Authentification Autre IdP (SAML)

Ivanti Neurons vous permet de choisir Autre IdP (Fournisseur d'identité) comme fournisseur d'authentification externe pour votre locataire. Outre les méthodes d'authentification existantes, vous pouvez utiliser l'authentification Autre IdP comme système SSO (Single Sign-On). Il permet aux utilisateurs d'accéder en toute sécurité aux applications et aux ressources de différents domaines avec une seule connexion à l'aide de jetons de sécurité. Cela rationalise l'expérience utilisateur, renforce la sécurité en réduisant la réutilisation des mots de passe et simplifie la gestion des identités pour les entreprises.

L'authentification Autre IdP prend uniquement en charge la méthode de connexion SAML.

Configuration et activation de l'authentification externe

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.

    La page Authentification apparaît.

  2. Dans la section Authentification externe (SSO), cliquez sur Configurer et activer.

    La page Activer l'authentification externe (SSO) s'ouvre.

  3. Dans la liste déroulante Fournisseur, sélectionnez Autre IdP.

    L'écran Paramètres de configuration Google SAML 2.0 - Autre IdP apparaît. Il est recommandé de laisser cet onglet ouvert pour référence ultérieure lorsque vous configurez les détails dans la console de fournisseur d'identité.

  4. Dans la section Paramètres de configuration SAML 2.0 Autre IdP, vous pouvez sélectionner les options suivantes :

    • Activer les demandes signées : Activez cette option pour envoyer des demandes signées numériquement à un fournisseur d'authentification externe et configurer ce fournisseur pour vérifier si les demandes signées proviennent du locataire Ivanti Neurons. Vous pouvez également désactiver cette option pour arrêter l'envoi des demandes signées.

    • Activer les assertions cryptées : Activez cette option pour recevoir des informations d'utilisateur cryptées de la part du fournisseur d'authentification externe, et pour configurer le locataire Neurons afin de décrypter les informations. Vous pouvez également désactiver cette option pour arrêter de recevoir des informations d'utilisateur cryptées.

  5. Cliquez sur Appliquer les changements.
    Une fois les changements appliqués, vous pouvez télécharger les informations d'identité, comme les métadonnées et le certificat du fournisseur de services, pour un système SSO SAML, comme indiqué ci-dessous :

    • Télécharger les métadonnées SP : Cliquez sur cette option pour télécharger les métadonnées du fournisseur de services avec le certificat au format XML.

    • Télécharger le certificat uniquement : Cliquez sur cette option pour télécharger uniquement le certificat (au format .pem).

  1. Connectez-vous à la console du fournisseur IdP.

  2. Créez une nouvelle configuration SAML, qui servira à intégrer le système SSO à Ivanti Neurons.

  3. Si nécessaire, entrez les détails du fournisseur de services (SP), notamment les valeurs ID d'entité et URL du service consommateur d'assertion. Vous trouverez ces informations dans la page de configuration SSO d'Ivanti Neurons.

    Pour en savoir plus sur le téléchargement du certificat, reportez-vous aux étapes de la section « Configuration et activation de l'authentification externe (Plateforme Ivanti Neurons) ».

  4. Ensuite, téléchargez vers le serveur le certificat téléchargé depuis Ivanti Neurons (au format .cer), dans la section appropriée de la console du fournisseur IdP, pour activer les demandes signées et/ou les assertions cryptées. Vous devez utiliser le même certificat pour les demandes signées et pour les assertions cryptées.

  5. Téléchargez le fichier de métadonnées SAML (au format XML) depuis le portail du fournisseur d'identité.

Pour télécharger vers le serveur le fichier de métadonnées téléchargé depuis le fournisseur d'identité, procédez comme suit :

  2. Revenez à Ivanti Neurons.

  3. Dans la section Paramètres de configuration SAML 2.0 Autre IdP, cliquez sur Sélectionner un fichier.

  4. Repérez le fichier de métadonnées SAML téléchargé (au format XML), puis cliquez sur Télécharger vers le serveur.

  5. Cliquez ensuite sur Continuer pour poursuivre.

Vous devez vous connecter avec vos références d'authentification IdP pour valider les paramètres de connexion.

  1. Dans la page Valider les paramètres de connexion, cliquez sur Valider les paramètres.

    La validation s'effectue automatiquement. Un écran de confirmation apparaît si la connexion réussit.

    Vérifiez que les options Activer les demandes signées et/ou Activer les assertions cryptées activées dans la console IdP correspondent bien au locataire Neurons. Si les options activées ne correspondent pas, la validation échoue.

  2. Revenez à la page Valider les paramètres de connexion et cochez la case pour confirmer la connexion.

    Le fournisseur d'identité est désormais configuré.

  3. Cliquez sur Continuer pour passer à la page Convertir votre compte de plateforme Ivanti Neurons.

Le fournisseur Autre IdP est désormais configuré mais il n'est pas activé.

Pour l'activer, vous devez convertir vos comptes de plateforme Ivanti Neurons pour qu'ils utilisent Autre IdP.

  1. Dans la page Activer les comptes de plateforme Ivanti Neurons, cliquez sur Déconnecter et activer.
    La page de connexion Ivanti Neurons apparaît.
  2. Sélectionnez Se connecter avec Autre IdP, puis entrez vos références d'authentification IdP. La conversion est alors terminée.
    Pour vérifier, connectez-vous à Neurons, accédez à Admin > Authentification, et vérifiez qu'Autre IdP est le fournisseur d'authentification externe.

    3. La configuration de l'authentification Autre IdP et la connexion/validation des références d'authentification dans Ivanti Neurons doivent être réalisées par le même utilisateur pour éviter l'erreur Accès refusé.

Tous les membres reçoivent un e-mail qui confirme que le compte a bien été converti, et qu'ils doivent désormais accéder au locataire avec les références d'authentification Autre IdP. Si un membre ne possède pas de références d'authentification Autre IdP, il ne pourra pas accéder à Ivanti Neurons.

La méthode Authentification externe (SSO) porte désormais l'état Activé.

Configuration de l'autoprovisioning

Si vous activez l'autoprovisioning, vous autorisez automatiquement l'accès à Ivanti Neurons de tous membres de l'application Autre IdP, sans passer par le processus d'invitation manuelle. Lorsqu'un nouveau membre se connecte pour la première fois, un nouveau compte de plateforme Ivanti Neurons est provisionné dans Ivanti Neurons > Membres. Tous les nouveaux membres autoprovisionnés reçoivent les rôles de contrôle d'accès définis dans la configuration.

  1. Dans la plateforme Ivanti Neurons, accédez à Configuration > Authentification.

    La page Méthode d'authentification s'affiche.

  2. Dans la section Authentification externe, cliquez sur Actions et sélectionnez Activer l'autoprovisioning.

  3. Dans la liste déroulante Rôles par défaut, choisissez le rôle de contrôle d'accès à affecter à tous les nouveaux membres.

    Pour configurer des rôles, accédez à Ivanti Neurons > Admin > Rôles.

  4. Cliquez sur Activer l'autoprovisioning pour confirmer votre sélection de rôles et activer l'autoprovisioning pour tous les nouveaux membres.

Après l'activation, vous pouvez modifier les rôles de contrôle d'accès par défaut et désactiver l'autoprovisioning. Ces changements s'appliquent uniquement aux membres provisionnés après la modification et n'affectent pas les membres existants.

(Facultatif) Mettre à jour les métadonnées IdP (plateforme Ivanti Neurons)

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.
    La page Authentification apparaît.

  2. Dans la section Authentification externe, cliquez sur Actions > Mettre à jour les métadonnées IdP.
    L'écran Mettre à jour les métadonnées SAML apparaît.

  3. Dans Paramètres de configuration Autre IdP, cliquez sur Sélectionner un fichier.

  4. Ouvrez le fichier de métadonnées téléchargé et cliquez sur Télécharger (vers le serveur).

  5. Cliquez sur Continuer pour valider les paramètres.

  6. Sur la page Valider les nouvelles métadonnées SAML, cliquez sur Valider les métadonnées SAML.

  7. Un nouvel onglet s'ouvre sur la page de connexion de votre entreprise. Entrez vos références d'authentification et connectez-vous.
    La validation s'effectue automatiquement. Un écran de confirmation apparaît si la connexion réussit.

  8. Revenez à la page Valider les nouvelles métadonnées SAML et cochez la case pour confirmer la réussite de la connexion.

  9. Cliquez sur Continuer pour passer à la page Enregistrer les nouvelles métadonnées SAML.

  10. Cliquez sur Enregistrer les modifications pour achever le processus.
    Vous recevez une notification confirmant que la mise à jour des métadonnées a réussi.

(Facultatif) Mettre à jour les paramètres fournisseur (Plateforme Ivanti Neurons)

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.

    La page Authentification apparaît.

  2. Dans la section Authentification externe, cliquez sur Actions > Mettre à jour le paramètre Fournisseur.

    La page Mettre à jour le fournisseur SAML s'affiche.

  3. Dans Paramètres de configuration Autre IdP, vous pouvez sélectionner les options suivantes :

    • Activer les demandes signées : Activez cette option pour envoyer des demandes signées numériquement à un fournisseur d'authentification externe et configurer ce fournisseur pour vérifier si les demandes signées proviennent du locataire Ivanti Neurons. Vous pouvez également désactiver cette option pour arrêter l'envoi des demandes signées.

    • Activer les assertions cryptées : Activez cette option pour recevoir des informations d'utilisateur cryptées de la part du fournisseur d'authentification externe et pour configurer le locataire Neurons afin de décrypter les informations. Vous pouvez également désactiver cette option pour arrêter de recevoir des informations d'utilisateur cryptées.

  4. Cliquez sur Appliquer les changements.

    Vous pouvez à présent télécharger le fichier de métadonnées et le certificat du fournisseur de services mis à jour, en fonction de vos besoins.

  5. Cliquez sur Continuer pour valider les métadonnées.

  6. Dans la page Valider les paramètres de fournisseur SAML, cliquez sur Valider les paramètres.

  7. Un nouvel onglet s'ouvre sur la page de connexion de votre entreprise. Entrez vos références d'authentification et connectez-vous.

    La validation s'effectue automatiquement. Un écran de confirmation apparaît si la connexion réussit.

  8. Revenez à la page Valider les paramètres de connexion et cochez la case pour confirmer la réussite de la connexion.

  9. Cliquez sur Continuer pour poursuivre.

  10. Cliquez sur Enregistrer les modifications pour achever le processus.

    Vous recevez une notification confirmant que la mise à jour a réussi.

(Facultatif) Mettre à jour le certificat (plateforme Ivanti Neurons)

Vous pouvez utiliser cette option pour mettre à jour un certificat arrivé à expiration ou lorsqu'un certificat est sur le point d'expirer.

La fonction de renouvellement est conçue pour être utilisée pendant les heures de faible activité. Une fois le certificat renouvelé, Neurons commence à l'utiliser immédiatement. Cela provoque l'échec des événements d'authentification chez le fournisseur d'identité, jusqu'à ce que ce dernier ait été mis à jour pour utiliser le nouveau certificat. Planifiez vos opérations en conséquence et veillez à coordonner les modifications dans votre logiciel IdP.

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.
    La page Authentification apparaît.

  2. Dans la section Authentification externe, cliquez sur Actions > Mettre à jour le certificat.
    L'écran Mettre à jour le certificat s'affiche.

  3. Cliquez sur Continuer.
    L'onglet Mettre à jour s'affiche.

  4. Dans l'onglet Mettre à jour, vous pouvez télécharger les métadonnées et le certificat du fournisseur de services.

    Une fois que vous avez téléchargé le certificat crypté mis à jour, vérifiez que le nouveau certificat est bien téléchargé vers la console du fournisseur d'identité avant de valider l'opération.

  5. Cliquez sur Continuer pour accéder à la page Valider le nouveau certificat.

  6. Cliquez sur Valider le certificat.
    La validation s'effectue automatiquement. Un écran de confirmation apparaît si la connexion réussit.

  7. Revenez à la page Valider les paramètres de connexion et cochez la case pour confirmer la connexion.

  8. Cliquez sur Continuer.
    La page Enregistrer le nouveau certificat s'affiche.

  9. Cliquez sur Enregistrer les changements.

(Facultatif) Télécharger les métadonnées ou le certificat du fournisseur de services (SP) (Plateforme Ivanti Neurons)

Si la configuration d'authentification externe pour Autre IdP doit être refaite en raison de problèmes ou d'erreurs, vous aurez besoin soit du certificat, soit des métadonnées SP. Vous pouvez les télécharger depuis la liste déroulante Actions d'Ivanti Neurons, comme suit :

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.

    La page Authentification apparaît.

  2. Dans la section Authentification externe (SSO), cliquez sur Actions. Dans la liste déroulante, vous pouvez cliquer sur les éléments suivants :

    • Télécharger les métadonnées SP : Cliquez sur cette option pour télécharger les métadonnées du fournisseur de services avec le certificat au format XML.

    • Télécharger le certificat uniquement : Cliquez sur cette option pour télécharger uniquement le certificat (au format .pem).

    Le fichier de métadonnées SP contient la dernière version enregistrée des paramètres de configuration du fournisseur, et le certificat est le dernier certificat actif.

(Facultatif) Supprimer la méthode d'authentification (plateforme Ivanti Neurons)

  1. Dans la plateforme Ivanti Neurons, accédez à Admin > Authentification.

    La page Authentification apparaît.

  2. Dans la section Authentification externe (SSO), cliquez sur Actions > Supprimer la méthode d'authentification.

    L'écran Supprimer l'authentification externe apparaît.

  3. Cliquez sur Déconnecter et réauthentifier.

    Ivanti Neurons est déconnecté.

  4. Cliquez sur Connexion avec e-mail et mot de passe.

  5. Entrez les références d'authentification et cliquez sur Connexion.

  6. Accédez à Admin > Authentification > Authentification externe, puis cliquez sur Actions > Supprimer la méthode d'authentification.

    L'écran Supprimer l'authentification externe apparaît.

  7. Cliquez sur Supprimer la méthode d'authentification.

    La méthode d'authentification existante est désormais supprimée.