmeldung des OneLogin-Adminportals ein. Klicken Sie anschließend auf Hinzufügen.

    11. Klicken Sie auf Speichern.

  5. Wählen Sie bei SYSTEM den Eintrag Server > Protokolleinstellungen > Föderationsinfo aus, kopieren Sie die BASIS-URL und fügen Sie sie in das Feld Aussteller der geöffneten Registerkarte "Ivanti Neurons" ein.

  6. Klicken Sie auf der Registerkarte "Ivanti Neurons" auf Fortfahren, um die Einstellungen zu validieren.

Zum Validieren der Verbindungseinstellungen müssen Sie sich mit Ihren PingFederate-Anmeldeinformationen anmelden.

  1. Klicken Sie auf der Seite Verbindungseinstellungen validieren auf Einstellungen validieren. Eine neue Registerkarte wird auf der Anmeldeseite Ihres Unternehmens angezeigt. Enter your PingFederate credentials and click Sign On.

  2. Vergewissern Sie sich, dass auf der Seite Antrag auf Genehmigung Folgendes ausgewählt ist:

    • ZUGRIFF AUF IHREN BENUTZERNAMEN

    • OPENID-BEREICH

    • PROFILBEREICH

    • E-MAIL-BEREICH

  3. Klicken Sie auf Zulassen.

  4. Kehren Sie zurück zur Seite Verbindungseinstellungen validieren und markieren Sie das Kontrollkästchen, um die erfolgreiche Anmeldung zu bestätigen.
    PingFederate credentials are now configured, but it is not enabled. Für die Aktivierung müssen Sie Ihre Ivanti Neurons-Plattformkonten für die Verwendung von PingFederate konvertieren.

  5. Klicken Sie auf Weiter, um die Seite Ivanti Neurons-Plattformkonto konvertieren aufzurufen.

  • E2018 – Authentifizierung fehlgeschlagen: Dem Benutzer ist die Authentifizierung mit PingFederate nicht gelungen. Prüfen Sie, ob Benutzername und Kennwort richtig sind und ob der Benutzer Berechtigungen für die PingFederate SP-Verbindung besitzt.

  • E2019 – Optionale Forderungen fehlen: Der Validierungsschritt ist fehlgeschlagen, da die zusätzlichen optionalen Forderungen in dem Token, das von PingFederate an die Ivanti Neurons-Plattform zurückgegeben wurde, nicht vorhanden waren.

  • E2020 – Keine Verbindung zum Neurons-Plattform-Benutzerkonto möglich: Der PingFederate-Benutzername stimmt nicht mit dem der Ivanti Neurons-Plattform überein. Die E-Mail-Adresse des Ivanti Neurons-Plattform-Benutzerkontos muss mit der E-Mail-Adresse übereinstimmen, die für die Anmeldung bei PingFederate verwendet wird.

  1. Klicken Sie auf der Seite Ivanti Neurons-Plattformkonten konvertieren auf Abmelden & aktivieren. Ivanti Neurons wird abgemeldet.

  2. Klicken Sie auf Mit PingFederate anmelden und geben Sie Ihre PingFederate-Anmeldeinformationen ein, um den Vorgang abzuschließen.

  3. Prüfen Sie, ob die PingFederate-Anwendung unter Admin > Authentifizierung mit dem Status Aktiviert angezeigt wird.    

  4. Klicken Sie auf Abmelden, um sich von der Neurons-Plattform abzumelden.
    Wenn Sie sich jetzt erneut anmelden, werden Sie zu     PingFederate to choose the account and sign in with PingFederate credentials.

Stellen Sie sicher, dass das Feld Vertragserfüllung bei Anwendungen > OAuth > Zugriffstokenzuordnungen > IdP-Adapter: PingOneIdpAdapter > Zugriffstokenzuordnung die Benutzerattribute email, given_name und family_name beinhaltet.

Konfigurieren der automatischen Bereitstellung

Durch das Aktivieren der automatischen Bereitstellung erhalten alle Mitglieder innerhalb der PingOne-Anwendungsregistrierung automatisch Zugriff auf Ivanti Neurons, ohne dass der manuelle Einladungsprozess durchlaufen werden muss. Wenn sich ein Mitglied das erste Mal anmeldet, wird unter Ivanti Neurons > Mitglieder ein neues Ivanti Neurons-Plattformkonto angelegt. Allen neuen automatisch bereitgestellten Mitgliedern werden die im Setup definierten Zugriffskontrollregeln zugewiesen.

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Setup > Authentifizierung.
    Die Seite Authentifizierungsmethode wird angezeigt.

  1. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Aktionen und wählen Sie Automatische Bereitstellung aktivieren aus.

  1. Wählen Sie in der Dropdownliste Standardrollen die Rolle für die Zugriffskontrolle aus, die allen neuen Mitgliedern zugewiesen werden soll.
    Rollen können Sie unter Ivanti Neurons > Admin > Rollen einrichten.

  1. Klicken Sie auf Automatische Bereitstellung aktivieren, um die Rollenauswahl zu bestätigen und die automatische Bereitstellung für alle neuen Mitglieder zu aktivieren.

Nach der Aktivierung können Sie die voreingestellten Zugriffskontrollrollen bearbeiten und die automatische Bereitstellung deaktivieren. Diese Änderungen wirken sich nur auf Mitglieder aus, die nach der Modifizierung bereitgestellt werden, nicht jedoch auf vorhandene Mitglieder.

Durch Aktivieren der automatischen Bereitstellung wird allen Benutzern der PingFederate-Anwendungsregistrierung Zugriff auf Ivanti Neurons gewährt. Sie können den Zugriff innerhalb der PingFederate-Anwendung auf bestimmte Benutzer oder Gruppen begrenzen.

(Optional) Geheimen Clientschlüssel aktualisieren (Ivanti Neurons Platform)

Falls der geheime Clientschlüssel für Google demnächst abläuft, müssen Sie einen neuen festlegen, damit Sie diese Authentifizierungsmethode weiterhin verwenden können.

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung..
    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung auf Aktionen > Geheimen Clientschlüssel aktualisieren..
    Die     Seite Geheimen Clientschlüssel aktualisieren wird angezeigt.

  3. Geben Sie den neuen geheimen Clientschlüssel, den Sie von der Google-Anwendung erhalten haben, in das Feld Wert für den geheimen Clientschlüssel der Ivanti Neurons-Plattform ein.

  4. Klicken Sie auf Fortfahren, um den geheimen Clientschlüssel zu validieren.

  5. Klicken Sie auf der Seite Neuen geheimen Clientschlüssel validieren auf Geheimen Clientschlüssel validieren.Eine neue Registerkarte wird auf der Anmeldeseite Ihres Unternehmens angezeigt.

  6. Enter your PingFederate credentials and click Sign On.

  7. Vergewissern Sie sich, dass auf der Seite Antrag auf Genehmigung Folgendes ausgewählt ist:

    1. ZUGRIFF AUF IHREN BENUTZERNAMEN

    2. OPENID-BEREICH

    3. PROFILBEREICH

    4. E-MAIL-BEREICH

  8. Klicken Sie auf Zulassen.

    Wenn der Vorgang erfolgreich war, kehren Sie zu diesem Assistenten zurück und aktualisieren Sie den geheimen Clientschlüssel.
    Falls diese fehlschlägt, vergewissern Sie sich, dass Sie den neuen geheimen Clientschlüssel korrekt eingegeben haben. Weitere Fehlerursachen finden Sie unter Behebung von Validierungsfehlern.

  9. Kehren Sie zurück zur Seite Neuen geheimen Clientschlüssel validieren und markieren Sie das Kontrollkästchen, um die erfolgreiche Anmeldung zu bestätigen.

  10. Klicken Sie auf Fortfahren, um die Seite Neuen geheimen Clientschlüssel speichern aufzurufen.

  11. Klicken Sie auf Änderungen speichern, um den Vorgang abzuschließen.
    Es wird eine Benachrichtigung empfangen, die bestätigt, dass der geheime Clientschlüssel aktualisiert wurde.

(Optional) Authentifizierungsmethode löschen (Ivanti Neurons Platform)

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung auf Aktionen > Authentifizierungsmethode löschen.
    Der Bildschirm Externe Authentifizierung löschen wird angezeigt.

  3. Klicken Sie auf Abmelden & neu authentifizieren.
    Ivanti Neurons wird abgemeldet.

  4. Klicken Sie auf Mit E-Mail-Adresse und Kennwort anmelden.

  5. Geben Sie die Anmeldeinformationen ein und klicken Sie auf Anmelden.

  6. Navigieren Sie zu Admin > Authentifizierung > Externe Authentifizierung und klicken Sie auf Aktionen > Authentifizierungsmethode löschen.
    Der Bildschirm Externe Authentifizierung löschen wird angezeigt.

  7. Klicken Sie auf Authentifizierungsmethode löschen.
    Die vorhandene Authentifizierungsmethode wird gelöscht.