Authentification PingFederate (OIDC)

Ivanti Neurons vous permet actuellement de choisir PingFederate comme fournisseur d'authentification externe pour votre locataire. PingFederate centralise l'expérience de connexion des utilisateurs, réduit le nombre d'appels au centre de support liés aux mots de passe, et permet un contrôle granulaire des stratégies et des historiques d'audit.

Configuration et activation de l'authentification externe

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.
    La page Authentification apparaît.

  2. Dans la section Authentification externe (SSO), cliquez sur Configurer et activer.
    La page Activer l'authentification externe (SSO) s'ouvre.

  3. Dans la liste déroulante Fournisseur, sélectionnez PingFederate.

  4. Dans la liste déroulante Méthode de connexion, sélectionnez OpenId Connect (OIDC).

    La page Paramètres de configuration PingFederate apparaît.
    Il est recommandé de laisser cet onglet ouvert pour référence ultérieure lorsque vous configurez les détails dans la console Admin PingFederate.

  1. Connectez-vous à la console PingFederate.

  2. Sous Applications, sélectionnez OAuth.

  3. Cliquez sur Ajouter un client.

  4. Sous Client, mettez à jour la configuration client et les informations de stratégie comme suit :

    1. ID CLIENT : Entrez l'ID client unique de votre choix. Copiez cet ID client et collez-le dans le champ ID client de l'onglet Ivanti Neurons qui était ouvert.

    2. NOM : Identique à ID CLIENT.

    3. AUTHENTIFICATION CLIENT : Sélectionnez SECRET CLIENT.

    4. SECRET CLIENT : Sélectionnez CHANGER DE SECRET et cliquez sur Générer un secret.

    5. Copiez la valeur SECRET CLIENT et collez-la dans le champ Valeur Secret client de l'onglet Ivanti Neurons qui était ouvert.

    6. URI DE REDIRECTION : Copiez l'URI de redirection depuis la plateforme Neurons et collez-le dans le champ URI de redirection dans le portail Admin PingFederate.

    7. Cliquez sur Ajouter.

    8. TYPES D'OCTROI AUTORISÉS : Sélectionnez Code d'autorisation et Implicite.

    9. GESTIONNAIRE DE JETONS D'ACCÈS PAR DÉFAUT : Sélectionnez IvantiTestToken.

    10. OPENID CONNECT : Copiez l'URI de déconnexion depuis la plateforme Neurons et collez-le dans le champ URI de redirection après déconnexion dans le portail de références d'authentification PingFederate, puis cliquez sur Ajouter.

    11. Cliquez sur Enregistrer.

  5. Sous SYSTÈME, sélectionnez Serveur > Paramètres de protocole > Infos de fédération, puis copiez l'URL DE BASE et collez-la dans le champ Émetteur de l'onglet Ivanti Neurons qui était ouvert.

  6. Cliquez sur Continuer dans l'onglet Ivanti Neurons pour valider les paramètres.

Vous devez vous connecter avec vos références d'authentification PingFederate pour valider les paramètres de connexion.

  1. Dans la page Valider les paramètres de connexion, cliquez sur Valider les paramètres. Un nouvel onglet s'ouvre sur la page de connexion de votre entreprise. Entrez vos références d'authentification PingFederate et cliquez sur Connexion.

  2. Sur la page Demande d'approbation, assurez-vous que les éléments suivants sont sélectionnés :

    • ACCÈS À VOTRE NOM D'UTILISATEUR

    • ÉTENDUE OPENID

    • ÉTENDUE PROFIL

    • ÉTENDUE E-MAIL

  3. Cliquez sur Autoriser.

  4. Revenez à la page Valider les paramètres de connexion et cochez la case pour confirmer la réussite de la connexion.
    Les références d'authentification PingFederate sont désormais configurées mais pas activées. Pour l'activer, vous devez convertir vos comptes de plateforme Ivanti Neurons pour qu'ils utilisent PingFederate.

  5. Cliquez sur Continuer pour passer à la page Convertir votre compte de plateforme Ivanti Neurons.

  • E2018 Échec de l'authentification : L'utilisateur n'a pas pu s'authentifier auprès de PingFederate. Vérifiez que le nom d'utilisateur et le mot de passe sont corrects, et que l'utilisateur dispose de permissions d'accès à PingFederate SP Connection.

  • E2019 Réclamations facultatives manquantes : L'étape de validation a échoué car les réclamations facultatives supplémentaires sont absentes du jeton renvoyé par PingFederate à la plateforme Ivanti Neurons.

  • E2020 Impossible de créer un lien avec un compte d'utilisateur de la plateforme Neurons : Le nom de connexion utilisateur PingFederate ne correspond pas au nom d'utilisateur de la plateforme Ivanti Neurons. L'adresse e-mail du compte d'utilisateur de la plateforme Ivanti Neurons doit être identique à l'adresse e-mail utilisée pour la connexion à PingFederate.

  1. Dans la page Convertir votre compte de plateforme Ivanti Neurons, cliquez sur Déconnecter et activer. Ivanti Neurons est déconnecté.

  2. Cliquez sur Se connecter avec PingFederate et entrez vos références d'authentification PingFederate pour terminer le processus.

  3. L'application PingFederate s'affiche désormais sous Admin > Authentification avec l'état Activé.    

  4. Cliquez sur Déconnexion de la plateforme Neurons.
    Désormais, lorsque vous vous reconnectez, vous êtes routé vers     PingFederate pour choisir le compte et vous connecter avec les références d'authentification PingFederate.

Vérifiez que le champ Exécution du contrat, sous Applications > OAuth > Mappages de jetons d'accès > Adaptateur IdP : PingOneIdpAdapter > Mappage de jetons d'accès, inclut bien les attributs utilisateur email, givenname et familyname (Adresse e-mail, Prénom et Nom de famille).

Configuration de l'autoprovisioning

Si vous activez l'autoprovisioning, vous autorisez automatiquement l'accès à Ivanti Neurons de tous membres de l'inscription d'applications Marque (Branding) pour l'onboarding des utilisateurs, sans avoir à passer par le processus d'invitation manuelle. Lorsqu'un nouveau membre se connecte pour la première fois, un nouveau compte de plateforme Ivanti Neurons est provisionné dans Ivanti Neurons > Membres. Tous les nouveaux membres autoprovisionnés reçoivent les rôles de contrôle d'accès définis dans la configuration.

  1. Dans la plateforme Ivanti Neurons, accédez à Configuration > Authentification.
    La page Méthode d'authentification s'affiche.

  1. Dans la section Authentification externe (SSO), cliquez sur Actions et sélectionnez Activer l'autoprovisioning.

  1. Dans la liste déroulante Rôles par défaut, choisissez le rôle de contrôle d'accès à affecter à tous les nouveaux membres.
    Pour configurer des rôles, accédez à Ivanti Neurons > Admin > Rôles.

  1. Cliquez sur Activer l'autoprovisioning pour confirmer votre sélection de rôles et activer l'autoprovisioning pour tous les nouveaux membres.

Après l'activation, vous pouvez modifier les rôles de contrôle d'accès par défaut et désactiver l'autoprovisioning. Ces changements s'appliquent uniquement aux membres provisionnés après la modification et n'affectent pas les membres existants.

L'activation de l'autoprovisioning octroie à tous les utilisateurs Inscription d'applications PingFederate un accès à Ivanti Neurons. Vous pouvez restreindre l'accès de certains utilisateurs ou groupes depuis l'application PingFederate.

(Facultatif) Mettre à jour le secret client (plateforme Ivanti Neurons)

Si le secret client PingFederate approche de sa date d'expiration, vous devez en définir un nouveau pour continuer à utiliser cette méthode d'authentification.

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification..
    La page Authentification apparaît.

  2. Dans la section Authentification externe, cliquez sur Actions > Mettre à jour le secret client.
    La     page Mettre à jour le secret client apparaît.

  3. Entrez le nouveau secret client obtenu à partir de l'application PingFederate et collez-le dans le champ Valeur Secret client de la plateforme Ivanti Neurons.

  4. Cliquez sur Continuer pour valider le secret client.

  5. Sur la page Valider le nouveau secret client, cliquez sur Valider le secret client. Un nouvel onglet s'ouvre sur la page de connexion de votre entreprise.

  6. Entrez vos références d'authentification PingFederate et cliquez sur Connexion.

  7. Sur la page Demande d'approbation, assurez-vous que les éléments suivants sont sélectionnés :

    1. ACCÈS À VOTRE NOM D'UTILISATEUR

    2. ÉTENDUE OPENID

    3. ÉTENDUE PROFIL

    4. ÉTENDUE E-MAIL

  8. Cliquez sur Autoriser.

    Si l'opération réussit, revenez à cet assistant et continuez pour mettre à jour le secret client.
    En cas d'échec, vérifiez que le nouveau secret client entré est correct. Si l'échec est dû à une autre erreur, reportez-vous à « Dépannage de la validation ».

  9. Revenez à la page Valider le nouveau secret client et cochez la case pour confirmer la réussite de la connexion.

  10. Cliquez sur Continuer pour passer à la page Enregistrer le nouveau secret client.

  11. Cliquez sur Enregistrer les modifications pour achever le processus.
    Vous recevez une notification confirmant que la mise à jour du secret client a réussi.

(Facultatif) Supprimer la méthode d'authentification (plateforme Ivanti Neurons)

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.
    La page Authentification apparaît.

  2. Dans la section Authentification externe, cliquez sur Actions > Supprimer la méthode d'authentification.
    L'écran Supprimer l'authentification externe apparaît.

  3. Cliquez sur Déconnecter et réauthentifier.
    Ivanti Neurons est déconnecté.

  4. Cliquez sur Connexion avec e-mail et mot de passe.

  5. Entrez les références d'authentification et cliquez sur Connexion.

  6. Accédez à Admin > Authentification > Authentification externe, puis cliquez sur Actions > Supprimer la méthode d'authentification.
    L'écran Supprimer l'authentification externe apparaît.

  7. Cliquez sur Supprimer la méthode d'authentification.
    La méthode d'authentification existante est désormais supprimée.