Autenticación de ADFS (SAML)

1. En la plataforma de Ivanti Neurons, acceda a Administrador > Autenticación.

   Aparece la página Autenticación.

2. En la sección Autenticación externa (SSO), haga clic en Configurar y Activar.

   Aparece la página Activar la autenticación externa (SSO).

3. En el menú desplegable Proveedor, seleccione ADFS.

   Aparece la página Ajustes de configuración de ADFS SAML 2.0. Se recomienda dejar esta pestaña abierta para consultas futuras cuando configure los detalles en la consola de ADFS Service Manager.
   

4. En la sección Ajustes de configuración de ADFS SAML 2.0, puede seleccionar las siguientes opciones:

   • Habilitar solicitudes firmadas: habilite esta opción para enviar solicitudes firmadas digitalmente a un proveedor de autenticación externo y configurar el proveedor para validar si las solicitudes firmadas son del entorno de Ivanti Neurons. Como alternativa, puede deshabilitar esta opción para dejar de enviar solicitudes firmadas.

   • Habilitar afirmaciones cifradas: habilite esta opción para recibir información cifrada del usuario del proveedor de autenticación externo y puede configurar el entorno de Neurons para descifrar la información. También puede deshabilitar esta opción para dejar de recibir información cifrada del usuario.

5. Haga clic en Aplicar cambios.
   Una vez aplicados los cambios, puede descargar la información de identidad, como metadatos y certificados del proveedor de servicios, para un sistema SSO basado en SAML, como se indica a continuación:

• Descargar metadatosde SP: haga clic en esta opción para descargar los metadatos del proveedor de servicios junto con el certificado en formato XML.

• Descargar solo certificado: haga clic en esta opción para descargar solo el certificado (en formato .pem).

1. Inicie sesión en la consola del Administrador de servicios de ADFS.
   Aparece el panel de control.

2. Desde el panel del administrador de servicios, vaya a Herramientas > Administración de AD FS.
   Aparece el asistente de administración de AD FS.

3. En la sección Acciones, expanda AD FS y seleccione la opción Agregar confianza de parte dependiente.

   Aparece el Asistente para agregar confianza de parte dependiente con varios pasos para realizar la configuración.

4. En el paso Bienvenida, seleccione la opción Compatible con notificaciones y haga clic en Iniciar.

5. En el paso Seleccionar origen de datos, seleccione Introducir datos sobre la confianza de la parte dependiente manualmente. A continuación, haga clic en Siguiente.

6. En el paso Especificar nombre de visualización, introduzca un nombre para la confianza de la parte dependiente. A continuación, haga clic en Siguiente.

7. En el paso Configurar certificado, puede cargar el certificado de cifrado (en formato .cer) que descargó de Ivanti Neurons.
   Para cargar un certificado de cifrado, haga clic en Examinar. Esto configura las afirmaciones cifradas para ADFS. A continuación, haga clic en Siguiente.

   Para más información sobre cómo descargar el certificado, consulte los pasos de la sección Configurar y habilitar la autenticación externa (plataforma de Ivanti Neurons).

8. En el paso Configurar URL, seleccione Habilitar soporte para las opciones del protocolo SAML 2.0 WebSSO y copie y pegue la URL del servicio desde Plataforma de Neurons. A continuación, haga clic en Siguiente.

   Para la URL de servicio, vuelva a Ivanti Neurons y copie la URL de Assertion Consumer Service desde la sección Ajustes de configuración de ADFS SAML 2.0.

9. En el paso Configurar identificadores, introduzca el identificador de confianza de la parte dependiente y haga clic en Agregar. A continuación, haga clic en Siguiente.

   Para el identificador de confianza de la parte dependiente, vuelva a Ivanti Neurons y copie el id de entidad en la sección Ajustes de configuración de ADFS SAML 2.0.

10. En el paso Elegir política de control de acceso, elija una política en la sección Elegir una política de control de acceso según los requisitos de su organización. A continuación, haga clic en Siguiente para completar la configuración.

    Esto cierra el Asistente de confianza de la parte dependiente y crea la configuración de confianza de la parte dependiente.

1. En el asistente de administración de AD FS, seleccione la carpeta Confianzas de las partes de confianza.
   Esto muestra la configuración de confianza de la parte dependiente que creó.

2. Haga doble clic en la configuración de confianza de la parte dependiente que creó y acceda a la pestaña Firma.

3. Haga clic en Agregar para explorar y cargar el certificado de verificación de firma.

   Para más información sobre cómo descargar el certificado, consulte los pasos de la sección Configurar y habilitar la autenticación externa (plataforma de Ivanti Neurons).

Asegúrese de que la configuración de ADFS incluya las afirmaciones requeridas que sean aplicables a Ivanti Neurons.

1. En el asistente de administración de AD FS, haga clic en la opción Editar política de emisión de reclamaciones en la sección Acciones.

   El asistente Editar política de emisión de reclamaciones para la configuración de confianza de la parte dependiente seleccionada que creó.

2. Haga clic en Agregar regla.

   Aparece el Asistente para agregar reglas de reclamación de transformación con los pasos de configuración.

3. En el paso Elegir tipo de regla, seleccione la opción Enviar atributos LDAP como reclamaciones y haga clic en Siguiente.

4. En el paso Configurar regla de reclamación, introduzca un nombre de reclamación, seleccione el almacén de atributos y realice las asignaciones necesarias para los atributos LDAP.

   Asegúrese de que las siguientes asignaciones estén configuradas:

   • Dirección de correo electrónico > Dirección de correo electrónico

   • Nombre > Nombre

   • Apellido > Apellido

   • Direcciones de correo electrónico > ID de nombre

5. A continuación, haga clic en Finalizar.
   Aparece el asistente Editar política de emisión de reclamaciones.

6. Haga clic en Aplicar.

Una vez completada la configuración de ADFS, debe aplicar la URL del punto de conexión de metadatos del proveedor de identidad en la aplicación Ivanti Neurons.

1. Identifique y copie la URL de metadatos de su proveedor de ADFS.

   La URL de metadatos de IdP de su proveedor de ADFS tendrá el siguiente formato:
   https://<adfs-federation-service-name>/FederationMetadata/2007-06/FederationMetadata.xml"

2. Vuelva a Ivanti Plataforma de Neurons y pegue la URL en el campo URL del punto de conexión de metadatos del proveedor de identidad.
   Esto validará la URL.

3. Haga clic en Continuar para continuar.

Debe conectarse con las credenciales del servidor ADFS para validar sus ajustes de conexión.

1. En la página Validar ajustes de conexión, haga clic en Ajustes de conexión.

   La validación se realiza automáticamente. Si el inicio de sesión se lleva a cabo correctamente, recibirá una pantalla de confirmación.

2. Regrese a la página Validar ajustes de conexión y seleccione la casilla de verificación para confirmar el éxito del inicio de sesión.

3. Haga clic en Continuar para pasar a la página Convertir su cuenta de la plataforma de Ivanti Neurons.

ADFS está configurado pero no habilitado.

Para habilitarlo, debe convertir las cuentas de la plataforma de Ivanti Neurons para usar ADFS.

1. En la páginaHabilitar cuentas de la plataforma de Ivanti Neurons, haga clic en Cerrar sesión y Habilitar.
   Aparecerá la página Inicio de sesión de Ivanti Neurons.
2. Seleccione Iniciar sesión con ADFS e introduzca sus credenciales de ADFS, la conversión se habrá completado.
   Para verificar, inicie sesión en Neurons, vaya a Administrador > Autenticación y asegúrese de que ADFS es el proveedor de autenticación externo.
   

El mismo usuario debe configurar la autenticación ADFS e Iniciar sesión y validar las credenciales en Ivanti Neurons, para evitar un error de Acceso denegado.

Todos los miembros recibirán un correo electrónico que confirmará la que la cuenta se ha convertido y que, de ahora en adelante, deben acceder al teniente con las credenciales de ADFS. Si el miembro no tiene credenciales de ADFS, no podrá acceder a Ivanti Neurons.

La Autenticación externa (SSO) ahora se mostrará con el estado Habilitado.

1. En la plataforma de Ivanti Neurons, acceda a Configuración > Autenticación.

   Aparece la página Método de autenticación.

2. En la sección Autenticación externa, haga clic en Acciones y seleccione Activar autoaprovisionamiento.

3. En la lista desplegable Roles predeterminados, seleccione el rol de control de acceso que desea asignar a todos los nuevos miembros.

   Para configurar Roles vaya a Ivanti Neurons > Administrador> Roles.

4. Haga clic en Habilitar aprovisionamiento automático para confirmar la selección de roles y habilitar el aprovisionamiento automático de todos los nuevos miembros.