Otra autenticación de IdP (SAML)

Actualmente Ivanti Neurons ofrece la opción de seleccionar otro IdP (proveedor de identidad) como proveedor de autenticación externo para su entorno. Además de los métodos de autenticación existentes, puede utilizar otras autenticaciones de IdP como un sistema de inicio de sesión único (SSO) que permite a los usuarios acceder de forma segura a aplicaciones y recursos en diferentes dominios con un solo inicio de sesión mediante tokens de seguridad. Esto agiliza la experiencia del usuario, mejora la seguridad al reducir la reutilización de contraseñas y simplifica la administración de identidades para las organizaciones.

La autenticación Other IdP solo admite el método de inicio de sesión basado en SAML.

Configure y habilite la autenticación externa

  1. En la plataforma de Ivanti Neurons, acceda a Administrador > Autenticación.

    Aparece la página Autenticación.

  2. En la sección Autenticación externa (SSO), haga clic en Configurar y Activar.

    Aparece la página Activar la autenticación externa (SSO).

  3. En el menú desplegable Proveedor, seleccione Other IdP.

    Aparece Ajustes de configuración de Other IdP SAML 2.0 . Se recomienda dejar esta pestaña abierta para consultas futuras cuando configure los detalles en la consola del proveedor de identidad.

  4. En la sección Otros ajustes de configuración de Other IdP SAML 2.0, puede seleccionar las siguientes opciones:

    • Habilitar peticiones firmadas: habilite esta opción para enviar peticiones firmadas digitalmente a un proveedor de autenticación externo y configurar el proveedor para validar si las peticiones firmadas son del entorno de Ivanti Neurons. Como alternativa, puede deshabilitar esta opción para dejar de enviar solicitudes firmadas.

    • Habilitar afirmaciones cifradas: habilite esta opción para recibir información cifrada del usuario del proveedor de autenticación externo y puede configurar el entorno de Neurons para descifrar la información. También puede deshabilitar esta opción para dejar de recibir información cifrada del usuario.

  5. Haga clic en Aplicar cambios.
    Una vez aplicados los cambios, puede descargar la información de identidad, como metadatos y certificados del proveedor de servicios, para un sistema SSO basado en SAML, como se indica a continuación:

    • Descargar metadatos de SP: haga clic en esta opción para descargar los metadatos del proveedor de servicios junto con el certificado en formato XML.

    • Descargar solo certificado: haga clic en esta opción para descargar solo el certificado (en formato .pem).

  1. Inicie sesión en la consola del proveedor de IdP.

  2. Cree una nueva configuración basada en SAML que le permita integrar el sistema SSO con Ivanti Neurons.

  3. Cuando sea necesario, introduzca los detalles del proveedor de servicios, como el ID de entidad y la URL del servicio al consumidor de aserción. Puede encontrar esta información en la página de configuración de SSO de Ivanti Neurons.

    Para más información sobre cómo descargar el certificado, consulte los pasos de la sección Configurar y habilitar la autenticación externa (plataforma de Ivanti Neurons).

  4. A continuación, cargue el certificado que descargó de Ivanti Neurons (en formato .cer) en la sección pertinente de la consola del proveedor de IdP para habilitar Solicitudes firmadas o Aserciones cifradas. El mismo certificado se debe utilizar tanto para las solicitudes firmadas como para las aserciones cifradas.

  5. Descargue el archivo de metadatos SAML (en formato XML) desde el portal del proveedor de identidad.

Para cargar el archivo de metadatos descargado del proveedor de identidad, siga estos pasos:

  2. Regresar a Ivanti Neurons.

  3. En la sección Ajustes de configuración de Other IdP SAML 2.0, haga clic en Seleccionar archivo.

  4. Examine el archivo de metadatos SAML descargado (en formato XML) y haga clic en Cargar.

  5. A continuación, haga clic en Continuar para continuar.

Debe conectarse con las credenciales de IdP para validar sus ajustes de conexión.

  1. En la página Validar ajustes de conexión, haga clic en Ajustes de conexión.

    La validación se realiza automáticamente. Si el inicio de sesión se lleva a cabo correctamente, recibirá una pantalla de confirmación.

    Asegúrese de que la opción Habilitar solicitudes firmadas o aserciones cifradas habilitada en la consola de IdP coincida con el entorno de Neurons. Si las opciones habilitadas no coinciden, la validación fallará.

  2. Regrese a la página Validar ajustes de conexión y seleccione la casilla de verificación para confirmar el inicio de sesión.

    El IdP ahora está configurado.

  3. Haga clic en Continuar para pasar a la página Convertir su cuenta de la plataforma de Ivanti Neurons.

Other IdP está configurado pero no habilitado.

Para habilitarlo, debe convertir las cuentas de la plataforma de Ivanti Neurons para usar Other IdP.

  1. En la páginaHabilitar cuentas de la plataforma de Ivanti Neurons, haga clic en Cerrar sesión y Habilitar.
    Aparecerá la página Inicio de sesión de Ivanti Neurons.
  2. Seleccione Iniciar sesión con Other IdP e introduzca sus credenciales de IdP, la conversión se habrá completado.
    Para verificar, inicie sesión en Neurons, vaya a Administrador > Autenticación y asegúrese de que Other IdP es el proveedor de autenticación externo.

    3. El mismo usuario debe configurar la autenticación Other IdP e Iniciar sesión y validar las credenciales en Ivanti Neurons, para evitar un error de Acceso denegado.

Todos los miembros recibirán un correo electrónico que confirmará la que la cuenta se ha convertido y que, de ahora en adelante, deben acceder al teniente con las credenciales de Other IdP. Si el miembro no tiene credenciales de Other IdP, no podrá acceder a Ivanti Neurons.

La Autenticación externa (SSO) ahora se mostrará con el estado Habilitado.

Configure el aprovisionamiento automático

Habilitar el aprovisionamiento automático dará acceso automáticamente a Ivanti Neurons a todos los miembros de las aplicaciones de Other IdP sin necesidad de una invitación manual. Cuando un nuevo miembro inicia sesión por primera vez, se aprovisionará una nueva cuenta en la plataforma de Ivanti Neurons en Ivanti Neurons > Miembros. Todos los miembros nuevos con aprovisionamiento automático tendrán acceso a los roles de control definidos en la instalación.

  1. En la plataforma de Ivanti Neurons, acceda a Configuración > Autenticación.

    Aparece la página Método de autenticación.

  2. En la sección Autenticación externa, haga clic en Acciones y seleccione Activar autoaprovisionamiento.

  3. En la lista desplegable Roles predeterminados, seleccione el rol de control de acceso que desea asignar a todos los nuevos miembros.

    Para configurar Roles vaya a Ivanti Neurons > Administrador> Roles.

  4. Haga clic en Habilitar aprovisionamiento automático para confirmar la selección de roles y habilitar el aprovisionamiento automático de todos los nuevos miembros.

Una vez activado, puede editar los roles de control de acceso predeterminados y desactivar el aprovisionamiento automático. Estos cambios solo se aplicarán a los miembros incorporados después de las modificaciones y no afectarán a los miembros existentes.

(Opcional)Actualizar metadatos de IdP (plataforma de Ivanti Neurons)

  1. En la plataforma de Ivanti Neurons, acceda a Administrador > Autenticación.
    Aparece la página Autenticación.

  2. En la sección Autenticación externa, haga clic en Acciones > Actualizar metadatos de IdP.
    Aparece la pantalla Actualizar metadatos de SAML.

  3. En Ajustes de configuración de Other IdP, haga clic en Seleccionar el archivo.

  4. Abra el archivo de metadatos descargado y haga clic en Cargar.

  5. Haga clic en Continuar para validar los ajustes.

  6. En la página Validar nuevos metadatos SAML , haga clic en Validar metadatos SAML.

  7. Se abre una nueva pestaña en la página de inicio de sesión de su organización. Introduzca sus credenciales e inicie sesión.
    La validación se realiza automáticamente. Si el inicio de sesión se lleva a cabo correctamente, recibirá una pantalla de confirmación.

  8. Regrese a la página Validar nuevos metadatos SAML y seleccione la casilla de verificación para confirmar el inicio de sesión exitoso.

  9. Haga clic en Continuar para pasar a la página Guardar nuevos metadatos SAML.

  10. Haga clic en Guardar cambios para completar el proceso.
    Se recibe una notificación que confirma la actualización correcta de los metadatos.

(Opcional) Actualizar la configuración del proveedor (plataforma de Ivanti Neurons)

  1. En la plataforma de Ivanti Neurons, acceda a Administrador > Autenticación.

    Aparece la página Autenticación.

  2. En la sección Autenticación externa, haga clic en Acciones > Actualizar los ajustes del proveedor.

    Aparece la página Actualizar proveedor SAML.

  3. En Ajustes de configuración de Other IdP, puede seleccionar lo siguiente:

    • Habilitar peticiones firmadas: habilite esta opción para enviar peticiones firmadas digitalmente a un proveedor de autenticación externo y configurar el proveedor para validar si las peticiones firmadas son del entorno de Ivanti Neurons. Como alternativa, puede deshabilitar esta opción para dejar de enviar solicitudes firmadas.

    • Habilitar afirmaciones cifradas: habilite esta opción para recibir información cifrada del usuario del proveedor de autenticación externo y puede configurar el entorno de Neurons para descifrar la información. También puede deshabilitar esta opción para dejar de recibir información cifrada del usuario.

  4. Haga clic en Aplicar cambios.

    Ahora, puede descargar el archivo de metadatos del proveedor de servicios actualizado y el certificado según sus requisitos.

  5. Haga clic en Continuar para validar los metadatos.

  6. En la página Validar configuración del proveedor SAML, haga clic en Validar configuración.

  7. Se abre una nueva pestaña en la página de inicio de sesión de su organización. Introduzca sus credenciales e inicie sesión.

    La validación se realiza automáticamente. Si el inicio de sesión se lleva a cabo correctamente, recibirá una pantalla de confirmación.

  8. Regrese a la página Validar ajustes de nuevo proveedor y seleccione la casilla de verificación para confirmar el éxito del inicio de sesión.

  9. Haga clic en Continuar para continuar.

  10. Haga clic en Guardar cambios para completar el proceso.

    Se recibe una notificación que confirma la actualización correcta se ha recibido.

(Opcional)Actualizar certificado (plataforma de Ivanti Neurons)

Puede utilizar esta opción para actualizar el certificado caducado o cuando un certificado esté a punto de caducar.

La función de renovación está diseñada para utilizarse durante horas de baja utilización. Una vez que Neurons renueve el certificado, comenzará a usarlo inmediatamente. Esto provocará eventos de autenticación fallidos en el proveedor de identidad hasta que el IdP se actualice para esperar el nuevo certificado. Planifique en consecuencia y asegúrese de que se producen cambios coordinados en su software IdP.

  1. En la plataforma de Ivanti Neurons, acceda a Administrador > Autenticación.
    Aparece la página Autenticación.

  2. En la sección Autenticación externa, haga clic en Acciones > Actualizar certificado.
    Aparece la pantalla Actualizar certificado.

  3. Haga clic en Continuar.
    Aparece la pestaña Actualizar.

  4. En la pestaña Actualizar, puede descargar los metadatos y el certificado del proveedor de servicios.

    Una vez que haya descargado el certificado cifrado, asegúrese de que el nuevo certificado se cargue en la consola del proveedor de identidades antes de validar.

  5. Haga clic en Continuar para ir a la página Validar nuevo certificado.

  6. Haga clic en Validar certificado.
    La validación se realiza automáticamente. Si el inicio de sesión se lleva a cabo correctamente, recibirá una pantalla de confirmación.

  7. Regrese a la página Validar ajustes de conexión y seleccione la casilla de verificación para confirmar el inicio de sesión.

  8. Haga clic en Continuar.
    Aparece la página Guardar nuevo certificado.

  9. Haga clic en Guardar cambios.

(Opcional) Descargar metadatos o certificados de SP (plataforma de Ivanti Neurons)

Si la configuración de autenticación externa para Other IdP debe volver a realizarse debido a problemas o errores, requerirá el certificado o los metadatos de SP. Se pueden descargar desde el menú desplegable de acciones de Ivanti Neurons, como se indica a continuación:

  1. En la plataforma de Ivanti Neurons, acceda a Administrador > Autenticación.

    Aparece la página Autenticación.

  2. En la sección Autenticación externa (SSO), haga clic en Acciones. En el menú desplegable, puede hacer clic en lo siguiente:

    • Descargar metadatosde SP: haga clic en esta opción para descargar los metadatos del proveedor de servicios junto con el certificado en formato XML.

    • Descargar solo certificado: haga clic en esta opción para descargar solo el certificado (en formato .pem).

    El archivo de metadatos SP tendría la última versión guardada de los ajustes de configuración del proveedor y el certificado sería el último certificado activo.

(Opcional) Eliminar método de autenticación (plataforma de Ivanti Neurons)

  1. En la plataforma de Ivanti Neurons, acceda a Administrador > Autenticación.

    Aparece la página Autenticación.

  2. En la sección Autenticación externa (SSO), haga clic en Acciones > Eliminar método de autenticación.

    Aparece la pantalla Eliminar autenticación externa.

  3. Haga clic en Cerrar sesión y autenticar de nuevo.

    Ivanti Neurons ha finalizado su sesión.

  4. Haga clic en Iniciar sesión con correo electrónico y contraseña.

  5. Introduzca las credenciales y haga clic en Iniciar sesión.

  6. Vaya a Administrador > Autenticación > Autenticación externa y haga clic en Acciones > Eliminar método de autenticación.

    Aparece la pantalla Eliminar autenticación externa.

  7. Haga clic en Eliminar método de autenticación.

    El método de autenticación existente ahora está eliminado.