PingOne-Authentifizierung (SAML)

Ivanti Neurons bietet derzeit die Option, PingOne als externen Authentifizierungsanbieter für Ihren Mandanten auszuwählen. PingOne bietet sich an, wenn Sie die Anmeldeerfahrung der Endbenutzer zentralisieren, kennwortbezogene Anfragen an den Helpdesk reduzieren und eine granulare Kontrolle über Richtlinien und Prüfverläufe erhalten möchten.

Konfigurieren und Aktivieren der externen Authentifizierung

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
    Die Seite Authentifizierung wird angezeigt.

  1. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Konfigurieren & aktivieren.
    Die Seite Externe Authentifizierung (SSO) aktivieren wird angezeigt.

  1. Wählen Sie aus der Dropdownliste Anbieter die Option PingOne aus.

  2. Wählen Sie im Dropdownmenü Anmeldemethode die Option SAML 2.0 aus.

    Die PingOne-SAML 2.0 Konfigurationseinstellungen werden angezeigt. Es wird empfohlen, diese Registerkarte geöffnet zu lassen, damit Sie beim Konfigurieren der Details in der PingOne Admin-Konsole schnell darauf zugreifen können.

  1. Melden Sie sich bei der PingOne-Admin-Konsole an.

  2. Wechseln Sie zu Anwendungen > Anwendungen.

  3. Klicken Sie auf , um eine neue Anwendung hinzuzufügen.
    Der Bildschirm Anwendung hinzufügen wird angezeigt.

  4. Geben Sie bei Name der Anwendung einen Namen für die SAML-App ein.

  5. Wählen Sie SAML-Anwendung aus und klicken Sie auf Konfigurieren.

  6. Wählen Sie bei SAML-Konfiguration die Option Manuell eingeben aus.

  7. Geben Sie die Werte der geöffneten Registerkarte "Ivanti Neurons" in die folgenden Felder ein:

    1. ACS-URLs: Die Assertion Consumer Service-URL.

    2. Entitäts-ID: EntityId.

  8. Klicken Sie auf Speichern.

  9. Wählen Sie die Registerkarte Attributzuordnungen aus und klicken Sie auf .

  10. Klicken Sie bei Attributzuordnung auf Hinzufügen.

  11. Aktualisieren Sie die Attribute und die PingOne-Zuordnungen wie folgt:

    1. email: E-Mail-Adresse. Wählen Sie Erforderlich > Hinzufügen aus.

    2. given_name: Vorname. Wählen Sie Erforderlich aus.

    3. family_name: Zuname. Wählen Sie Erforderlich > Hinzufügen aus.

  12. Klicken Sie auf Speichern.
    Die Anwendung wird in PingOne erstellt.

  13. Klicken Sie auf die Schaltfläche in der Nähe des Anwendungsnamens, um die Anwendung zu aktivieren.

  14. Wählen Sie die Registerkarte Konfiguration, kopieren Sie die IDP-Metadaten-URL und fügen Sie sie in das Feld Identity Provider Metadata Endpoint-URL der geöffneten Neurons-Plattform ein.

  15. Klicken Sie auf Fortfahren.

Zum Validieren der Verbindungseinstellungen müssen Sie sich mit Ihren PingOne-Anmeldeinformationen anmelden.

  1. Klicken Sie auf der Seite Verbindungseinstellungen validieren auf Einstellungen validieren.

    Die Validierung findet automatisch statt. Bei erfolgreicher Anmeldung wird eine Bestätigung angezeigt.

  2. Kehren Sie zurück zur Seite Verbindungseinstellungen validieren und markieren Sie das Kontrollkästchen, um die erfolgreiche Anmeldung zu bestätigen.

    PingOne ist jetzt konfiguriert, aber noch nicht aktiviert. Für die Aktivierung müssen Sie Ihre Ivanti Neurons-Plattformkonten für die Verwendung von PingOne konvertieren.

  3. Klicken Sie auf Weiter, um die Seite Ivanti Neurons-Plattformkonto konvertieren aufzurufen.

  • E2018 – Authentifizierung fehlgeschlagen: Dem Benutzer ist die Authentifizierung mit PingOne nicht gelungen. Vergewissern Sie sich, dass
    Prüfen Sie, ob Benutzername und Kennwort richtig sind und ob der Benutzer Berechtigungen für die PingOne-Anwendungsregistrierung besitzt.

  • E2019 – Optionale Forderungen fehlen: Der Validierungsschritt ist fehlgeschlagen, da die zusätzlichen optionalen Forderungen in dem Token, das von PingOne an die Ivanti Neurons-Plattform zurückgegeben wurde, nicht vorhanden waren.

  • E2020 – Keine Verbindung zum Neurons-Plattform-Benutzerkonto möglich: Der PingOne-Benutzername stimmt nicht mit dem der Ivanti Neurons-Plattform überein. Die E-Mail-Adresse des Ivanti Neurons-Plattform-Benutzerkontos muss mit der E-Mail-Adresse übereinstimmen, die für die Anmeldung bei PingOne verwendet wird.

  1. Klicken Sie auf der Seite Ivanti Neurons-Plattformkonten konvertieren auf Abmelden & aktivieren. Ivanti Neurons wird abgemeldet.

  2. Klicken Sie auf Mit PingOne anmelden, um den Vorgang abzuschließen.

  3. Prüfen Sie, ob die PingOne-Anwendung unter Admin > Authentifizierung mit dem Status Aktiviert angezeigt wird.

  4. Klicken Sie auf Abmelden, um sich bei der Neurons-Plattform abzumelden.
    Wenn Sie sich jetzt erneut anmelden, werden Sie zu PingOne weitergeleitet, um das Konto auszuwählen und sich mit PingOne-Anmeldeinformationen anzumelden.

Konfigurieren der automatischen Bereitstellung

Durch das Aktivieren der automatischen Bereitstellung erhalten alle Mitglieder innerhalb der PingOne-Anwendungsregistrierung automatisch Zugriff auf Ivanti Neurons, ohne dass der manuelle Einladungsprozess durchlaufen werden muss. Wenn sich ein Mitglied das erste Mal anmeldet, wird unter Ivanti Neurons > Mitglieder ein neues Ivanti Neurons-Plattformkonto angelegt. Allen neuen automatisch bereitgestellten Mitgliedern werden die im Setup definierten Zugriffskontrollregeln zugewiesen.

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Setup > Authentifizierung.
    Die Seite Authentifizierungsmethode wird angezeigt.

  1. Klicken Sie im Abschnitt Externe Authentifizierung auf Aktionen und wählen Sie Automatische Bereitstellung aktivieren aus.

  1. Wählen Sie in der Dropdownliste Standardrollen die Rolle für die Zugriffskontrolle aus, die allen neuen Mitgliedern zugewiesen werden soll.
    Rollen können Sie unter Ivanti Neurons > Admin > Rollen einrichten.

  1. Klicken Sie auf Automatische Bereitstellung aktivieren, um die Rollenauswahl zu bestätigen und die automatische Bereitstellung für alle neuen Mitglieder zu aktivieren.

Nach der Aktivierung können Sie die voreingestellten Zugriffskontrollrollen bearbeiten und die automatische Bereitstellung deaktivieren. Diese Änderungen wirken sich nur auf Mitglieder aus, die nach der Modifizierung bereitgestellt werden, nicht jedoch auf vorhandene Mitglieder.

Durch Aktivieren der automatischen Bereitstellung wird allen Benutzern der PingOne-Anwendungsregistrierung Zugriff auf Ivanti Neurons gewährt. Sie können den Zugriff innerhalb der PingOne-Anwendung auf bestimmte Benutzer oder Gruppen begrenzen.

(Optional) Metadaten aktualisieren (Ivanti Neurons Platform)

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung auf Aktionen > Metadaten aktualisieren.
    Die Seite SAML-Metadaten aktualisieren wird angezeigt.

  3. Geben Sie bei den PingOne-Konfigurationseinstellungen die Metadaten-URL bei Identity Provider Metadata Endpoint-URL ein.

  4. Klicken Sie auf Fortfahren, um die Metadaten zu validieren.

  5. Klicken Sie auf der Seite Neue SAML-Metadaten validieren auf SAML-Metadaten validieren.

  6. Eine neue Registerkarte wird auf der Anmeldeseite Ihres Unternehmens angezeigt. Geben Sie Ihre Anmeldeinformationen ein, um sich anzumelden.
    Die Validierung findet automatisch statt. Bei erfolgreicher Anmeldung wird eine Bestätigung angezeigt.

  7. Kehren Sie zurück zur Seite Neue SAML-Metadaten validieren und markieren Sie das Kontrollkästchen, um die erfolgreiche Anmeldung zu bestätigen.

  8. Klicken Sie auf Fortfahren, um die Seite Neue SAML-Metadaten speichern aufzurufen.

  9. Klicken Sie auf Änderungen speichern, um den Vorgang abzuschließen.
    Es wird eine Benachrichtigung empfangen, die bestätigt, dass der geheime Clientschlüssel aktualisiert wurde.

(Optional) Authentifizierungsmethode löschen (Ivanti Neurons Platform)

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Aktionen > Authentifizierungsmethode löschen.
    Der Bildschirm Externe Authentifizierung löschen wird angezeigt.

  3. Klicken Sie auf Abmelden & neu authentifizieren.
    Ivanti Neurons wird abgemeldet.

  4. Klicken Sie auf Mit E-Mail-Adresse und Kennwort anmelden.

  5. Geben Sie die Anmeldeinformationen ein und klicken Sie auf Anmelden.

  6. Navigieren Sie zu Admin > Authentifizierung > Externe Authentifizierung und klicken Sie auf Aktionen > Authentifizierungsmethode löschen.
    Der Bildschirm Externe Authentifizierung löschen wird angezeigt.

  7. Klicken Sie auf Authentifizierungsmethode löschen.
    Die vorhandene Authentifizierungsmethode wird gelöscht.