Entra ID-Authentifizierung (SAML)

Entra ID ist eine Option für externe Authentifizierung für Ihren Mandanten. Diese Option bietet sich an, wenn Sie folgende Ziele verfolgen:

  • Zentralisierung der Anmeldeerfahrung der Endbenutzer

  • Reduzierung der Kontaktaufnahmen mit dem Help Desk wegen Kennwortproblemen

  • Nutzung granularer Kontrollen über Richtlinien und Prüfverläufe

Führen Sie folgende Schritte aus, um ein Entra ID-SAML-Protokoll einzurichten:

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
    Die Seite Authentifizierung wird angezeigt.
  2. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Konfigurieren & aktivieren.
    Die Seite Externe Authentifizierung aktivieren wird angezeigt.
  3. Wählen Sie aus der Dropdownliste Anbieter die Option Entra ID aus.
  4. Wählen Sie im Dropdownmenü Anmeldemethode die Option SAML aus.
    Die Entra ID-Konfigurationseinstellungen werden angezeigt. Sie benötigen diese für die Einrichtung von Entra ID. Lassen Sie die Registerkarte daher in Ihrem Browser geöffnet. Wir werden diese in den nachstehenden Anweisungen als "Neurons" oder "Neurons-Registerkarte" bezeichnen.

Bevor Sie die Ivanti Neurons-Konfiguration fortsetzen können, müssen Sie zunächst einige Schritte im Microsoft Azure-Portal ausführen.

Wechseln Sie in einer neuen Browserregisterkarte zu Ihrem Entra ID-Mandanten:

  1. Wechseln Sie zu Enterprise-Anwendungen.

  2. Wählen Sie Neue Anwendung aus.

  3. Wählen Sie Eigene Anwendung erstellen aus.

    1. Geben Sie einen Namen ein.

    2. Wählen Sie die Option Andere Anwendung integrieren, die nicht in der Galerie gefunden wurde (Nicht-Galerie) aus.

    3. Klicken Sie auf Erstellen und warten Sie, bis Entra ID den Vorgang abgeschlossen hat.

Öffnen Sie die neu erstellte Anwendung:

  1. Wechseln Sie zu Single Sign-On.

  2. Wählen Sie SAML aus.

Lesen Sie Schritt 4, um die von Neurons bereitgestellten Angaben und den UEM-Mandanten bereitzustellen, und stellen Sie die Verbindung zwischen Entra ID und Neurons her.

Für einen sicheren Handshake müssen die Informationen zwischen Ivanti Neurons Platform und Entra ID kopiert werden. Halten Sie die Registerkarten, mit denen wir gearbeitet haben, griffbereit und schalten Sie basierend auf den nachfolgenden Anweisungen zwischen ihnen um.

Wählen Sie in EntraID die Option Bearbeiten der Kachel SAML-Basiskonfiguration aus. Auf der rechten Seite wird ein Fenster angezeigt.

  • Der Eintrag EntityID in Neurons wird in die Kennung in Entra ID kopiert. Klicken Sie auf Kennung hinzufügen, um das Textfeld im Fenster Entra ID > Bearbeiten freizulegen.

  • Der Eintrag Assertion Consumer Service-URL in Neurons wird nach Antwort-URL in Entra ID kopiert. Klicken Sie auf Antwort-URL hinzufügen, um das Textfeld freizulegen.

  • Klicken Sie auf Speichern.

Wenn ein Textfeld für einen Test angezeigt wird, lehnen Sie den Test ab, da sämtliche Einträge gemeinsam validiert werden.

Die Anwendung wird eingerichtet.

Bei den SAML-Zertifikaten im Entra ID-Mandanten wird eine App-Föderation-Metadaten-URL angezeigt. Kopieren Sie diese, wechseln Sie zu Neurons und fügen Sie sie ein in:

  • Identity Provider (IDP) Metadata Endpoint-URL

  • Klicken Sie auf Fortfahren.

Der sichere Handshake wird eingerichtet.

Definieren, wie Benutzer zu Entra ID hinzugefügt werden

Kehren Sie zurück zu Entra ID. Führen Sie links unter Eigenschaften folgende Schritte durch, um festzulegen, wie Benutzer hinzugefügt werden:

  • Prüfen Sie, ob Zuweisung erforderlich Ihren Anforderungen entspricht:

    • Ja: Der Administrator wählt aus, welche Benutzer des Mandanten sich anmelden können. Falls die Zuweisung erforderlich ist, muss der Administrator die Benutzer, die Zugriff erhalten sollen, explizit auswählen. Dies erfolgt unter Benutzer und Gruppen > Benutzername hinzufügen.

    • Nein: Jeder Benutzer des Mandanten kann sich mithilfe von Entra ID anmelden.

  • Klicken Sie auf Speichern.

Kehren Sie zurück zu Neurons.

Zum Validieren der Verbindungseinstellungen müssen Sie sich mit Ihren Entra ID-Anmeldeinformationen anmelden.

  1. Klicken Sie auf der Seite "Verbindungseinstellungen validieren" auf Einstellungen validieren, um über eine neue Registerkarte auf die Anmeldeseite Ihrer Organisation zuzugreifen. Dies ist das Azure Portal. Geben Sie Ihre Entra ID-Anmeldeinformationen ein und fahren Sie mit der Anmeldung fort. Wenn Sie bereits angemeldet sind, brauchen Sie keine Anmeldeinformationen und die Validierung erfolgt automatisch. Stellen Sie daher sicher, dass Sie an dem Konto angemeldet sind, das Sie authentifizieren möchten.
    Bei erfolgreicher Anmeldung wird eine Bestätigung angezeigt.

    2. Der Azure-Benutzername muss exakt mit dem Ivanti Neurons-Benutzernamen übereinstimmen.

  2. Schließen Sie den Bestätigungsbildschirm und kehren Sie zurück zur Registerkarte "Verbindungseinstellungen validieren" der Ivanti Neurons Platform, an der Sie zuvor gearbeitet haben.
  3. Aktivieren Sie das Kontrollkästchen bei Ich bestätige, dass ich die Verbindungseinstellungen erfolgreich validiert habe, um zu bestätigen, dass Sie sich erfolgreich angemeldet haben.
  4. Klicken Sie auf Fortfahren.

Der sichere Handshake wurde eingerichtet, validiert und funktioniert.

  • E2018 – Authentifizierung fehlgeschlagen: Dem Benutzer ist die Authentifizierung mit Entra ID nicht gelungen. Prüfen Sie, ob Benutzername und Kennwort richtig sind und der Benutzer Berechtigungen für die Entra ID-Anwendungsregistrierung besitzt.
  • E2019 – Fehlende optionale Ansprüche: Der Validierungsschritt ist fehlgeschlagen, da die zusätzlichen optionalen Ansprüche in dem Token, das von Entra ID an die Ivanti Neurons-Plattform zurückgegeben wurde, nicht vorhanden war.
  • E2020 – Keine Verbindung zum Neurons Platform-Benutzerkonto möglich: Der Entra ID-Benutzername stimmt nicht mit dem der Ivanti Neurons-Plattform überein. Die E-Mail-Adresse des Ivanti Neurons-Plattform-Benutzerkontos muss mit der E-Mail-Adresse übereinstimmen, die für die Anmeldung bei Entra ID verwendet wird.

Entra ID ist jetzt konfiguriert, jedoch noch nicht aktiviert.

Für die Aktivierung müssen Sie Ihre Ivanti Neurons-Plattformkonten für die Verwendung von Entra ID konvertieren.

  1. Klicken Sie auf der Seite Ivanti Neurons-Plattformkonten aktivieren auf Abmelden & aktivieren.
    Die Ivanti Neurons-Anmeldeseite wird angezeigt.
  2. Wählen Sie die Option Mit Entra ID anmelden aus und geben Sie Ihre Entra ID-Anmeldeinformationen ein. Damit ist die Konvertierung abgeschlossen.
    Melden Sie sich zur Überprüfung bei Neurons an, wechseln Sie zu Admin > Authentifizierung und vergewissern Sie sich, dass Entra ID als Anbieter für die externe Authentifizierung aufgeführt wird.

    3. Es muss ein und derselbe Benutzer die Entra ID-Authentifizierung und Anmeldung konfigurieren und die Anmeldeinformationen in Ivanti Neurons validieren, um Fehler vom Typ 'Zugriff verweigert' zu vermeiden.

Alle Mitglieder werden per E-Mail darüber informiert, dass das Konto konvertiert wurde und der Zugriff auf den Mandanten ab sofort über die Entra ID-Anmeldeinformationen erfolgt. Falls ein Mitglied keine Entra ID-Anmeldeinformationen besitzt, hat es keinen Zugriff auf Ivanti Neurons.

Die externe Authentifizierung (SSO) wird jetzt mit dem Status Aktiviert angezeigt.

Konfigurieren der automatischen Bereitstellung

Durch Aktivieren der automatischen Bereitstellung erhalten alle Mitglieder innerhalb der Entra ID-App-Registrierung automatisch Zugriff auf Ivanti Neurons, ohne dass der manuelle Einladungsprozess durchlaufen werden muss. Wenn sich ein Mitglied das erste Mal anmeldet, wird unter Ivanti Neurons > Mitglieder ein neues Ivanti Neurons-Plattformkonto angelegt. Allen neuen automatisch bereitgestellten Mitgliedern werden die im Setup definierten Zugriffskontrollregeln zugewiesen.

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Setup > Authentifizierung.

    Die Seite Authentifizierungsmethode wird angezeigt.
  2. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Aktionen und wählen Sie Automatische Bereitstellung aktivieren aus.
  3. Wählen Sie aus der Dropdownliste Standardrollen die Rolle für die Zugriffskontrolle aus, die allen neuen Mitgliedern zugewiesen werden soll.

    Rollen können Sie unter Ivanti Neurons > Admin > Rollen einrichten.
  4. Klicken Sie auf Automatische Bereitstellung aktivieren, um die Rollenauswahl zu bestätigen und die automatische Bereitstellung für alle neuen Mitglieder zu aktivieren.

Nach der Aktivierung sind die Optionen Standardzugriffskontroll-Rollen bearbeiten und Automatisch Bereitstellung deaktivieren verfügbar. Bearbeitete Rollen oder das Deaktivieren der automatischen Bereitstellung wirken sich nicht auf bestehende automatisch bereitgestellte Mitglieder aus, sondern nur auf jene Mitglieder, die nach den Änderungen bereitgestellt werden.

Wichtig: Nachdem die automatische Bereitstellung aktiviert wurde, haben alle Benutzer mit Zugriff auf die Entra ID-App-Registrierung Zugriff auf Ivanti Neurons. Sie können über das Entra ID-Portal den Zugriff auf bestimmte Benutzer oder Gruppen eingrenzen. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Azure.