Sonstige IdP-Authentifizierung (SAML)

Ivanti Neurons bietet die Möglichkeit, einen anderen IdP (Identity Provider) als externen Authentifizierungsanbieter für Ihren Tenant auszuwählen. Zusätzlich zu den bestehenden Authentifizierungsmethoden können Sie andere IdP-Authentifizierungen als Single Sign-On (SSO)-System verwenden. Ein solches System ermöglicht es Benutzern, mit einer einzigen Anmeldung und unter Verwendung von Sicherheitstokens sicher auf Anwendungen und Ressourcen verschiedener Domänen zuzugreifen. Dies optimiert die Benutzererfahrung, verbessert die Sicherheit durch Reduzieren der Kennwortwiederverwendung und vereinfacht das Identity Management für Unternehmen.

Die Authentifizierung "Anderer IdP" unterstützt nur die SAML-basierte Anmeldemethode.

Konfigurieren und Aktivieren der externen Authentifizierung

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.

    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Konfigurieren & aktivieren.

    Die Seite Externe Authentifizierung aktivieren (SSO) wird angezeigt.

  3. Wählen Sie aus dem Dropdownmenü "Anbieter" die Option Anderer IdP aus.

    Die Anderer IdP SAML 2.0-Konfigurationseinstellungen werden angezeigt. Es wird empfohlen, diese Registerkarte geöffnet zu lassen, damit Sie beim Konfigurieren der Details in der Konsole des Identitätsanbieters schnell darauf zugreifen können.

  4. Im Abschnitt "Anderer IdP SAML 2.0-Konfigurationseinstellungen" können Sie folgende Optionen wählen:

    • Signierte Anfragen aktivieren: Aktivieren Sie diese Option, um digital signierte Anfragen an einen externen Authentifizierungsanbieter zu senden und den Anbieter zu konfigurieren, um zu überprüfen, ob die signierten Anfragen vom Ivanti Neurons Tenant stammen. Alternativ können Sie diese Option deaktivieren, um das Senden signierter Anfragen einzustellen.

    • Verschlüsselte Assertionen aktivieren: Aktivieren Sie diese Option, um verschlüsselte Benutzerinformationen vom externen Authentifizierungsanbieter zu empfangen. Sie können den Neurons Tenant so konfigurieren, dass er die Informationen entschlüsselt. Alternativ können Sie diese Option deaktivieren, um den Empfang verschlüsselter Benutzerinformationen einzustellen.

  5. Klicken Sie auf Änderungen übernehmen.
    Nachdem Sie die Änderungen übernommen haben, können Sie die Identitätsinformationen, wie z. B. die Metadaten und das Zertifikat des Dienstanbieters, für ein SAML-basiertes SSO-System (wie unten angegeben) herunterladen:

    • SP-Metadaten herunterladen: Klicken Sie auf diese Option, um die Metadaten des Service Providers (Dienstanbieters) zusammen mit dem Zertifikat im XML-Format herunterzuladen.

    • Nur Zertifikat herunterladen: Klicken Sie auf diese Option, um nur das Zertifikat herunterzuladen (im .pem-Format).

  1. Melden Sie sich bei der Konsole des IdP-Anbieters an.

  2. Erstellen Sie eine neue SAML-basierte Konfiguration, mit der Sie das SSO-System in Ivanti Neurons integrieren können.

  3. Geben Sie bei Bedarf die Details zum Anbieter ein, z. B. die Entitäts-ID und die Assertion Consumer Service-URL. Diese Informationen finden Sie auf der SSO-Konfigurationsseite von Ivanti Neurons.

    Weitere Informationen zum Herunterladen des Zertifikats finden Sie bei den Schritten des Abschnitts Externe Authentifizierung konfigurieren und aktivieren (Ivanti Neurons-Plattform).

  4. Laden Sie anschließend das Zertifikat, das Sie von Ivanti Neurons heruntergeladen haben (im .cer-Format), in den entsprechenden Abschnitt der Konsole des IdP-Anbieters hoch, um signierte Anfragen und/oder verschlüsselte Assertionen zu aktivieren. Das Zertifikat sollte sowohl für signierte Anfragen als auch für verschlüsselte Assertionen verwendet werden.

  5. Laden Sie die SAML-Metadatendatei (im XML-Format) vom Portal des Identitätsanbieters herunter.

So laden Sie die heruntergeladene Metadatendatei des Identitätsanbieters hoch:

  2. Kehren Sie zurück zu Ivanti Neurons.

  3. Klicken Sie im Abschnitt Anderer IdP SAML 2.0-Konfigurationseinstellungen auf Datei auswählen.

  4. Durchsuchen Sie die heruntergeladene SAML-Metadatendatei (im XML-Format) und klicken Sie auf Hochladen.

  5. Klicken Sie zum Fortfahren auf Fortfahren.

Stellen Sie eine Verbindung zu Ihrem IdP her, um die Verbindungseinstellungen zu validieren.

  1. Klicken Sie auf der Seite Verbindungseinstellungen validieren auf Einstellungen validieren.

    Die Validierung findet automatisch statt. Bei erfolgreicher Anmeldung wird eine Bestätigung angezeigt.

    Stellen Sie sicher, dass die in der IdP-Konsole aktivierte Option Signierte Anfragen aktivieren und/oder Verschlüsselte Assertionen aktivieren mit dem Neurons Tenant übereinstimmt. Wenn die aktivierten Optionen nicht übereinstimmen, schlägt die Validierung fehl.

  2. Kehren Sie zurück zur Seite Verbindungseinstellungen validieren und markieren Sie das Kontrollkästchen, um die Anmeldung zu bestätigen.

    Der IdP ist jetzt konfiguriert.

  3. Klicken Sie auf Weiter, um die Seite Ivanti Neurons-Plattformkonto konvertieren aufzurufen.

Der sonstige IdP ist jetzt konfiguriert, aber nicht aktiviert.

Für die Aktivierung müssen Sie Ihre Ivanti Neurons-Plattformkonten für die Verwendung eines anderen Identitätsanbieters konvertieren.

  1. Klicken Sie auf der Seite Ivanti Neurons-Plattformkonten aktivieren auf Abmelden & aktivieren.
    Die Ivanti Neurons-Anmeldeseite wird angezeigt.
  2. Wählen Sie die Option Mit anderem IdP anmelden aus und geben Sie Ihre IdP-Anmeldedaten ein. Die Konvertierung ist damit abgeschlossen.
    Melden Sie sich zur Überprüfung bei Neurons an, wechseln Sie zu Admin > Authentifizierung und vergewissern Sie sich, dass Anderer IdP als Anbieter für die externe Authentifizierung aufgeführt wird.

    3. Es muss ein und derselbe Benutzer die Anderer IdP-Authentifizierung und Anmeldung konfigurieren und die Anmeldeinformationen in Ivanti Neurons validieren, um Fehler vom Typ 'Zugriff verweigert' zu vermeiden.

Alle Mitglieder werden per E-Mail darüber informiert, dass das Konto konvertiert wurde und der Zugriff auf den Mandanten ab sofort über die Anderer IdP-Anmeldeinformationen erfolgt. Falls ein Mitglied keine Anderer IdP-Anmeldeinformationen besitzt, hat es keinen Zugriff auf Ivanti Neurons.

Die externe Authentifizierung (SSO) wird jetzt mit dem Status Aktiviert angezeigt.

Konfigurieren der automatischen Bereitstellung

Durch Aktivieren der automatischen Bereitstellung erhalten alle Mitglieder innerhalb der Anwendung des anderen IdP automatisch Zugriff auf Ivanti Neurons, ohne dass der manuelle Einladungsprozess durchlaufen werden muss. Wenn sich ein Mitglied das erste Mal anmeldet, wird unter Ivanti Neurons > Mitglieder ein neues Ivanti Neurons-Plattformkonto angelegt. Allen neuen automatisch bereitgestellten Mitgliedern werden die im Setup definierten Zugriffskontrollregeln zugewiesen.

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Setup > Authentifizierung.

    Die Seite Authentifizierungsmethode wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung auf Aktionen und wählen Sie Automatische Bereitstellung aktivieren aus.

  3. Wählen Sie aus der Dropdownliste Standardrollen die Rolle für die Zugriffskontrolle aus, die allen neuen Mitgliedern zugewiesen werden soll.

    Rollen können Sie unter Ivanti Neurons > Admin > Rollen einrichten.

  4. Klicken Sie auf Automatische Bereitstellung aktivieren, um die Rollenauswahl zu bestätigen und die automatische Bereitstellung für alle neuen Mitglieder zu aktivieren.

Nach der Aktivierung können Sie die voreingestellten Zugriffskontrollrollen bearbeiten und die automatische Bereitstellung deaktivieren. Diese Änderungen wirken sich nur auf Mitglieder aus, die nach der Modifizierung bereitgestellt werden, nicht jedoch auf vorhandene Mitglieder.

(Optional) IdP-Metadaten aktualisieren (Ivanti Neurons-Plattform)

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung auf Aktionen > IdP-Metadaten aktualisieren.
    Der Bildschirm SAML-Metadaten aktualisieren wird angezeigt.

  3. Klicken Sie unter Anderer IdP-Konfigurationseinstellungen auf Datei auswählen.

  4. Öffnen Sie die heruntergeladene Metadatendatei und klicken Sie auf Hochladen.

  5. Klicken Sie auf Fortfahren, um die Einstellungen zu validieren.

  6. Klicken Sie auf der Seite Neue SAML-Metadaten validieren auf SAML-Metadaten validieren.

  7. Eine neue Registerkarte wird auf der Anmeldeseite Ihres Unternehmens angezeigt. Geben Sie Ihre Anmeldeinformationen ein, um sich anzumelden.
    Die Validierung findet automatisch statt. Bei erfolgreicher Anmeldung wird eine Bestätigung angezeigt.

  8. Kehren Sie zurück zur Seite Neue SAML-Metadaten validieren und markieren Sie das Kontrollkästchen, um die erfolgreiche Anmeldung zu bestätigen.

  9. Klicken Sie auf Fortfahren, um die Seite Neue SAML-Metadaten speichern aufzurufen.

  10. Klicken Sie auf Änderungen speichern, um den Vorgang abzuschließen.
    Es wird eine Benachrichtigung empfangen, die bestätigt, dass die Metadaten aktualisiert wurden.

(Optional) Anbietereinstellungen aktualisieren (Ivanti Neurons-Plattform)

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.

    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung auf Aktionen > Anbietereinstellung aktualisieren.

    Die Seite SAML-Anbieter aktualisieren wird angezeigt.

  3. In den Anderer IdP-Konfigurationseinstellungen können Sie Folgendes auswählen:

    • Signierte Anfragen aktivieren: Aktivieren Sie diese Option, um digital signierte Anfragen an einen externen Authentifizierungsanbieter zu senden und den Anbieter zu konfigurieren, um zu überprüfen, ob die signierten Anfragen vom Ivanti Neurons Tenant stammen. Alternativ können Sie diese Option deaktivieren, um das Senden signierter Anfragen einzustellen.

    • Verschlüsselte Assertionen aktivieren: Aktivieren Sie diese Option, um verschlüsselte Benutzerinformationen vom externen Authentifizierungsanbieter zu empfangen. Sie können den Neurons Tenant so konfigurieren, dass er die Informationen entschlüsselt. Alternativ können Sie diese Option deaktivieren, um den Empfang verschlüsselter Benutzerinformationen einzustellen.

  4. Klicken Sie auf Änderungen übernehmen.

    Jetzt können Sie die aktualisierte Dienstanbieterdatei und das Zertifikat des Dienstanbieters je nach Ihren Anforderungen herunterladen.

  5. Klicken Sie auf Fortfahren, um die Metadaten zu validieren.

  6. Klicken Sie auf der Seite SAML-Anbietereinstellung validieren auf Einstellung validieren.

  7. Eine neue Registerkarte wird auf der Anmeldeseite Ihres Unternehmens angezeigt. Geben Sie Ihre Anmeldeinformationen ein, um sich anzumelden.

    Die Validierung findet automatisch statt. Bei erfolgreicher Anmeldung wird eine Bestätigung angezeigt.

  8. Kehren Sie zurück zur Seite Neue Anbietereinstellung validieren und aktivieren Sie das Kontrollkästchen, um die erfolgreiche Anmeldung zu bestätigen.

  9. Klicken Sie zum Fortfahren auf Fortfahren.

  10. Klicken Sie auf Änderungen speichern, um den Vorgang abzuschließen.

    Eine Benachrichtigung bestätigt, dass die Aktualisierung erfolgreich war.

(Optional) Zertifikat aktualisieren (Ivanti Neurons-Plattform)

Mit dieser Option können Sie ein abgelaufenes oder demnächst ablaufendes Zertifikat aktualisieren.

Die Verlängerungsfunktion sollte bei geringer Systemauslastung verwendet werden. Sobald Neurons das Zertifikat verlängert hat, wird es eingesetzt. Dies führt dazu, dass die Authentifizierung beim Identitätsanbieter fehlschlägt, bis der IdP so aktualisiert wurde, dass er das neue Zertifikat erwartet. Bitte planen Sie entsprechend und stellen Sie sicher, dass die Änderungen in Ihrer IdP-Software koordiniert auftreten.

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.
    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung auf Aktionen > Zertifikat aktualisieren.
    Der Bildschirm Zertifikat aktualisieren wird angezeigt.

  3. Klicken Sie auf Fortfahren.
    Die Registerkarte Aktualisieren wird angezeigt.

  4. Auf der Registerkarte Aktualisieren können Sie die Metadaten und das Zertifikat des Dienstanbieters herunterladen.

    Nachdem Sie das verschlüsselte Zertifikat heruntergeladen haben, stellen Sie sicher, dass das neue Zertifikat vor der Validierung zur Konsole des Identitätsanbieters hochgeladen wird.

  5. Klicken Sie auf Fortfahren, um zur Seite Neues Zertifikat validieren zu gelangen.

  6. Klicken Sie auf Zertifikat validieren.
    Die Validierung findet automatisch statt. Bei erfolgreicher Anmeldung wird eine Bestätigung angezeigt.

  7. Kehren Sie zurück zur Seite Verbindungseinstellungen validieren und markieren Sie das Kontrollkästchen, um die Anmeldung zu bestätigen.

  8. Klicken Sie auf Fortfahren.
    Die Seite Neues Zertifikat speichern wird angezeigt.

  9. Klicken Sie auf Änderungen speichern.

(Optional) SP-Metadaten oder Zertifikat herunterladen (Ivanti Neurons-Plattform)

Wenn die Einrichtung der externen Authentifizierung für einen anderen IdP aufgrund von Problemen oder Fehlern wiederholt werden muss, sind entweder das Zertifikat oder die SP-Metadaten erforderlich. Diese können wie folgt aus der Dropdownliste "Aktionen" von Ivanti Neurons heruntergeladen werden:

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.

    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung (SSO) auf Aktionen. Die Dropdownliste bietet folgende Optionen:

    • SP-Metadaten herunterladen: Klicken Sie auf diese Option, um die Metadaten des Service Providers (Dienstanbieters) zusammen mit dem Zertifikat im XML-Format herunterzuladen.

    • Nur Zertifikat herunterladen: Klicken Sie auf diese Option, um nur das Zertifikat herunterzuladen (im .pem-Format).

    Die SP-Metadatendatei enthält die zuletzt gespeicherte Version der Konfigurationseinstellungen des Anbieters. Das Zertifikat ist das zuletzt aktive Zertifikat.

(Optional) Authentifizierungsmethode löschen (Ivanti Neurons-Plattform)

  1. Wechseln Sie auf der Ivanti Neurons-Plattform zu Admin > Authentifizierung.

    Die Seite Authentifizierung wird angezeigt.

  2. Klicken Sie im Abschnitt Externe Authentifizierung auf Aktionen > Authentifizierungsmethode löschen.

    Der Bildschirm Externe Authentifizierung löschen wird angezeigt.

  3. Klicken Sie auf Abmelden & neu authentifizieren.

    Ivanti Neurons wird abgemeldet.

  4. Klicken Sie auf Mit E-Mail-Adresse und Kennwort anmelden.

  5. Geben Sie die Anmeldeinformationen ein und klicken Sie auf Anmelden.

  6. Navigieren Sie zu Admin > Authentifizierung > Externe Authentifizierung und klicken Sie auf Aktionen > Authentifizierungsmethode löschen.

    Der Bildschirm Externe Authentifizierung löschen wird angezeigt.

  7. Klicken Sie auf Authentifizierungsmethode löschen.

    Die vorhandene Authentifizierungsmethode wird gelöscht.