Authentification Entra ID

Actuellement, Ivanti Neurons vous permet de choisir Entra ID comme fournisseur d'authentification externe pour votre locataire. Cette option convient parfaitement si vous souhaitez centraliser l'expérience de connexion des utilisateurs, réduire le nombre d'appels au centre de support liés aux mots de passe, et contrôler très précisément les stratégies et les historiques d'audit.

Pour utiliser Entra ID, tous les membres doivent accepter la demande d'Ivanti d'accéder à leurs données de profil de base Azure.

Configuration et activation de l'authentification externe

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.
    La page Authentification apparaît.
  2. Dans la section Authentification externe (SSO), cliquez sur Configurer et activer.
    La page Activer l'authentification externe (SSO) s'ouvre.
  3. Dans la liste déroulante Fournisseur, sélectionnez Entra ID.
    La fenêtre Paramètres de configuration Entra ID s'affiche.

Pour poursuivre la configuration d'Ivanti Neurons, vous devez d'abord réaliser certaines opérations dans le portail Microsoft Azure.

Pour poursuivre la configuration d'Ivanti Neurons, vous devez d'abord réaliser les opérations suivantes dans le portail Microsoft Azure.

Étape A - Créez votre application Entra ID

  1. Connectez-vous au centre d'administration Entra ID en tant qu'administrateur Office 365.

Si la personne qui configure la connexion SSO n'est pas administrateur Azure, un administrateur Azure doit se connecter à Azure et approuver la demande d'applis pour les permissions de lecture et de connexion utilisateur (User-Read\Signin).

  1. Dans le menu de la barre latérale, cliquez sur Tous les services > Inscriptions d'applis.
    Le tableau de bord Inscriptions d'applis s'affiche.
  2. Cliquez sur Nouvelle inscription.
  3. Donnez à l'application un nom approprié et acceptez les types de compte pris en charge par défaut : Comptes dans cet annuaire d'entreprise uniquement.
    Écran d'inscription d'application Microsoft Azure
  4. Indiquez l'URI de redirection, tel qu'affiché sous Paramètres de configuration Entra ID dans la plateforme Neurons.
  5. Cliquez sur Inscription au bas de la boîte de dialogue.
  6. Un ID d'application (client) est généré et affiché.

Vous devez prendre note de l'ID d'application (client) et de l'ID d'annuaire (locataire), car vous en aurez besoin pour l'étape suivante de la configuration dans Ivanti Neurons.

Étape B - Configuration des paramètres d'authentification

  1. Sélectionnez Authentification dans le menu d'inscription des applis.
  2. Accédez à Paramètres avancés.
  3. Indiquez l'URL de déconnexion, telle qu'affichée sous Paramètres de configuration Entra ID dans la plateforme Neurons.
  4. Dans la section Octroi implicite, vérifiez que la case Jetons d'ID est cochée.
    Écran de flux d'octroi implicite et hybride montrant les jetons d'ID sélectionnés
  5. Cliquez sur Enregistrer.

Étape C - Création d'un secret

  1. Dans l'appli créée, accédez à Inscriptions d'applis > Certificats et secrets.
  2. Créez un nouveau secret client.
  3. Ajoutez une description.
  4. Sélectionnez le délai d'expiration qui correspond aux normes de votre entreprise.
  5. Cliquez sur Ajouter.
  6. Le système crée une valeur, que vous devez copier en lieu sûr, car vous ne pourrez plus l'afficher.

Veillez à bien copier la valeur de secret et pas l'ID de secret.

La configuration Entra ID est désormais terminée et vous pouvez revenir à la plateforme Ivanti Neurons.

Le secret a une durée de vie déterminée. Votre entreprise doit donc prendre des mesures pour garantir qu'il est changé avant d'expirer, pour éviter toute coupure de la plateforme Ivanti Neurons. En savoir plus sur la façon de Mettre à jour le secret client.

Étape D - Configuration des jetons

Définissez la configuration des jetons pour pouvoir utiliser l'autoprovisioning.

  1. Sélectionnez Configuration des jetons dans le menu d'inscription des applis.
  2. Sélectionnez Ajouter une réclamation (facultatif) pour ouvrir le volet latéral.
  3. Sous Type de jeton, sélectionnez ID.
  4. Dans la liste des réclamations, sélectionnez email (adresse e-mail), family_name (nom de famille) et given_name (prénom). Cela permet d'obtenir l'adresse e-mail, le nom et le prénom des nouveaux membres Ivanti Neurons, ce qui est indispensable pour utiliser le provisioning automatique.
  5. Cliquez sur Ajouter.

Après avoir créé l'application (client), l'annuaire (locataire) et le secret Entra ID, vous pouvez continuer la configuration de la plateforme Ivanti Neurons.

  1. Revenez à la page Paramètres de configuration Entra ID (Plateforme Ivanti Neurons > Authentification > Authentification externe (SSO) > Configurer et activer).

  2. Entrez l'ID d'annuaire (locataire) issu de l'inscription d'appli Entra ID.
  3. Entrez l'ID de client (application) tiré de l'inscription d'appli Entra ID.
  4. Entrez la valeur de secret client générée et enregistrée.
  5. Entrez la date d'expiration du secret client. Elle doit correspondre à la date d'expiration spécifiée lors de la création du secret client. Pour en savoir plus, voir « Mettre à jour le secret client ».
  6. Cliquez sur Continuer pour afficher la page Valider les paramètres de connexion.

Vous devez vous connecter avec vos références d'authentification Entra ID pour valider les paramètres de connexion.

  1. Dans la page Valider les paramètres de connexion, cliquez sur Valider les paramètres pour accéder à la page de connexion de votre entreprise dans un nouvel onglet, puis entrez vos références d'authentification Entra ID et connectez-vous. Si vous êtes déjà connecté, les références d'authentification sont inutiles et la validation est automatique, alors veillez à bien vous connecter au compte que vous voulez authentifier.
    Un écran de confirmation apparaît si la connexion réussit.

    2. Le nom d'utilisateur Azure doit être exactement identique à votre nom d'utilisateur Ivanti Neurons.

  2. Revenez à cet onglet (Valider les paramètres de connexion).
  3. Cochez la case Je confirme avoir validé avec succès mes paramètres de connexion pour confirmer que vous avez réussi à vous connecter.
  4. Cliquez sur Continuer pour passer à l'étape de conversion des comptes de plateforme Ivanti Neurons.
    La page Activer les comptes de plateforme Ivanti Neurons s'affiche.
  • E2018 Échec de l'authentification : L'utilisateur n'a pas pu s'authentifier auprès d'Entra ID. Vérifiez que le nom d'utilisateur et le mot de passe sont corrects, et que l'utilisateur dispose de permissions d'accès à l'inscription d'applis Entra ID.
  • E2019 Réclamations facultatives manquantes : L'étape de validation a échoué car les réclamations facultatives supplémentaires sont absentes du jeton renvoyé par Entra ID à la plateforme Ivanti Neurons.
  • E2020 Impossible de créer un lien avec un compte d'utilisateur de la plateforme Neurons : Le nom de connexion utilisateur Entra ID ne correspond pas au nom de l'utilisateur de la plateforme Ivanti Neurons. L'adresse e-mail du compte d'utilisateur de la plateforme Ivanti Neurons doit être identique à l'adresse e-mail utilisée pour la connexion à Entra ID.

Entra ID est désormais configuré mais il n'est pas activé.

Pour l'activer, vous devez convertir vos comptes de plateforme Ivanti Neurons pour qu'ils utilisent Entra ID.

  1. Dans la page Activer les comptes de plateforme Ivanti Neurons, cliquez sur Déconnecter et activer.
    La page de connexion Ivanti Neurons apparaît.
  2. Sélectionnez Se connecter avec Entra ID, puis entrez vos références d'authentification Entra ID. La conversion est alors terminée.

    3. La configuration de l'authentification Entra ID et la connexion/validation des références d'authentification dans Ivanti Neurons doivent être réalisées par le même utilisateur pour éviter l'erreur Accès refusé.

Tous les membres reçoivent un e-mail qui confirme que le compte a bien été converti, et qu'ils doivent désormais accéder au locataire avec les références d'authentification Entra ID. Si un membre ne possède pas de références d'authentification Entra ID, il ne pourra pas accéder à Ivanti Neurons.

La méthode Authentification externe (SSO) porte désormais l'état Activé.

Configuration de l'autoprovisioning

Si vous activez l'autoprovisioning, vous autorisez automatiquement l'accès à Ivanti Neurons de tous les membres qui ont accès à la section Inscriptions d'applis Entra ID, sans passer par le processus d'invitation manuelle. Lorsqu'un nouveau membre se connecte pour la première fois, un nouveau compte de plateforme Ivanti Neurons est provisionné dans Ivanti Neurons > Membres. Tous les nouveaux membres autoprovisionnés reçoivent les rôles de contrôle d'accès définis dans la configuration.

  1. Dans la plateforme Ivanti Neurons, accédez à Configuration > Authentification.
    La page Méthode d'authentification s'affiche.
  2. Dans la section Authentification externe (SSO), cliquez sur Actions et sélectionnez Activer l'autoprovisioning.
  3. Dans la liste déroulante Rôles par défaut, choisissez le rôle de contrôle d'accès à affecter à tous les nouveaux membres.
    Pour configurer des rôles, accédez à Ivanti Neurons > Admin > Rôles.
  4. Cliquez sur Activer l'autoprovisioning pour confirmer votre sélection de rôles et activer l'autoprovisioning pour tous les nouveaux membres.

Après l'activation, vous disposez d'options permettant de modifier les rôles de contrôle d'accès par défaut et de désactiver l'autoprovisioning. La modification des rôles ou la désactivation de l'autoprovisioning n'affectent aucun des membres autoprovisionnés existants. Cela s'applique uniquement à ceux que vous provisionnez après avoir effectué les changements.

Vous devez configurer des réclamations facultatives à l'Étape D - Configuration des jetons pour que l'autoprovisioning fonctionne.

Important : Une fois le provisioning automatique activé, tous les utilisateurs ayant accès à l'inscription d'applis Entra ID ont accès à Ivanti Neurons. Vous pouvez restreindre l'accès de certains utilisateurs ou groupes depuis le portail Entra ID. Pour en savoir plus, reportez-vous à la documentation Microsoft Azure.

Mettre à jour le secret client

Si le secret client Entra ID approche de sa date d'expiration, vous devez en définir un nouveau pour continuer à utiliser cette méthode d'authentification.

  1. Dans la plateforme Ivanti Neurons, accédez à Configuration > Authentification.
  2. Cliquez sur Actions et sélectionnez Mettre à jour le secret client.
    La page Mettre à jour le secret client apparaît.
  3. Entrez le nouveau secret client tiré de votre application Entra ID.
  4. Entrez la date à laquelle recevoir un rappel lorsque le secret client approche de sa date d'expiration. Une bannière de rappel apparaît dans l'interface et un e-mail de rappel est envoyé aux utilisateurs dotés du rôle Admin, 28 jours avant l'expiration. D'autres e-mails de rappel sont envoyés 7 jours avant et la veille de l'expiration.
    Si le secret client est autorisé à expirer et que vous n'en avez pas défini de nouveau, l'accès au service est interrompu. Vous devez contacter le support Ivanti pour le récupérer.
  5. Cliquez sur Continuer.
    La page Valider le secret client s'ouvre.
  6. Cliquez sur Valider le secret client pour ouvrir votre page de connexion Entra ID.
    Entrez votre nom d'utilisateur et votre mot de passe (identiques aux références d'authentification de connexion à la plateforme Ivanti Neurons). Lorsque vous vous connectez, le nouveau secret client est validé. Si l'opération réussit, revenez à cet assistant et continuez pour mettre à jour le secret client. En cas d'échec, revenez en arrière et vérifiez que le nouveau secret client que vous avez entré est correct. Si l'échec est dû à une autre erreur, reportez-vous à « Dépannage de la validation ».
  7. Après avoir validé avec succès le nouveau secret client, cochez la case de confirmation Je confirme avoir validé avec succès mon nouveau secret client et cliquez sur Continuer.
  8. Cliquez sur Enregistrer les modifications pour achever le processus. Cela met à jour le secret client et le rappel de date d'expiration, avec effet immédiat. Vous n'avez rien d'autre à faire.