Autenticación de Entra ID

Actualmente Ivanti Neurons ofrece la opción de seleccionar Entra ID como proveedor de autenticación externo para su abonado. Esta es una buena opción si desea centralizar el registro de experiencia del usuario final, reducir las llamadas relacionadas con contraseñas al centro de ayuda y tener un control granular sobre las políticas y auditar los trazos.

Para usar Entra ID, todos los miembros deben aceptar la solicitud para que Ivanti pueda acceder a sus datos de perfil básicos de Azure.

Configure y habilite la autenticación externa

  1. En la plataforma de Ivanti Neurons, acceda a Administración > Autenticación.
    Aparece la página Autenticación.
  2. En la sección Autenticación external (SSO), haga clic en Configurar y Activar.
    Aparece la página Activar la autenticación externa (SSO).
  3. En el menú desplegable Proveedor seleccione Entra ID.
    Aparece Ajustes de configuración de Entra ID.

Para poder continuar con la configuración de Ivanti Neurons, debe llevar a cabo primero algunos pasos en el portal de Microsoft Azure.

Para poder continuar con la configuración de Ivanti Neurons, debe llevar a cabo primero los pasos siguientes en el portal de Microsoft Azure.

Paso A: cree su solicitud de Entra ID

  1. Inicie sesión en Entra ID Admin Center como administrador de Office 365.

Si la persona que ajusta el SSO no es un administrador de Azure, el administrador de Azure debe iniciar sesión y aprobar la solicitud de aplicaciones para los permisos de lectura/inicio de sesión del usuario.

  1. En el menú de barra lateral, haga clic en Todos los servicios > Registros de aplicaciones.
    Aparece el Panel de control de registros de aplicaciones.
  2. Haga clic en Nuevo registro.
  3. Introduzca un nombre adecuado para la aplicación y acepte los tipos de cuenta predeterminados compatibles: Solo cuentas en este directorio de organización.
    Pantalla de aplicación de Microsoft Azure Register
  4. Introduzca el URI de redirección, tal como aparece en los ajustes de configuración de Entra ID de la Plataforma de Neurons.
  5. Haga clic en Registrar en la parte inferior del diálogo.
  6. Se genera y muestra un ID de aplicación (cliente).

Debe registrar el ID de la aplicación (cliente) y el ID del directorio (abonado), ya que es necesario para la fase siguiente de la configuración de Ivanti Neurons.

Paso B: configurar ajustes de autenticación

  1. Seleccione Autenticación desde el menú Registro de aplicaciones.
  2. Acceda a Ajustes avanzados.
  3. Introduzca la URL de cierre de sesión, tal como se muestra en los Ajustes de configuración de Entra ID de la Plataforma de Neurons.
  4. En la sección Autorización implícita, asegúrese de que la casilla Tokens de ID está seleccionada.
    Pantalla de flujos híbridos y de concesión implícita que muestra los tokens de ID seleccionados
  5. Haga clic en Guardar.

Paso C: crear un secreto

  1. Desde la aplicación creada, acceda a Registro de aplicaciones > Certificados y secretos.
  2. Crear Nuevo secreto de cliente.
  3. Agregar una descripción.
  4. Seleccione la duración de caducidad en línea con los estándares de su empresa.
  5. Haga clic en Agregar.
  6. Se crea un valor, debe copiarlo en algún lugar seguro porque esta es la única vez que se puede ver.

Asegúrese de que copia el Valor secreto y no secreta.

La configuración de Entra ID se ha completado y puede volver a la plataforma de Ivanti Neurons.

La vida del Secreto es limitada, por lo que su empresa debería tomar medidas para garantizar que se reemplaza antes de caducar para evitar tiempos de inactividad de Ivanti Neurons. Más información sobre cómo Actualizar secreto de cliente.

Paso D: configuración del token

Ajuste la configuración del token para que pueda utilizar el aprovisionamiento automático.

  1. Seleccione Configuración de token desde el menú Registro de aplicaciones.
  2. Seleccione Agregar reclamación opcional para abrir el panel lateral.
  3. Para el tipo de token, seleccione ID.
  4. Desde la lista Reclamaciones, seleccione correo electrónico, apellido y nombre. Esto permite obtener el correo electrónico, el nombre y apellido de un nuevo miembro de Ivanti Neurons, que es un requisito cuando se usa el aprovisionamiento automático.
  5. Haga clic en Agregar.

Después de crear la aplicación (cliente) de Entra ID, el directorio (abonado) y el secreto, podrá continuar con la configuración de la plataforma de Ivanti Neurons.

  1. Vuelva a la página de Ajustes de configuración de Entra ID (Plataforma de Ivanti Neurons > Autenticación > Autenticación externa (SSO) > Configurar y habilitar.

  2. Introduzca el ID de directorio (abonado) del registro de aplicaciones de Entra ID.
  3. Introduzca el ID de la aplicación (cliente) del registro de aplicaciones de Entra ID.
  4. Introduzca el Valor del secreto de cliente, que se generó y se guardó.
  5. Introduzca la fecha de caducidad del secreto del cliente, ésta debe coincidir con la fecha de caducidad especificada cuando se creó el secreto de cliente. Para más información, consulte Actualizar el secreto de cliente.
  6. Haga clic en Continuar para mostrar la página Validar los ajustes de conexión.

Debe conectarse con las credenciales de Entra ID para validar sus ajustes de conexión.

  1. En la página Validar ajustes de conexión, haga clic en Validar ajustes para acceder a la página de inicio de sesión de la empresa a través de una nueva pestaña, introduzca las credenciales de Entra ID y pase a iniciar sesión. Si ya ha iniciado sesión, la credenciales no son necesarias y la validación se da automáticamente, así que asegúrese de que ha iniciado sesión en la cuenta que desee autenticar.
    Si el inicio de sesión se lleva a cabo correctamente, recibirá una pantalla de confirmación.

    2. El nombre de usuario de Azure debe coincidir exactamente con el nombre de usuario de Ivanti Neurons.

  2. Volver a esta pestaña (Validar los ajustes de conexión).
  3. Seleccione la casilla Confirmo que he validado correctamente mis ajustes de conexión para confirmar que ha iniciado sesión correctamente.
  4. Haga clic en Continuar para pasar a convertir las cuentas de la plataforma de Ivanti Neurons.
    Se muestra la página de Habilitar la plataforma de Ivanti Neurons.
  • La autenticación de E2018 ha fallado: el usuario no ha podido autenticarse con Entra ID. Compruebe que el nombre de usuario y la contraseña son correctos y que el usuario tiene permiso en el Registro de aplicaciones de Entra ID.
  • E2019 Reclamaciones opcionales ausentes: el paso de validación falló porque las reclamaciones opcionales adicionales no estaban presentes en el token que se devolvió a la plataforma de Ivanti Neurons desde Entra ID.
  • E2020 No es posible vincular la cuenta de usuario de la plataforma de Neurons: el inicio de sesión del usuario de Entra ID no coincide con el usuario de la plataforma de Ivanti Neurons. La dirección de correo electrónico de la cuenta de usuario de la plataforma de Ivanti Neurons debe coincidir con la dirección de correo electrónico que se usó para iniciar sesión en Entra ID.

Entra ID está configurado pero no habilitado.

Para activarlo, debe convertir las cuentas de la plataforma de Ivanti Neurons para usar Entra ID.

  1. En la páginaHabilitar cuentas de la plataforma de Ivanti Neurons, haga clic en Cerrar sesión y Habilitar.
    Aparecerá la página Inicio de sesión de Ivanti Neurons.
  2. Seleccione Iniciar sesión con Entra ID e introduzca sus credenciales de Entra ID, la conversión se habrá completado.

    3. El mismo usuario debe configurar la autenticación Entra ID e Iniciar sesión y validar las credenciales en Ivanti Neurons, para evitar un error de Acceso denegado.

Todos los miembros recibirán un correo electrónico que confirmará la que la cuenta se ha convertido y que, de ahora en adelante, deben acceder al abonado con las credenciales de Entra ID. Si el miembro no tiene credenciales de Entra ID, no podrá acceder a Ivanti Neurons.

La Autenticación externa (SSO) ahora se mostrará con el estado Habilitado.

Configure el aprovisionamiento automático

Habilitar el aprovisionamiento automático dará acceso automáticamente a Ivanti Neurons a todos los miembros del Registro de aplicaciones de Entra ID sin necesidad de una invitación manual. Cuando un nuevo miembro inicia sesión por primera vez, se aprovisionará una nueva cuenta en la plataforma de Ivanti Neurons en Ivanti Neurons > Miembros. Todos los nuevos miembros con aprovisionamiento automático tendrán acceso a los roles de control definidos en la instalación.

  1. En la plataforma de Ivanti Neurons, acceda a Configuración > Autenticación.
    Aparece la página Método de autenticación.
  2. En la sección Autenticación externa (SSO), haga clic en Acciones y seleccione Activar autoaprovisionamiento.
  3. En la lista desplegable Roles predeterminados, seleccione el rol de control de acceso que desea asignar a todos los nuevos miembros.
    Para configurar Roles vaya a Ivanti Neurons > Administrador> Roles.
  4. Haga clic en Habilitar aprovisionamiento automático para confirmar la selección de roles y habilitar el aprovisionamiento automático de todos los nuevos miembros.

Una vez habilitado, las opciones: Editar los roles de control de acceso predeterminado y Deshabilitar aprovisionamiento automático, estarán disponibles. Cualquier edición de los roles, o deshabilitación del aprovisionamiento automático no afectará a los miembros de aprovisionamiento automático existentes, solo se aplicará a aquellos que se aprovisionaron después de realizar los cambios.

Debe configurar las Reclamaciones opcionales del Paso D: configuración del token para que funcione el aprovisionamiento automático.

Importante: después de habilitar el aprovisionamiento automático, todos los que tengan acceso al registro de la aplicación de Entra ID, tendrán acceso a Ivanti Neurons. Puede restringir el acceso a determinados usuarios o grupos desde el Portal de Entra ID. Para más información, consulte la documentación de Microsoft Azure.

Actualizar secreto de cliente

Si el secreto de cliente de Entra ID va a caducar, debe ajustar uno nuevo para seguir usando este método de autenticación.

  1. En la plataforma de Ivanti Neurons, acceda a Configuración > Autenticación.
  2. Haga clic en Acciones y seleccione Actualizar secreto de cliente.
    Aparecerá la página Actualizar secreto de cliente.
  3. Introduzca el nuevo Secreto de cliente de su aplicación de Entra ID.
  4. Introduzca la fecha para recibir un recordatorio de la caducidad del secreto de cliente. Se mostrará un banner de recordatorio en la IU y se enviará un correo electrónico a los usuarios con el rol de administrador, 28 días antes de la caducidad. Se enviarán más recordatorios 7 días antes y el día de antes de que caduque.
    Si se permite que caduque el secreto de cliente y el nuevo no se ha establecido, el acceso al servicio se interrumpirá y deberá contactar con el Soporte técnico de Ivanti para volver a tener acceso.
  5. Haga clic en Continuar.
    Aparecerá la página Validar secreto de cliente.
  6. Haga clic en Validar secreto de cliente, esto abre su página de inicio de sesión de Entra ID.
    Introduzca su nombre de usuario y contraseña, serán los mismos que las credenciales de inicio de sesión para la plataforma de Ivanti Neurons. Cuando se inicia sesión, se valida el nuevo secreto de cliente. Si se descarga correctamente, vuelva a este asistente y proceda a la actualización del secreto de cliente. Si no se completa correctamente, vuelva y compruebe si el nuevo secreto de cliente que introdujo es correcto. Para otros motivos de fallo, consulte Resolución de problemas de validación
  7. Cuando haya validado correctamente el nuevo secreto de cliente, seleccione la casilla de confirmación Confirmo que he validado correctamente mi nuevo secreto de cliente y haga clic en Continuar.
  8. Haga clic en Guardar cambio para completar el proceso. Esto actualiza el secreto de cliente y el recordatorio de caducidad con efecto inmediato, no es necesario que haya nada más.