Authentification Okta (SAML)

Actuellement, Ivanti Neurons vous permet de choisir Okta comme fournisseur d'authentification externe pour votre locataire. Okta centralise l'expérience de connexion des utilisateurs, réduit le nombre d'appels au centre de support liés aux mots de passe, et permet un contrôle granulaire des stratégies et des historiques d'audit.

Configuration et activation de l'authentification externe

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.
    La page Authentification apparaît.
  2. Dans la section Authentification externe (SSO), cliquez sur Configurer et activer.
    La page Activer l'authentification externe (SSO) s'ouvre.
  3. Dans la liste déroulante Fournisseur, sélectionnez Okta.
  4. Dans la liste déroulante Méthode de connexion, sélectionnez Saml 2.0.
    La page Paramètres de configuration Saml 2.0 Okta apparaît. Il est recommandé de laisser cet onglet ouvert pour référence ultérieure lorsque vous configurez les détails dans la console Okta.
  1. Connectez-vous à Okta.
  2. Sélectionnez Applications > Applications > Créer une intégration d'appli.
    L'écran Créer une nouvelle intégration d'appli s'affiche.
  3. Sélectionnez SAML 2.0 et cliquez sur Suivant.
    La page Créer une intégration SAML apparaît.
  4. Dans Paramètres généraux, entrez le nom de l'appli et cliquez sur Suivant.
  5. Sous Configurer SAML, entrez des valeurs dans les champs suivants :

      1.  Sous Général, entrez les valeurs disponibles dans l'onglet Ivanti Neurons qui était ouvert :

        1. URL de connexion SSO: URL du service consommateur d'Assertion (ACS).

        2. URI d'audience (ID d'entité SP) : Valeur EntityId.

      1. Sous Déclarations d'attributs (facultatif), mettez à jour les attributs comme suit :

        1. Nom : 'email', Valeur : 'user.email'. Cliquez sur Ajouter un autre.

        2. Nom : 'givenname', Valeur : 'user.firstName'. Cliquez sur Ajouter un autre.

        3. Nom : 'familyname', Valeur : 'user.lastName'.

          Les données des champs ci-dessus sont sensibles à la casse.

      1. Cliquez sur Suivant.

  6. Sous Commentaires, cochez la case « Ceci est une appli interne que nous avons créée » et cliquez sur Terminer.

    7. Les administrateurs peuvent choisir de ne pas cocher cette case et de plutôt entrer des détails dans les zones de commentaire.

  7. Cliquez sur Affectations > Affecter > Affecter à des personnes.
  8. Sélectionnez votre nom et cliquez sur Affecter > Enregistrer et retourTerminé.

    9. La page Affectations vous permet de spécifier les personnes autorisées à accéder à l'application Ivanti Neurons. Vous pouvez autoriser l'accès d'individus ou de groupes.

    N'oubliez pas d'appliquer cette affectation à la personne qui configure l'intégration, car elle aura besoin de permissions pour accéder à l'application.

  9. Sélectionnez l'onglet Connexion, copiez l'URL de métadonnées et collez-la dans le champ URL de poste client de métadonnées du fournisseur d'identités (IDP) qui était ouvert dans la plateforme Neurons.

  10. Cliquez sur Continuer.

Vous devez vous connecter avec vos références d'authentification Okta pour valider les paramètres de connexion.

  1. Dans la page Valider les paramètres de connexion, cliquez sur Valider les paramètres.

    La validation s'effectue automatiquement. Un écran de confirmation apparaît si la connexion réussit.

  2. Revenez à la page Valider les paramètres de connexion et cochez la case pour confirmer la réussite de la connexion.

    Okta est désormais configuré mais il n'est pas activé. Pour l'activer, vous devez convertir vos comptes de plateforme Ivanti Neurons pour qu'ils utilisent Okta.

  3. Cliquez sur Continuer pour passer à la page Convertir votre compte de plateforme Ivanti Neurons.

  • E2018 Échec de l'authentification : L'utilisateur n'a pas pu s'authentifier auprès d'Okta. Vérifiez que le
    nom d'utilisateur et le mot de passe sont corrects, et que l'utilisateur dispose de permissions d'accès à l'inscription d'applications Okta.

  • E2019 Réclamations facultatives manquantes : L'étape de validation a échoué car les réclamations facultatives supplémentaires sont absentes du jeton renvoyé par Okta à la plateforme Ivanti Neurons.

  • E2020 Impossible de créer un lien avec un compte d'utilisateur de la plateforme Neurons : Le nom de connexion utilisateur Okta ne correspond pas au nom d'utilisateur de la plateforme Ivanti Neurons. L'adresse e-mail du compte d'utilisateur de la plateforme Ivanti Neurons doit être identique à l'adresse e-mail utilisée pour la connexion à Okta.

  1. Dans la page Convertir votre compte de plateforme Ivanti Neurons, cliquez sur Déconnecter et activer. Ivanti Neurons est déconnecté.

  2. Cliquez sur cliquez ici > Connexion avec Okta pour terminer le processus.

  3. L'application Okta s'affiche désormais sous Admin > Authentification avec l'état Activé.

  4. Cliquez sur Se déconnecter de la plateforme Neurons.
    Désormais, lorsque vous vous reconnectez, vous êtes redirigé vers Okta pour choisir le compte et vous connecter avec les références d'authentification Okta.

Configuration de l'autoprovisioning

Si vous activez l'autoprovisioning, vous autorisez automatiquement l'accès à Ivanti Neurons de tous membres de l'application Okta, sans passer par le processus d'invitation manuelle. Lorsqu'un nouveau membre se connecte pour la première fois, un nouveau compte de plateforme Ivanti Neurons est provisionné dans Ivanti Neurons > Membres. Tous les nouveaux membres autoprovisionnés reçoivent les rôles de contrôle d'accès définis dans la configuration.

  1. Dans la plateforme Ivanti Neurons, accédez à Configuration > Authentification.
    La page Méthode d'authentification s'affiche.
  2. Dans la section Authentification externe (SSO), cliquez sur Actions et sélectionnez Activer l'autoprovisioning.
  3. Dans la liste déroulante Rôles par défaut, choisissez le rôle de contrôle d'accès à affecter à tous les nouveaux membres.
    Pour configurer des rôles, accédez à Ivanti Neurons > Admin > Rôles.
  4. Cliquez sur Activer l'autoprovisioning pour confirmer votre sélection de rôles et activer l'autoprovisioning pour tous les nouveaux membres.

Après l'activation, vous pouvez modifier les rôles de contrôle d'accès par défaut et désactiver l'autoprovisioning. Ces changements s'appliquent uniquement aux membres provisionnés après la modification et n'affectent pas les membres existants.

L'activation de l'autoprovisioning octroie à tous les utilisateurs Inscription d'applications Okta un accès à Ivanti Neurons. Vous pouvez restreindre l'accès de certains utilisateurs ou groupes depuis l'application Okta.

(Facultatif) Supprimer la méthode d'authentification (plateforme Ivanti Neurons)

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.
    La page Authentification apparaît.

  2. Dans la section Authentification externe (SSO), cliquez sur Actions > Supprimer la méthode d'authentification.
    L'écran Supprimer l'authentification externe apparaît.

  3. Cliquez sur Déconnecter et réauthentifier.
    Ivanti Neurons est déconnecté.

  4. Cliquez sur Connexion avec e-mail et mot de passe.

  5. Entrez les références d'authentification et cliquez sur Connexion.

  6. Accédez à Admin > Authentification > Authentification externe, puis cliquez sur Actions > Supprimer la méthode d'authentification.
    L'écran Supprimer l'authentification externe apparaît.

  7. Cliquez sur Supprimer la méthode d'authentification.
    La méthode d'authentification existante est désormais supprimée.