Authentification Entra ID (SAML)

Vous pouvez choisir Entra ID comme fournisseur d'authentification externe pour votre locataire. C'est un bon choix si vous souhaitez effectuer les opérations suivantes :

  • Centraliser l'expérience de connexion de l'utilisateur final.

  • Réduire le nombre des appels au centre de support concernant les mots de passe.

  • Bénéficier d'un contrôle granulaire des stratégies et de l'historique d'audit.

Voici les étapes à suivre pour établir un protocole Entra ID - SAML :

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.
    La page Authentification apparaît.
  2. Dans la section Authentification externe (SSO), cliquez sur Configurer et activer.
    La page Activer l'authentification externe s'ouvre.
  3. Dans la liste déroulante Fournisseur, sélectionnez Entra ID.
  4. Dans la liste déroulante Méthode de connexion, sélectionnez SAML.
    La fenêtre Paramètres de configuration Entra ID s'affiche. Vous en aurez besoin lors de la configuration d'Entra ID, alors gardez cet onglet ouvert dans votre navigateur. Les instructions suivantes y font référence par les termes « Neurons » ou « Onglet Neurons ».

Pour poursuivre la configuration d'Ivanti Neurons, vous devez d'abord réaliser certaines opérations dans le portail Microsoft Azure.

Dans un nouvel onglet de navigateur, accédez à votre locataire Entra ID :

  1. Accédez à Applications d'entreprise.

  2. Sélectionnez Nouvelle application.

  3. Sélectionnez Créez votre propre application.

    1. Entrez un nom.

    2. Sélectionnez l'option : « Intégrer toute autre application introuvable dans la galerie (hors galerie) ».

    3. Cliquez sur Créer, attendez que le traitement Entra ID se termine.

Ouvrez l'application nouvellement créée :

  1. Accédez à Authentification unique (SSO).

  2. Sélectionnez SAML.

Consultez l'étape 4 pour entrer les détails fournis par Neurons, le locataire UEM, et établir la connexion entre Entra ID et Neurons.

Pour établir un handshake sécurisé, des informations doivent être copiées entre la plateforme Ivanti Neurons et Entra ID. Gardez ouverts les deux onglets sur lesquels nous avons travaillé et passez de l'un à l'autre en suivant les instructions ci-après.

Dans Entra ID, sélectionnez Modifier dans la vignette Configuration SAML de base. Une fenêtre apparaît sur la droite.

  • La valeur EntityID (ID d'entité) de Neurons est copiée sous Identifiant dans Entra ID. Cliquez sur Ajouter un identifiant pour afficher la zone de texte dans la fenêtre Entra ID > Modifier.

  • La valeur Neurons URL du service client d'assertion est copiée sous URL de réponse dans Entra ID. Là encore, cliquez sur Ajouter une URL de réponse pour révéler la zone de texte.

  • Cliquez sur Enregistrer.

Lorsqu'une zone de texte à tester apparaît, sélectionnez l'option de refus car toutes les entrées seront validées ensemble.

Ceci configure l'application.

Sous Certificats SAML, dans le locataire Entra ID, une URL de métadonnées de fédération d'applis est fournie. Copiez-la, basculez vers Neurons, puis collez-la sous :

  • URL du poste client de métadonnées du fournisseur d'identités (IDP)

  • Cliquez sur Continuer.

La poignée de main (handshake) sécurisée est établie.

Définir comment les utilisateurs sont ajoutés à Entra ID

Revenez à Entra ID. Dans le menu de gauche, sous Propriétés, procédez comme suit pour définir le mode d'ajout des utilisateurs :

  • Vérifiez que l'option Affectation requise est définie selon vos besoins :

    • Oui : L'Admin choisit les utilisateurs du locataire qui peuvent se connecter. Si une affectation est requise, l'Admin doit sélectionner explicitement les utilisateurs qui peuvent se connecter. L'opération est réalisée sous Utilisateurs et groupes > Ajouter un nom d'utilisateur.

    • Non : Tous les utilisateurs du locataire peuvent se connecter avec Entra ID.

  • Cliquez sur Enregistrer.

Revenez à Neurons.

Vous devez vous connecter avec vos références d'authentification Entra ID pour valider les paramètres de connexion.

  1. Dans la page Valider les paramètres de connexion, cliquez sur Valider les paramètres pour accéder à la page de connexion de votre entreprise dans un nouvel onglet. Il s'agit du portail Azure. Entrez vos identifiants Entra ID et connectez-vous. Si vous êtes déjà connecté, les références d'authentification sont inutiles et la validation est automatique, alors veillez à bien vous connecter au compte que vous voulez authentifier.
    Un écran de confirmation apparaît si la connexion réussit.

    2. Le nom d'utilisateur Azure doit être exactement identique à votre nom d'utilisateur Ivanti Neurons.

  2. Fermez l'écran de confirmation et revenez à l'onglet Valider les paramètres de connexion dans la plateforme Ivanti Neurons, où vous avez travaillé.
  3. Cochez la case Je confirme avoir validé avec succès mes paramètres de connexion pour confirmer que vous avez réussi à vous connecter.
  4. Cliquez sur Continuer.

La liaison (handshake) sécurisée est établie, validée et fonctionne.

  • E2018 Échec de l'authentification : L'utilisateur n'a pas pu s'authentifier auprès d'Entra ID. Vérifiez que le nom d'utilisateur et le mot de passe sont corrects, et que l'utilisateur dispose de permissions d'accès à l'inscription d'applis Entra ID.
  • E2019 Réclamations facultatives manquantes : L'étape de validation a échoué car les réclamations facultatives supplémentaires sont absentes du jeton renvoyé par Entra ID à la plateforme Ivanti Neurons.
  • E2020 Impossible de créer un lien avec un compte d'utilisateur de la plateforme Neurons : Le nom de connexion utilisateur Entra ID ne correspond pas au nom de l'utilisateur de la plateforme Ivanti Neurons. L'adresse e-mail du compte d'utilisateur de la plateforme Ivanti Neurons doit être identique à l'adresse e-mail utilisée pour la connexion à Entra ID.

Entra ID est désormais configuré mais il n'est pas activé.

Pour l'activer, vous devez convertir vos comptes de plateforme Ivanti Neurons pour qu'ils utilisent Entra ID.

  1. Dans la page Activer les comptes de plateforme Ivanti Neurons, cliquez sur Déconnecter et activer.
    La page de connexion Ivanti Neurons apparaît.
  2. Sélectionnez Se connecter avec Entra ID, puis entrez vos références d'authentification Entra ID. La conversion est alors terminée.
    Pour vérifier, connectez-vous à Neurons, accédez à Admin > Authentification, et vérifiez qu'Entra ID est le fournisseur d'authentification externe.

    3. La configuration de l'authentification Entra ID et la connexion/validation des références d'authentification dans Ivanti Neurons doivent être réalisées par le même utilisateur pour éviter l'erreur Accès refusé.

Tous les membres reçoivent un e-mail qui confirme que le compte a bien été converti, et qu'ils doivent désormais accéder au locataire avec les références d'authentification Entra ID. Si un membre ne possède pas de références d'authentification Entra ID, il ne pourra pas accéder à Ivanti Neurons.

La méthode Authentification externe (SSO) porte désormais l'état Activé.

Configuration de l'autoprovisioning

Si vous activez l'autoprovisioning, vous autorisez automatiquement l'accès à Ivanti Neurons de tous les membres qui ont accès à la section Inscriptions d'applis Entra ID, sans passer par le processus d'invitation manuelle. Lorsqu'un nouveau membre se connecte pour la première fois, un nouveau compte de plateforme Ivanti Neurons est provisionné dans Ivanti Neurons > Membres. Tous les nouveaux membres autoprovisionnés reçoivent les rôles de contrôle d'accès définis dans la configuration.

  1. Dans la plateforme Ivanti Neurons, accédez à Configuration > Authentification.

    La page Méthode d'authentification s'affiche.
  2. Dans la section Authentification externe (SSO), cliquez sur Actions et sélectionnez Activer l'autoprovisioning.
  3. Dans la liste déroulante Rôles par défaut, choisissez le rôle de contrôle d'accès à affecter à tous les nouveaux membres.

    Pour configurer des rôles, accédez à Ivanti Neurons > Admin > Rôles.
  4. Cliquez sur Activer l'autoprovisioning pour confirmer votre sélection de rôles et activer l'autoprovisioning pour tous les nouveaux membres.

Après l'activation, vous disposez d'options permettant de modifier les rôles de contrôle d'accès par défaut et de désactiver l'autoprovisioning. La modification des rôles ou la désactivation de l'autoprovisioning n'affectent aucun des membres autoprovisionnés existants. Cela s'applique uniquement à ceux que vous provisionnez après avoir effectué les changements.

Important : Une fois le provisioning automatique activé, tous les utilisateurs ayant accès à l'inscription d'applis Entra ID ont accès à Ivanti Neurons. Vous pouvez restreindre l'accès de certains utilisateurs ou groupes depuis le portail Entra ID. Pour en savoir plus, reportez-vous à la documentation Microsoft Azure.