Authentification ADFS (SAML)

Actuellement, Ivanti Neurons vous permet de choisir ADFS (Active Directory Federation Services) comme fournisseur d'authentification externe pour votre locataire. L'authentification ADFS est un système SSO (Single Sign-On) qui permet aux utilisateurs d'accéder en toute sécurité aux applications et aux ressources de différents domaines via une seule connexion avec des jetons de sécurité. Cela rationalise l'expérience utilisateur, renforce la sécurité en réduisant la réutilisation des mots de passe et simplifie la gestion des identités pour les entreprises.

L'authentification ADFS prend uniquement en charge la méthode de connexion SAML.

Configuration et activation de l'authentification externe

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.

    La page Authentification apparaît.

  2. Dans la section Authentification externe (SSO), cliquez sur Configurer et activer.

    La page Activer l'authentification externe (SSO) s'ouvre.

  3. Dans la liste déroulante Fournisseur, sélectionnez ADFS.

    La page Paramètres de configuration ADFS SAML 2.0 s'affiche. Il est recommandé de laisser cet onglet ouvert pour référence ultérieure lorsque vous configurez les détails dans la console ADFS Service Manager.

  4. Dans la section Paramètres de configuration ADFS SAML 2.0, vous pouvez sélectionner les options suivantes :

    • Activer les demandes signées : Activez cette option pour envoyer des demandes signées numériquement à un fournisseur d'authentification externe et configurer ce fournisseur pour vérifier si les demandes signées proviennent du locataire Ivanti Neurons. Vous pouvez également désactiver cette option pour arrêter l'envoi des demandes signées.

    • Activer les assertions cryptées : Activez cette option pour recevoir des informations d'utilisateur cryptées de la part du fournisseur d'authentification externe, et pour configurer le locataire Neurons afin de décrypter les informations. Vous pouvez également désactiver cette option pour arrêter de recevoir des informations d'utilisateur cryptées.

  5. Cliquez sur Appliquer les changements.
    Une fois les changements appliqués, vous pouvez télécharger les informations d'identité, comme les métadonnées et le certificat du fournisseur de services, pour un système SSO SAML, comme indiqué ci-dessous :

    • Télécharger les métadonnées SP : Cliquez sur cette option pour télécharger les métadonnées du fournisseur de services avec le certificat au format XML.

    • Télécharger le certificat uniquement : Cliquez sur cette option pour télécharger uniquement le certificat (au format .pem).

  1. Connectez-vous à la console ADFS Service Manager.
    Le tableau de bord s'affiche.

  2. Dans le tableau de bord Service Manager, accédez à Outils > Gestion ADFS.
    L'assistant de gestion ADFS s'affiche.

  3. Dans la section Actions, développez ADFS et sélectionnez l'option Ajouter la confiance de la partie tributaire.

    L'assistant Ajouter la confiance de la partie tributaire s'affiche, avec plusieurs étapes pour exécuter la configuration.

  4. À l'étape Bienvenue, sélectionnez l'option Reconnaissance des réclamations et cliquez sur Démarrer.

  5. À l'étape Sélectionner des sources de données, sélectionnez Entrer manuellement les données de confiance de la partie tributaire. Cliquez ensuite sur Suivant.

  6. À l'étape Spécifier un nom d'affichage, entrez un nom pour la confiance de la partie tributaire. Cliquez ensuite sur Suivant.

  7. À l'étape Configurer le certificat, vous pouvez télécharger vers le serveur le certificat de cryptage (au format .cer) précédemment téléchargé depuis Ivanti Neurons.
    Pour télécharger un certificat de cryptage vers le serveur, cliquez sur Parcourir. Cela configure les assertions cryptées pour ADFS. Cliquez ensuite sur Suivant.

    Pour en savoir plus sur le téléchargement du certificat, reportez-vous aux étapes de la section « Configuration et activation de l'authentification externe (Plateforme Ivanti Neurons) ».

  1. À l'étape Configurer l'URL, sélectionnez l'option Activer la prise en charge du protocole SAML 2.0 WebSSO et copiez-collez l'URL de service depuis Plateforme Neurons. Cliquez ensuite sur Suivant.

    Pour l'URL de service, revenez à Ivanti Neurons et copiez la valeur URL du service consommateur d'assertion depuis la section Paramètres de configuration ADFS SAML 2.0.

  2. À l'étape Configurer les ID, entrez l'ID de confiance de la partie tributaire, puis cliquez sur Ajouter. Cliquez ensuite sur Suivant.

    Pour l'ID de confiance de la partie tributaire, revenez à Ivanti Neurons et copiez la valeur ID d'entité dans la section Paramètres de configuration ADFS SAML 2.0.

  1. À l'étape Choisir une stratégie de contrôle d'accès, sélectionnez une stratégie dans la section Choisir une stratégie de contrôle d'accès, en fonction des besoins de votre entreprise. Cliquez ensuite sur Suivant pour terminer la configuration.

    Cela ferme l'assistant Ajouter la confiance de la partie tributaire et crée la configuration correspondante.

  1. Dans l'assistant de gestion ADFS, sélectionnez le dossier Confiance des parties tributaires.
    Affiche la configuration de confiance de la partie tributaire que vous avez créée.

  2. Double-cliquez sur la configuration Confiance de la partie tributaire que vous avez créée et accédez à l'onglet Signature.

  3. Cliquez sur Ajouter pour parcourir et télécharger le certificat de vérification de signature.

    Pour en savoir plus sur le téléchargement du certificat, reportez-vous aux étapes de la section « Configuration et activation de l'authentification externe (Plateforme Ivanti Neurons) ».

Vérifiez que la configuration ADFS inclut le nombre requis de réclamations applicables à Ivanti Neurons.

  1. Dans l'assistant de gestion ADFS, cliquez sur l'option Modifier la stratégie d'émission de réclamation dans la section Actions.

    L'assistant Modifier la stratégie d'émission de réclamation s'affiche pour la configuration Confiance de la partie tributaire sélectionnée que vous avez créée.

  2. Cliquez sur Ajouter une règle.

    L'assistant Ajouter une règle de réclamation de transformation s'affiche et présente les étapes de configuration.

  3. À l'étape Choisir un type de règle, sélectionnez l'option Envoyer des attributs LDAP comme réclamations, puis cliquez sur Suivant.

  4. À l'étape Configurer la règle de réclamation, entrez un nom de réclamation, sélectionnez le magasin d'attributs et effectuez les mappages requis pour les attributs LDAP.

    Vérifiez que les mappages suivants sont configurés :

    • E-mail-Addresses -> Adresse e-mail

    • Given-Name -> Prénom

    • Surname -> Nom

    • E-mail-Addresses -> ID de nom

  5. Cliquez ensuite sur Terminer.
    L'assistant Modifier la stratégie d'émission de réclamation s'affiche.

  6. Cliquez sur Appliquer.

Une fois la configuration ADFS terminée, vous devez appliquer l'URL de poste client de métadonnées du fournisseur d'identité dans l'application Ivanti Neurons.

  1. Identifiez et copiez l'URL de métadonnées de votre fournisseur ADFS.

    L'URL de métadonnées IdP de votre fournisseur ADFS sera au format suivant :
    https://<adfs-federation-service-name>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. Revenez à l'URL Ivanti Plateforme Neurons et collez-la dans le champ URL du poste client de métadonnées du fournisseur d'identité.
    Cela valide l'URL.

  3. Cliquez sur Continuer pour poursuivre.

Vous devez vous connecter à votre serveur ADFS pour valider les paramètres de connexion.

  1. Dans la page Valider les paramètres de connexion, cliquez sur Valider les paramètres.

    La validation s'effectue automatiquement. Un écran de confirmation apparaît si la connexion réussit.

  2. Revenez à la page Valider les paramètres de connexion et cochez la case pour confirmer la réussite de la connexion.

  3. Cliquez sur Continuer pour passer à la page Convertir votre compte de plateforme Ivanti Neurons.

ADFS est désormais configuré mais il n'est pas activé.

Pour l'activer, vous devez convertir vos comptes de plateforme Ivanti Neurons pour qu'ils utilisent ADFS.

  1. Dans la page Activer les comptes de plateforme Ivanti Neurons, cliquez sur Déconnecter et activer.
    La page de connexion Ivanti Neurons apparaît.
  2. Sélectionnez Se connecter avec ADFS, puis entrez vos références d'authentification ADFS. La conversion est alors terminée.
    Pour vérifier, connectez-vous à Neurons, accédez à Admin > Authentification, et vérifiez qu'ADFS est le fournisseur d'authentification externe.

    3. La configuration de l'authentification ADFS et la connexion/validation des références d'authentification dans Ivanti Neurons doivent être réalisées par le même utilisateur pour éviter l'erreur Accès refusé.

Tous les membres reçoivent un e-mail qui confirme que le compte a bien été converti, et qu'ils doivent désormais accéder au locataire avec les références d'authentification ADFS. Si un membre ne possède pas de références d'authentification ADFS, il ne pourra pas accéder à Ivanti Neurons.

La méthode Authentification externe (SSO) porte désormais l'état Activé.

Configuration de l'autoprovisioning

Si vous activez l'autoprovisioning, vous autorisez automatiquement l'accès à Ivanti Neurons de tous les membres qui ont accès à la section Inscription ADFS, sans passer par le processus d'invitation manuelle. Lorsqu'un nouveau membre se connecte pour la première fois, un nouveau compte de plateforme Ivanti Neurons est provisionné dans Ivanti Neurons > Membres. Tous les nouveaux membres autoprovisionnés reçoivent les rôles de contrôle d'accès définis dans la configuration.

  1. Dans la plateforme Ivanti Neurons, accédez à Configuration > Authentification.

    La page Méthode d'authentification s'affiche.

  2. Dans la section Authentification externe, cliquez sur Actions et sélectionnez Activer l'autoprovisioning.

  3. Dans la liste déroulante Rôles par défaut, choisissez le rôle de contrôle d'accès à affecter à tous les nouveaux membres.

    Pour configurer des rôles, accédez à Ivanti Neurons > Admin > Rôles.

  4. Cliquez sur Activer l'autoprovisioning pour confirmer votre sélection de rôles et activer l'autoprovisioning pour tous les nouveaux membres.

Après l'activation, vous pouvez modifier les rôles de contrôle d'accès par défaut et désactiver l'autoprovisioning. Ces changements s'appliquent uniquement aux membres provisionnés après la modification et n'affectent pas les membres existants.

(Facultatif) Mettre à jour les paramètres fournisseur (plateforme Ivanti Neurons)

Cette action vous permet de choisir d'utiliser des demandes signées, des assertions cryptées ou les deux.

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.

    La page Authentification apparaît.

  2. Dans la section Authentification externe, cliquez sur Actions > Mettre à jour le paramètre Fournisseur.

    La page Mettre à jour le fournisseur SAML s'affiche.

  3. Dans Paramètres de configuration ADFS, vous pouvez sélectionner les options suivantes :

    • Activer les demandes signées : Activez cette option pour envoyer des demandes signées numériquement à un fournisseur d'authentification externe et configurer ce fournisseur pour vérifier si les demandes signées proviennent du locataire Ivanti Neurons. Vous pouvez également désactiver cette option pour arrêter l'envoi des demandes signées.

    • Activer les assertions cryptées : Activez cette option pour recevoir des informations d'utilisateur cryptées de la part du fournisseur d'authentification externe et pour configurer le locataire Neurons afin de décrypter les informations. Vous pouvez également désactiver cette option pour arrêter de recevoir des informations d'utilisateur cryptées.

  4. Cliquez sur Appliquer les changements.

    Vous pouvez à présent télécharger le fichier de métadonnées et le certificat du fournisseur de services mis à jour, en fonction de vos besoins.

    Une fois que vous avez téléchargé le certificat crypté mis à jour, vérifiez que le nouveau certificat est bien téléchargé vers le gestionnaire système ADFS. Pour télécharger le certificat vers le serveur, reportez-vous à la section « Configuration ADFS (console Server Manager) ».

  5. Cliquez sur Continuer pour valider les métadonnées.

  6. Dans la page Valider les paramètres de fournisseur SAML, cliquez sur Valider les paramètres.

  7. Un nouvel onglet s'ouvre sur la page de connexion de votre entreprise. Entrez vos références d'authentification et connectez-vous.

    La validation s'effectue automatiquement. Un écran de confirmation apparaît si la connexion réussit.

  8. Revenez à la page Valider le nouveau paramètre Fournisseur et cochez la case pour confirmer la réussite de la connexion.

  9. Cliquez sur Continuer pour poursuivre.

  10. Cliquez sur Enregistrer les modifications pour achever le processus.

    Vous recevez une notification confirmant que la mise à jour du secret client a réussi.

(Facultatif) Mettre à jour le certificat (plateforme Ivanti Neurons)

Vous pouvez utiliser cette option pour mettre à jour un certificat arrivé à expiration ou lorsqu'un certificat est sur le point d'expirer.

La fonction de renouvellement est conçue pour être utilisée pendant les heures de faible activité. Une fois le certificat renouvelé, Neurons commence à l'utiliser immédiatement. Cela provoque l'échec des événements d'authentification chez le fournisseur d'identité, jusqu'à ce que ce dernier ait été mis à jour pour utiliser le nouveau certificat. Planifiez vos opérations en conséquence et veillez à coordonner les modifications dans votre logiciel IdP.

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.
    La page Authentification apparaît.

  2. Dans la section Authentification externe, cliquez sur Actions > Mettre à jour le certificat.
    L'écran Mettre à jour le certificat s'affiche.

  3. Cliquez sur Continuer.
    L'onglet Mettre à jour s'affiche.

  4. Dans l'onglet Mettre à jour, vous pouvez télécharger les métadonnées et le certificat du fournisseur de services.

    Une fois que vous avez téléchargé le certificat crypté mis à jour, vérifiez que le nouveau certificat est bien téléchargé vers la console du fournisseur d'identité avant de valider l'opération.

  5. Cliquez sur Continuer pour accéder à la page Valider le nouveau certificat.

  6. Cliquez sur Valider le certificat.
    La validation s'effectue automatiquement. Un écran de confirmation apparaît si la connexion réussit.

  7. Revenez à la page Valider les paramètres de connexion et cochez la case pour confirmer la connexion.

  8. Cliquez sur Continuer.
    La page Enregistrer le nouveau certificat s'affiche.

  9. Cliquez sur Enregistrer les changements.

(Facultatif) Télécharger les métadonnées ou le certificat du fournisseur de services (SP) (Plateforme Ivanti Neurons)

Si la configuration d'authentification externe pour ADFS doit être refaite en raison de problèmes ou d'erreurs, vous aurez besoin soit du certificat, soit des métadonnées SP. Vous pouvez les télécharger depuis la liste déroulante Actions d'Ivanti Neurons, comme suit :

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.

    La page Authentification apparaît.

  2. Dans la section Authentification externe (SSO), cliquez sur Actions. Dans la liste déroulante, vous pouvez cliquer sur les éléments suivants :

    • Télécharger les métadonnées SP : Cliquez sur cette option pour télécharger les métadonnées du fournisseur de services avec le certificat au format XML.

    • Télécharger le certificat uniquement : Cliquez sur cette option pour télécharger uniquement le certificat (au format .pem).

    Le fichier de métadonnées SP contient la dernière version enregistrée des paramètres de configuration du fournisseur, et le certificat est le dernier certificat actif.

(Facultatif) Supprimer la méthode d'authentification (plateforme Ivanti Neurons)

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.

    La page Authentification apparaît.

  2. Dans la section Authentification externe (SSO), cliquez sur Actions > Supprimer la méthode d'authentification.

    L'écran Supprimer l'authentification externe apparaît.

  3. Cliquez sur Déconnecter et réauthentifier.

    Ivanti Neurons est déconnecté.

  4. Cliquez sur Connexion avec e-mail et mot de passe.

  5. Entrez les références d'authentification et cliquez sur Connexion.

  6. Accédez à Admin > Authentification > Authentification externe, puis cliquez sur Actions > Supprimer la méthode d'authentification.

    L'écran Supprimer l'authentification externe apparaît.

  7. Cliquez sur Supprimer la méthode d'authentification.

    La méthode d'authentification existante est désormais supprimée.