Autenticación de PingFederate (SAML)

Actualmente Ivanti Neurons ofrece la opción de seleccionar PingFederate como proveedor de autenticación externo para su teniente. Pingfederate centraliza la experiencia de inicio de sesión del usuario final, reduce la aparición de llamadas relacionadas con la contraseña a la mesa de ayuda y produce controles granulares sobre políticas y pistas de auditoría.

Configure y habilite la autenticación externa

  1. En la plataforma de Ivanti Neurons, acceda a Administrador > Autenticación.
    Aparece la página Autenticación.

  2. En la sección Autenticación externa (SSO), haga clic en Configurar y Activar.
    Aparece la página Activar la autenticación externa (SSO).

  3. En el menú desplegable Proveedor, seleccione PingFederate.

  4. En el menú desplegable Método de inicio de sesión, seleccione Saml 2.0.

    Aparecerá Ajustes de configuración de PingFederateSAML.
    Se recomienda dejar esta pestaña abierta para futuras referencias al configurar los detalles en la consola de administración PingFederate.

  1. Inicie sesión en la consola de administración de PingFederate.

  2. Desde Aplicaciones, seleccione ConexionesSP.

  3. Haga clic en Crear conexión.

  4. En Plantilla de conexión, seleccione NO UTILIZAR UNA PLANTILLA PARA ESTA CONEXIÓN y haga clic en Siguiente.

  5. En Tipo de conexión, seleccione PERFILES SSO DEL NAVEGADOR ya que esta configuración requiere acceso al navegador.

  6. En el menú desplegable PROTOCOLO, seleccione SAML 2.0 y haga clic en Siguiente.

  7. En Opciones de conexión, seleccione EXPLORADOR SSO y haga clic en Siguiente.

  8. En Importar metadatos, seleccione Ninguno y haga clic en Siguiente.

  9. En Información general, introduzca los detalles siguientes disponibles en la pestaña de Ivanti Neurons que estaba abierta:

    • ID DE ENTIDAD DEL SOCIO (ID DE CONEXIÓN): Identificador de conexión único (ID de entidad).

    • NOMBRE DE CONEXIÓN: Identificador de idioma para esta conexión.

  10. (Opcional) Especifique varias ID de servidor virtual, mediante la URL base para configuraciones de endpoints de socios simplificadas y haga clic en Siguiente.

  11. En SSO del explorador, haga clic en Configurar SSO del explorador para configurar o editar la configuración para el SSO seguro basado en el explorador a los recursos del socio.

    1. En Perfiles SAML, seleccione SSO iniciado por SP para especificar los tipos de mensajes intercambiados entre el proveedor de identidad y el proveedor de servicios, así como los métodos de transporte (enlaces), y haga clic en Siguiente.

    2. En Duración de la afirmación, establezca el periodo de tiempo de validez antes y después de la emisión de la afirmación al SP y haga clic en Siguiente.

    3. En Creación de aserciones, haga clic en Configurar creación de aserciones para configurar aserciones SAML para el acceso SSO al sitio de su socio SP.

      1. En Asignación de identidad, seleccione Estándar y haga clic en Siguiente.

      2. En Contrato de atributo, seleccione SAMLSUBJECT y actualice los campos Extender el contrato con el siguiente conjunto de atributos de usuario obligatorios que el servidor enviará en la afirmación:

        • correo electrónico

        • given_name

        • family_name

      3. Haga clic en Siguiente.

      4. En Asignación de origen de autenticación, haga clic en Asignar nueva instancia de adaptador.

        1. En Instancia de adaptador, seleccione PingOneIdpAdaptery haga clic en Siguiente.

        2. En Método de asignación, seleccione UTILIZAR SOLO LOS VALORES DEL CONTRATO DEL ADAPTADOR EN LA ASSERTION SAML y haga clic en Siguiente.

        3. En Cumplimiento del contrato de atributo, actualice el Contrato de atributo de la siguiente manera:

          • SAML_SUBJECT: Fuente: Adaptador, Valor: nombre de usuario

          • correo electrónico: Fuente: Adaptador, Valor: correo electrónico

          • family_name: Fuente: Adaptador, Valor: name.family

          • given_name: Fuente: Adaptador, Valor: name.given

        4. Haga clic en Siguiente.

        5. En Criterios de emisión, actualice o deje los campos en blanco según sea necesario y haga clic en Siguiente.

        6. Revise los detalles en Resumen y haga clic en Listo.

      5. En Asignación de fuente de autenticación, haga clic en Siguiente.

      6. Revise los detalles en Resumen y haga clic en Listo.

    4. En Creación de afirmación, haga clic en Siguiente.

    5. En Configuración de protocolo, haga clic en Configurar ajustes de protocolo para configurar las afirmaciones SAML para el acceso SSO al sitio de su socio SP.

      1. En URL del servicio al consumidor de aserciones, copie la URL del servicio al cliente de aserciones de la plataforma de Neurons y péguela en el campo URL del endpoint en el portal de administración de PingFederate .

      2. Seleccione POST en el menú desplegable Enlazar y haga clic en Agregar > Siguiente.

      3. En Enlaces SAML permitidos, seleccione POST y haga clic en Siguiente.

      4. En Política de firma, seleccione FIRMAR RESPUESTA SEGÚN SE REQUIERA y haga clic en Siguiente.

      5. En Política de cifrado, seleccione NINGUNA y haga clic en Siguiente.

      1. Revise los detalles en Resumen y haga clic en Listo.

    6. En Configuración de protocolo, haga clic en Siguiente.

    7. Revise los detalles en Resumen y haga clic en Listo.

  1. En SSO del explorador, haga clic en Siguiente.

  2. En Credenciales, haga clic en Configurar credenciales para configurar los ajustes de Firma digital.

    1. Seleccione un certificado del menú desplegable CERTIFICADO DE FIRMA .

    2. Conserve los valores de los campos CERTIFICADO DE FIRMA SECUNDARIA y ALGORITMO DE FIRMA y haga clic en Siguiente.

    3. Revise los detalles en Resumen y haga clic en Guardar.

  1. En Credenciales, haga clic en Siguiente.

  2. Revise los detalles en Activación y Resumen y haga clic en Listo. Se muestra la página Conexiones de SP.

  3. Haga clic en Seleccionar acción en Acciones contra la nueva conexión configurada > Exportar metadatos.

  4. En Firma de metadatos, seleccione un certificado del menú desplegable CERTIFICADO DE FIRMA.

  5. Seleccione un algoritmo del menú desplegable ALGORITMO DE FIRMA y haga clic en Siguiente.

  6. Seleccione Exportar. Se descarga el archivo de metadatos.

  7. Vaya a la página Activar autenticación externa de la plataforma de Ivanti Neurons que estaba abierta y haga clic en Seleccionar archivo.

  8. Abra el archivo de metadatos descargado y haga clic en Cargar.

  9. Haga clic en Continuar para validar los ajustes.

Debe conectarse con las credenciales de PingFederate para validar sus ajustes de conexión.

  1. En la página Validar ajustes de conexión, haga clic en Ajustes de conexión. Se abre una nueva pestaña en la página de inicio de sesión de su organización. Introduzca sus credenciales de PingFederate e inicie sesión.

  2. Regrese a la página Validar ajustes de conexión y seleccione la casilla de verificación para confirmar el éxito del inicio de sesión.
    PingFederate está configurado pero no activado. Para habilitarlo, debe convertir las cuentas de la plataforma de Ivanti Neurons para usar PingFederate.

  1. Haga clic en Continuar para pasar a la página Convertir su cuenta de la plataforma de Ivanti Neurons.

  • E2018 Autenticación fallida: el usuario no ha podido autenticarse con PingFederate. Compruebe que el nombre de usuario y la contraseña son correctos y que el usuario tiene permiso de PingFederate SP Connection.

  • E2019 Reclamaciones opcionales ausentes: el paso de validación falló porque las reclamaciones opcionales adicionales no estaban presentes en el token devuelto a la plataforma de Ivanti Neurons desde PingFederate.

  • E2020 No es posible vincular la cuenta de usuario de la plataforma de Neurons: el inicio de sesión del usuario de PingFederate no coincide con el usuario de la plataforma de Ivanti Neurons. La dirección de correo electrónico de la cuenta de usuario de la plataforma de Ivanti Neurons debe coincidir con la dirección de correo electrónico que se usó para iniciar sesión en PingFederate.

  1. En la página Convertir sus cuentas de la plataforma de Ivanti Neurons, haga clic en Cerrar sesión y Habilitar. Ivanti Neurons ha finalizado su sesión.

  2. Haga clic en Iniciar sesión con PingFederate e intorduzca sus credenciales de PingFederate para completar el proceso.

  3. Ahora puede ver la aplicación PingFederate en Administrador > Autenticación con un estado Habilitado.    

  4. Haga clic en Cerrar sesión de la plataforma de Neurons.
    Ahora, cuando vuelva a iniciar sesión, se le dirigirá a PingFederate para elegir la cuenta e iniciar sesión con las credenciales de PingFederate.

Configure el aprovisionamiento automático

Habilitar el aprovisionamiento automático dará acceso automáticamente a Ivanti Neurons a todos los miembros de la conexión de PingFederate SP sin necesidad de una invitación manual. Cuando un nuevo miembro inicia sesión por primera vez, se aprovisionará una nueva cuenta en la plataforma de Ivanti Neurons en Ivanti Neurons > Miembros. Todos los nuevos miembros con aprovisionamiento automático tendrán acceso a los roles de control definidos en la instalación.

  1. En la plataforma de Ivanti Neurons, acceda a Configuración > Autenticación.
    Aparece la página Método de autenticación.

  1. En la sección Autenticación externa (SSO), haga clic en Acciones y seleccione Activar autoaprovisionamiento.

  1. En la lista desplegable Roles predeterminados, seleccione el rol de control de acceso que desee asignar a todos los nuevos miembros.
    Para configurar Roles, vaya a Ivanti Neurons > AdministradorRoles.

  1. Haga clic en Habilitar aprovisionamiento automático para confirmar la selección de roles y habilitar el aprovisionamiento automático de todos los nuevos miembros.

Una vez activado, puede editar los roles de control de acceso predeterminados y desactivar el aprovisionamiento automático. Estos cambios solo se aplicarán a los miembros incorporados después de las modificaciones y no afectarán a los miembros existentes.

Al activar el aprovisionamiento automático, todos los usuarios de registro de aplicaciones PingFederate tendrán acceso a Ivanti Neurons. Puede restringir el acceso a determinados usuarios o grupos desde la aplicación de PingFederate.

(Opcional)Actualizar metadatos (plataforma de Ivanti Neurons)

  1. En la plataforma de Ivanti Neurons, acceda a Administrador > Autenticación.
    Aparece la página Autenticación.

  2. En la sección Autenticación externa, haga clic en Acciones > Actualizar metadatos.
    Aparece la pantalla Actualizar metadatos de SAML.

  3. En Configuración de PingFederate, haga clic en Seleccionar archivo.

  4. Abra el archivo de metadatos descargado y haga clic en Cargar.

  5. Haga clic en Continuar para validar los ajustes.

  6. En la página Validar nuevos metadatos SAML , haga clic en Validar metadatos SAML.

  7. Se abre una nueva pestaña en la página de inicio de sesión de su organización. Introduzca sus credenciales e inicie sesión.
    La validación se realiza automáticamente. Si el inicio de sesión se lleva a cabo correctamente, recibirá una pantalla de confirmación.

  8. Regrese a la página Validar nuevos metadatos SAML y seleccione la casilla de verificación para confirmar el inicio de sesión exitoso.

  9. Haga clic en Continuar para pasar a la página Guardar nuevos metadatos SAML.

  10. Haga clic en Guardar cambios para completar el proceso.
    Se recibe una notificación que confirma la actualización correcta de los metadatos.

(Opcional) Eliminar método de autenticación (plataforma de Ivanti Neurons)

  1. En la plataforma de Ivanti Neurons, acceda a Administrador > Autenticación.
    Aparece la página Autenticación.

  2. En la sección Autenticación externa, haga clic en Acciones > Eliminar método de autenticación.
    Aparece la pantalla Eliminar autenticación externa.

  3. Haga clic en Cerrar sesión y autenticar de nuevo.
    Ivanti Neurons ha finalizado su sesión.

  4. Haga clic en Iniciar sesión con correo electrónico y contraseña.

  5. Introduzca las credenciales y haga clic en Iniciar sesión.

  6. Vaya a Administrador > Autenticación > Autenticación externa y luego haga clic en Acciones > Eliminar método de autenticación.
    Aparece la pantalla Eliminar autenticación externa.

  7. Haga clic en Eliminar método de autenticación.
    El método de autenticación existente ahora está eliminado.