Autenticación de Entra ID (SAML)

Entra ID es una opción de proveedor de autenticación externa para su abonado. Esta es una buena opción si desea hacer lo siguiente:

  • Centralice la experiencia de inicio de sesión del usuario final.

  • Reducir la ocurrencia de llamadas al servicio de asistencia técnica relacionadas con contraseñas.

  • Tenga controles granulares sobre políticas y registros de auditoría.

A continuación se detallan los pasos para establecer un protocolo de Entra ID - SAML:

  1. En la plataforma de Ivanti Neurons, acceda a Administración > Autenticación.
    Aparece la página Autenticación.
  2. En la sección Autenticación external (SSO), haga clic en Configurar y Activar.
    Aparece la página Activar la autenticación externa.
  3. En el menú desplegable Proveedor seleccione Entra ID.
  4. En el menú desplegable Método de inicio de sesión, seleccione SAML
    Aparece Ajustes de configuración de Entra ID. Los necesitará al configurar Entra ID, así que mantenga esta pestaña abierta en el navegador. En las siguientes instrucciones se hace referencia a esto como "Neurons" o "pestaña de Neurons".

Para poder continuar con la configuración de Ivanti Neurons, debe llevar a cabo primero algunos pasos en el portal de Microsoft Azure.

En una nueva pestaña del explorador, vaya a su abonado de Entra ID:

  1. Vaya a Aplicaciones de empresa

  2. Seleccione Nueva aplicación

  3. Seleccione Crear su propia aplicación.

    1. Introduzca un nombre.

    2. Seleccione la opción: "Integrar cualquier otra aplicación que no encuentre en la galería (no galería)".

    3. Haga clic en Crear y espere a que finalice Entra ID.

Abra la aplicación recién creada:

  1. Vaya a Inicio de sesión único

  2. Seleccione SAML.

Consulte el Paso 4 para proporcionar los detalles proporcionados por Neurons, el abonado de UEM, y establecer la conexión entre Entra ID y Neurons.

Es necesario copiar información entre la Plataforma de Ivanti Neurons y Entra ID para establecer un protocolo de enlace seguro. Tenga disponibles ambas pestañas en las que hemos estado trabajando y alterne entre ellas según las siguientes instrucciones.

En EntraID, seleccione Editar en el mosaico Configuración básica de SAML. Aparecerá una ventana a la derecha.

  • EntityID en Neurons se copiará a Identificador en Entra ID. Haga clic en Agregar identificador para revelar el cuadro de texto en la ventana Entra ID > Editar.

  • La URL del servicio de consumidor de afirmaciones en Neurons se copiará a la URL de respuesta en Entra ID. Vuelva a hacer clic en Agregar URL de respuesta para revelar el cuadro de texto.

  • Haga clic en Guardar.

Cuando aparezca un cuadro de texto para probar, seleccione la opción rechazar ya que todas las entradas se validarán juntas.

Esto configura la aplicación.

En los certificados SAML del abonado de Entra ID, se proporciona una URL de metadatos de App Federation. Copiar y cambiar a Neurons, luego pegar en:

  • URL del endpoint de metadatos del proveedor de identidad (IDP)

  • Haga clic en Continuar.

Se ha configurado el protocolo de enlace seguro.

Definir cómo se agregan los usuarios a Entra ID

Regresar a Entra ID. En el menú de la izquierda, en Propiedades, haga lo siguiente para definir cómo se agregan los usuarios:

  • Verifique que Asignación requerida esté configurada según sus necesidades:

    • : el administrador elige qué usuarios del abonado pueden iniciar sesión. Si se requiere asignación, el administrador deberá seleccionar explícitamente los usuarios que pueden iniciar sesión. Esto se logra en Usuarios y grupos > Agregar nombre de usuario.

    • No: cualquier usuario del abonado puede iniciar sesión mediante Entra ID.

  • Haga clic en Guardar.

Regresar a Neurons.

Debe conectarse con las credenciales de Entra ID para validar sus ajustes de conexión.

  1. En la página Validar ajustes de conexión, haga clic en Validar ajustes para acceder a la página de inicio de sesión de su organización a través de una pestaña nueva. Este es el Portal de Azure. Introduzca sus credenciales de Entra ID y continúe con el inicio de sesión. Si ya ha iniciado sesión, la credenciales no son necesarias y la validación se da automáticamente, así que asegúrese de que ha iniciado sesión en la cuenta que desee autenticar.
    Si el inicio de sesión se lleva a cabo correctamente, recibirá una pantalla de confirmación.

    2. El nombre de usuario de Azure debe coincidir exactamente con el nombre de usuario de Ivanti Neurons.

  2. Cierre la pantalla de confirmación y regrese a la pestaña Validar configuración de conexión en la Plataforma de Ivanti Neurons, donde ha estado trabajando.
  3. Seleccione la casilla de verificación de Confirmo que he validado con éxito mis ajustes de conexión para confirmar que ha iniciado sesión correctamente.
  4. Haga clic en Continuar.

El protocolo de enlace seguro está establecido, validado y funcionando.

  • La autenticación de E2018 ha fallado: el usuario no ha podido autenticarse con Entra ID. Compruebe que el nombre de usuario y la contraseña son correctos y que el usuario tiene permiso en el Registro de aplicaciones de Entra ID.
  • E2019 Reclamaciones opcionales ausentes: el paso de validación falló porque las reclamaciones opcionales adicionales no estaban presentes en el token que se devolvió a la plataforma de Ivanti Neurons desde Entra ID.
  • E2020 No es posible vincular la cuenta de usuario de la plataforma de Neurons: el inicio de sesión del usuario de Entra ID no coincide con el usuario de la plataforma de Ivanti Neurons. La dirección de correo electrónico de la cuenta de usuario de la plataforma de Ivanti Neurons debe coincidir con la dirección de correo electrónico que se usó para iniciar sesión en Entra ID.

Entra ID está configurado pero no habilitado.

Para activarlo, debe convertir las cuentas de la plataforma de Ivanti Neurons para usar Entra ID.

  1. En la páginaHabilitar cuentas de la plataforma de Ivanti Neurons, haga clic en Cerrar sesión y Habilitar.
    Aparecerá la página Inicio de sesión de Ivanti Neurons.
  2. Seleccione Iniciar sesión con Entra ID e introduzca sus credenciales de Entra ID, la conversión se habrá completado.
    Para verificar, inicie sesión en Neurons, vaya a Administrador > Autenticación y asegúrese de que Entra ID es el proveedor de autenticación externo.

    3. El mismo usuario debe configurar la autenticación Entra ID e Iniciar sesión y validar las credenciales en Ivanti Neurons, para evitar un error de Acceso denegado.

Todos los miembros recibirán un correo electrónico que confirmará la que la cuenta se ha convertido y que, de ahora en adelante, deben acceder al abonado con las credenciales de Entra ID. Si el miembro no tiene credenciales de Entra ID, no podrá acceder a Ivanti Neurons.

La Autenticación externa (SSO) ahora se mostrará con el estado Habilitado.

Configure el aprovisionamiento automático

Habilitar el aprovisionamiento automático dará acceso automáticamente a Ivanti Neurons a todos los miembros del Registro de aplicaciones de Entra ID sin necesidad de una invitación manual. Cuando un nuevo miembro inicia sesión por primera vez, se aprovisionará una nueva cuenta en la plataforma de Ivanti Neurons en Ivanti Neurons > Miembros. Todos los nuevos miembros con aprovisionamiento automático tendrán acceso a los roles de control definidos en la instalación.

  1. En la plataforma de Ivanti Neurons, acceda a Configuración > Autenticación.

    Aparece la página Método de autenticación.
  2. En la sección Autenticación externa (SSO), haga clic en Acciones y seleccione Activar autoaprovisionamiento.
  3. En la lista desplegable Roles predeterminados, seleccione el rol de control de acceso que desea asignar a todos los nuevos miembros.

    Para configurar Roles vaya a Ivanti Neurons > Administrador> Roles.
  4. Haga clic en Habilitar aprovisionamiento automático para confirmar la selección de roles y habilitar el aprovisionamiento automático de todos los nuevos miembros.

Una vez habilitado, las opciones: Editar los roles de control de acceso predeterminado y Deshabilitar aprovisionamiento automático, estarán disponibles. Cualquier edición de los roles, o deshabilitación del aprovisionamiento automático no afectará a los miembros de aprovisionamiento automático existentes, solo se aplicará a aquellos que se aprovisionaron después de realizar los cambios.

Importante: después de habilitar el aprovisionamiento automático, todos los que tengan acceso al registro de la aplicación de Entra ID, tendrán acceso a Ivanti Neurons. Puede restringir el acceso a determinados usuarios o grupos desde el Portal de Entra ID. Para más información, consulte la documentación de Microsoft Azure.