Authentification PingFederate (SAML)

Ivanti Neurons vous permet actuellement de choisir PingFederate comme fournisseur d'authentification externe pour votre locataire. PingFederate centralise l'expérience de connexion des utilisateurs, réduit le nombre d'appels au centre de support liés aux mots de passe, et permet un contrôle granulaire des stratégies et des historiques d'audit.

Configuration et activation de l'authentification externe

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.
    La page Authentification apparaît.

  2. Dans la section Authentification externe (SSO), cliquez sur Configurer et activer.
    La page Activer l'authentification externe (SSO) s'ouvre.

  3. Dans la liste déroulante Fournisseur, sélectionnez PingFederate.

  4. Dans la liste déroulante Méthode de connexion, sélectionnez Saml 2.0.

    La page Paramètres de configuration SAML 2.0 PingFederate apparaît.
    Il est recommandé de laisser cet onglet ouvert pour référence ultérieure lorsque vous configurez les détails dans la console Admin PingFederate.

  1. Connectez-vous à la console Admin PingFederate.

  2. Sous Applications, sélectionnez Connexions SP.

  3. Cliquez sur Créer une connexion.

  4. Sous Modèle de connexion, sélectionnez NE PAS UTILISER DE MODÈLE POUR CETTE CONNEXION et cliquez sur Suivant.

  5. Sous Type de connexion, sélectionnez PROFILS SSO DE NAVIGATEUR, car cette configuration nécessite un accès au navigateur.

  6. Dans le menu déroulant PROTOCOLE, sélectionnez SAML 2.0 et cliquez sur Suivant.

  7. Sous Options de connexion, sélectionnez SSO NAVIGATEUR et cliquez sur Suivant.

  8. Sous Importer des métadonnées, sélectionnez Aucun et cliquez sur Suivant.

  9. Sous Infos générales, entrez les détails suivants, disponibles dans l'onglet Ivanti Neurons qui était ouvert :

    • ID D'ENTITÉ DU PARTENAIRE (ID DE CONNEXION) : Identifiant de connexion unique (ID d'entité).

    • NOM DE LA CONNEXION : Identifiant de langue pour cette connexion.

  10. (Facultatif) Spécifiez plusieurs ID de serveur virtuel, en utilisant l'URL de base pour simplifier la configuration des postes client partenaires, puis cliquez sur Suivant.

  11. Sous SSO navigateur, cliquez sur Configurer le SSO de navigateur pour configurer ou modifier la connexion SSO sécurisée basée sur un navigateur pour les ressources du partenaire.

    1. Sous Profils SAML, sélectionnez SSO lancée par le SP pour spécifier les types de message échangés entre le fournisseur d'identité (IDP) et le fournisseur de services (SP), ainsi que les méthodes de transport (liaisons), puis cliquez sur Suivant.

    2. Sous Durée de vie de l'assertion, définissez le délai de validité avant et après émission de l'assertion pour le SP, puis cliquez sur Suivant.

    3. Sous Création d'assertion, cliquez sur Configurer la création d'assertion pour configurer les assertions SAML d'accès SSO au site de votre partenaire SP.

      1. Sous Mappage d'identités, sélectionnez Standard et cliquez sur Suivant.

      2. Sous Contrat d'attribut, sélectionnez SAML_SUBJECT et mettez à jour les champs Étendre le contrat avec le jeu d'attributs utilisateur requis suivant, que le serveur enverra dans l'assertion :

        • email (e-mail)

        • given_name (prénom)

        • family_name (nom de famille)

      3. Cliquez sur Suivant.

      4. Sous Mappage des sources d'authentification, cliquez sur Mapper une nouvelle instance d'adaptateur.

        1. Sous Instance d'adaptateur, sélectionnez PingOneIdpAdapter, puis cliquez sur Suivant.

        2. Sous Méthode de mappage, sélectionnez UTILISER UNIQUEMENT LES VALEURS DE CONTRAT D'ADAPTATEUR DANS L'ASSERTION SAML et cliquez sur Suivant.

        3. Sous Exécution du contrat d'attribut, mettez à jour le contrat d'attribut comme suit :

          • SAML_SUBJECT : Source - Adapter (Adaptateur), Valeur - username (Nom d'utilisateur)

          • email : Source - Adapter, Valeur - email

          • family_name : Source - Adapter, Valeur - name.family (Nom de famille)

          • given_name : Source - Adapter, Valeur - name.given (Prénom)

        4. Cliquez sur Suivant.

        5. Sous Critères d'émission, mettez les champs à jour ou laissez-les vides selon vos besoins, et cliquez sur Suivant.

        6. Passez les détails en revue sous Récapitulatif et cliquez sur Terminé.

      5. Sous Mappage des sources d'authentification, cliquez sur Suivant.

      6. Passez les détails en revue sous Récapitulatif et cliquez sur Terminé.

    4. Sous Création d'assertion, cliquez sur Suivant.

    5. Sous Paramètres de protocole, cliquez sur Configurer les paramètres de protocole pour configurer les assertions SAML d'accès SSO au site de votre partenaire SP.

      1. Sous URL du service client d'assertion, copiez l'URL du service client d'assertion depuis la plateforme Neurons et collez-la dans le champ URL de poste client sur le portail Admin PingFederate.

      2. Sélectionnez POST dans la liste déroulante Liaison et cliquez sur Ajouter > Suivant.

      3. Sous Liaisons SAML autorisées, sélectionnez POST et cliquez sur Suivant.

      4. Sous Stratégie de signature, sélectionnez SIGNER LA RÉPONSE SI NÉCESSAIRE et cliquez sur Suivant.

      5. Sous Stratégie de cryptage, sélectionnez AUCUN et cliquez sur Suivant.

      1. Passez les détails en revue sous Récapitulatif et cliquez sur Terminé.

    6. Dans Paramètres de protocole, cliquez sur Suivant.

    7. Passez les détails en revue sous Récapitulatif et cliquez sur Terminé.

  1. Sous SSO navigateur, cliquez sur Suivant.

  2. Sous Références d'authentification, cliquez sur Configurer des références d'authentification pour configurer les paramètres de signature numérique.

    1. Sélectionnez un certificat dans la liste déroulante CERTIFICAT DE SIGNATURE.

    2. Conservez les valeurs des champs CERTIFICAT DE SIGNATURE SECONDAIRE et ALGORITHME DE SIGNATURE, et cliquez sur Suivant.

    3. Passez les détails en revue sous Récapitulatif et cliquez sur Enregistrer.

  1. Dans Références d'authentification, cliquez sur Suivant.

  2. Passez les détails en revue sous Activation et récapitulatif et cliquez sur Terminé. La page Connexions SP s'affiche.

  3. Cliquez sur Sélectionner l'action sous Actions pour la nouvelle connexion configurée, puis cliquez sur Exporter les métadonnées.

  4. Sous Signature des métadonnées, sélectionnez un certificat dans la liste déroulante CERTIFICAT DE SIGNATURE.

  5. Sélectionnez un algorithme dans la liste déroulante ALGORITHME DE SIGNATURE et cliquez sur Suivant.

  6. Sélectionnez Exporter. Le fichier de métadonnées est téléchargé.

  7. Accédez à la page Activer l'authentification externe de la plateforme Ivanti Neurons qui était ouverte et cliquez sur Sélectionner un fichier.

  8. Ouvrez le fichier de métadonnées téléchargé et cliquez sur Télécharger (vers le serveur).

  9. Cliquez sur Continuer pour valider les paramètres.

Vous devez vous connecter avec vos références d'authentification PingFederate pour valider les paramètres de connexion.

  1. Dans la page Valider les paramètres de connexion, cliquez sur Valider les paramètres. Un nouvel onglet s'ouvre sur la page de connexion de votre entreprise. Entrez vos références d'authentification PingFederate et connectez-vous.

  2. Revenez à la page Valider les paramètres de connexion et cochez la case pour confirmer la réussite de la connexion.
    PingFederate est désormais configuré mais il n'est pas activé. Pour l'activer, vous devez convertir vos comptes de plateforme Ivanti Neurons pour qu'ils utilisent PingFederate.

  1. Cliquez sur Continuer pour passer à la page Convertir votre compte de plateforme Ivanti Neurons.

  • E2018 Échec de l'authentification : L'utilisateur n'a pas pu s'authentifier auprès de PingFederate. Vérifiez que le nom d'utilisateur et le mot de passe sont corrects, et que l'utilisateur dispose de permissions d'accès à PingFederate SP Connection.

  • E2019 Réclamations facultatives manquantes : L'étape de validation a échoué car les réclamations facultatives supplémentaires sont absentes du jeton renvoyé par PingFederate à la plateforme Ivanti Neurons.

  • E2020 Impossible de créer un lien avec un compte d'utilisateur de la plateforme Neurons : Le nom de connexion utilisateur PingFederate ne correspond pas au nom d'utilisateur de la plateforme Ivanti Neurons. L'adresse e-mail du compte d'utilisateur de la plateforme Ivanti Neurons doit être identique à l'adresse e-mail utilisée pour la connexion à PingFederate.

  1. Dans la page Convertir votre compte de plateforme Ivanti Neurons, cliquez sur Déconnecter et activer. Ivanti Neurons est déconnecté.

  2. Cliquez sur Se connecter avec PingFederate et entrez vos références d'authentification PingFederate pour terminer le processus.

  3. L'application PingFederate s'affiche désormais sous Admin > Authentification avec l'état Activé.    

  4. Cliquez sur Se déconnecter de la plateforme Neurons.
    Désormais, lorsque vous vous reconnectez, vous êtes dirigé vers PingFederate pour choisir le compte et vous connecter avec les références d'authentification PingFederate.

Configuration de l'autoprovisioning

Si vous activez l'autoprovisioning, vous autorisez automatiquement l'accès à Ivanti Neurons de tous membres PingFederate SP Connection, sans passer par le processus d'invitation manuelle. Lorsqu'un nouveau membre se connecte pour la première fois, un nouveau compte de plateforme Ivanti Neurons est provisionné dans Ivanti Neurons > Membres. Tous les nouveaux membres autoprovisionnés reçoivent les rôles de contrôle d'accès définis dans la configuration.

  1. Dans la plateforme Ivanti Neurons, accédez à Configuration > Authentification.
    La page Méthode d'authentification s'affiche.

  1. Dans la section Authentification externe (SSO), cliquez sur Actions et sélectionnez Activer l'autoprovisioning.

  1. Dans la liste déroulante Rôles par défaut, choisissez le rôle de contrôle d'accès à affecter à tous les nouveaux membres.
    Pour configurer des rôles, accédez à Ivanti Neurons > Admin > Rôles.

  1. Cliquez sur Activer l'autoprovisioning pour confirmer votre sélection de rôles et activer l'autoprovisioning pour tous les nouveaux membres.

Après l'activation, vous pouvez modifier les rôles de contrôle d'accès par défaut et désactiver l'autoprovisioning. Ces changements s'appliquent uniquement aux membres provisionnés après la modification et n'affectent pas les membres existants.

L'activation de l'autoprovisioning octroie à tous les utilisateurs Inscription d'applications PingFederate un accès à Ivanti Neurons. Vous pouvez restreindre l'accès de certains utilisateurs ou groupes depuis l'application PingFederate.

(Facultatif) Mettre à jour les métadonnées (plateforme Ivanti Neurons)

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.
    La page Authentification apparaît.

  2. Dans la section Authentification externe, cliquez sur Actions > Mettre à jour les métadonnées.
    L'écran Mettre à jour les métadonnées SAML apparaît.

  3. Dans Paramètres de configuration PingFederate, cliquez sur Sélectionner un fichier.

  4. Ouvrez le fichier de métadonnées téléchargé et cliquez sur Télécharger (vers le serveur).

  5. Cliquez sur Continuer pour valider les paramètres.

  6. Sur la page Valider les nouvelles métadonnées SAML, cliquez sur Valider les métadonnées SAML.

  7. Un nouvel onglet s'ouvre sur la page de connexion de votre entreprise. Entrez vos références d'authentification et connectez-vous.
    La validation s'effectue automatiquement. Un écran de confirmation apparaît si la connexion réussit.

  8. Revenez à la page Valider les nouvelles métadonnées SAML et cochez la case pour confirmer la réussite de la connexion.

  9. Cliquez sur Continuer pour passer à la page Enregistrer les nouvelles métadonnées SAML.

  10. Cliquez sur Enregistrer les modifications pour achever le processus.
    Vous recevez une notification confirmant que la mise à jour des métadonnées a réussi.

(Facultatif) Supprimer la méthode d'authentification (plateforme Ivanti Neurons)

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.
    La page Authentification apparaît.

  2. Dans la section Authentification externe, cliquez sur Actions > Supprimer la méthode d'authentification.
    L'écran Supprimer l'authentification externe apparaît.

  3. Cliquez sur Déconnecter et réauthentifier.
    Ivanti Neurons est déconnecté.

  4. Cliquez sur Connexion avec e-mail et mot de passe.

  5. Entrez les références d'authentification et cliquez sur Connexion.

  6. Accédez à Admin > Authentification > Authentification externe, puis cliquez sur Actions > Supprimer la méthode d'authentification.
    L'écran Supprimer l'authentification externe apparaît.

  7. Cliquez sur Supprimer la méthode d'authentification.
    La méthode d'authentification existante est désormais supprimée.