Autenticazione ADFS (SAML)

Ivanti Neurons offre attualmente l'opzione di selezionare ADFS (Active Directory Federation Services) come provider di autenticazione esterna per il proprio tenant. L'autenticazione ADFS è un sistema di autenticazione single sign-on (SSO) che consente agli utenti di accedere in modo sicuro alle applicazioni e alle risorse in diversi domini con un singolo accesso utilizzando token di sicurezza. Ciò semplifica l'esperienza utente, migliora la sicurezza riducendo il riutilizzo delle password e semplifica la gestione delle identità per le organizzazioni.

L'autenticazione ADFS supporta solo il metodo di accesso basato su SAML.

Configurazione e abilitazione dell'autenticazione esterna

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.

    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna (SSO), fare clic su Configura e Abilita.

    Viene visualizzata la pagina Abilita autenticazione esterna (SSO).

  3. Dall'elenco a discesa Provider, selezionare ADFS.

    Viene visualizzata la pagina Impostazioni configurazione ADFS SAML 2.0. Si consiglia di lasciare aperta questa scheda per riferimento futuro quando si configurano i dati nella console ADFS Service Manager.

  4. Nella sezione Impostazioni di configurazione di ADFS SAML 2.0, è possibile selezionare le seguenti opzioni:

    • Abilita richieste firmate: abilitare questa opzione per inviare richieste firmate digitalmente a un provider di autenticazione esterna e configurare il provider per convalidare se le richieste firmate provengono dal tenant Ivanti Neurons. In alternativa, è possibile disattivare questa opzione per interrompere l'invio di richieste firmate.

    • Abilita asserzioni crittografate: abilitare questa opzione per ricevere informazioni utente crittografate dal provider di autenticazione esterna e poter configurare il tenant Neurons per decrittografare le informazioni. In alternativa, è possibile disabilitare questa opzione per interrompere la ricezione di informazioni utente crittografate.

  5. Fare clic su Applica modifiche.
    Una volta applicate le modifiche, è possibile scaricare le informazioni sull'identità, come i metadati e il certificato del provider di servizi, per un sistema SSO basato su SAML come indicato di seguito:

    • Scarica metadati SP: fare clic su questa opzione per scaricare i metadati del provider di servizi insieme al certificato in formato XML.

    • Scarica solo certificato: fare clic su questa opzione per scaricare solo il certificato (in formato .pem).

  1. Accedere alla console di ADFS Service Manager.
    Viene visualizzato il Dashboard.

  2. Dal Dashboard del Service Manager, accedere a Strumenti > Gestione AD FS.
    Viene visualizzata la procedura guidata di gestione AD FS.

  3. Nella sezione Azioni, espandere AD FS e selezionare l'opzione Aggiungi trust relying party.

    Viene visualizzata la procedura guidata Aggiungi trust relying party con più passaggi per eseguire la configurazione.

  4. Nella fase di benvenuto, selezionare l'opzione Attestazioni consapevoli e fare clic su Avvia.

  5. Nella faseSeleziona origine dati, selezionare Inserire manualmente i dati relativi alla trust relying party. Quindi, fare clic su Avanti.

  6. Nella fase Specifica nome di visualizzazione, immettere un nome per la trust relying party. Quindi, fare clic su Avanti.

  7. Nella fase Configura certificato, è possibile caricare il certificato di crittografia (in formato .cer) scaricato da Ivanti Neurons.
    Per caricare un certificato di crittografia, fare clic su Sfoglia. In questo modo si configurano le asserzioni crittografate per ADFS. Quindi, fare clic su Avanti.

    Per maggiori informazioni sul download del certificato, fare riferimento alla sezione Configurazione e abilitazione dell'autenticazione esterna (Ivanti Neurons Platform).

  1. Nella fase Configura URL, selezionare Abilita supporto per le opzioni del protocollo SAML 2.0 WebSSO e copiare-incollare l'URL del servizio da Neurons Platform. Quindi, fare clic su Avanti.

    Per l'URL del servizio, tornare a Ivanti Neurons e copiare l'URL del servizio consumer di asserzione dalla sezione Impostazioni di configurazione ADFS SAML 2.0.

  2. Nella fase Configura identificatori, immettere l'identificativo Trust relying party, quindi fare clic su Aggiungi. Quindi, fare clic su Avanti.

    Per l’identificativo Trust relying party, tornare a Ivanti Neurons e copiare l’ID entità nella sezione Impostazioni di configurazione di ADFS SAML 2.0.

  1. Nella fase Scegli criterio di controllo degli accessi, scegliere un criterio nella sezione Scegli criterio di controllo degli accessi in base ai requisiti organizzativi. Quindi, fare clic su Avanti per completare la configurazione.

    In questo modo si chiude la procedura guidata Aggiungi trust relying party e si crea la configurazione trust relying party.

  1. Nella procedura guidata di gestione di AD FS, selezionare la cartella Trust relying party.
    Viene visualizzata la configurazione della trust relying party che l'utente ha creato.

  2. Fare doppio clic sulla configurazione della trust relying party che l'utente ha creato e passare alla scheda Firma.

  3. Fare clic su Aggiungi per sfogliare e caricare il certificato di verifica della firma.

    Per maggiori informazioni sul download del certificato, fare riferimento ai passaggi della sezione Configurazione e abilitazione dell'autenticazione esterna (Ivanti Neurons Platform).

Assicurarsi che la configurazione ADFS includa le attestazioni richieste applicabili per Ivanti Neurons.

  1. Nella procedura guidata di gestione di AD FS, fare clic sull'opzione Modifica criterio di emissione attestazioni nella sezione Azioni.

    La procedura guidata Modifica criterio di emissione attestazioni per la configurazione della trust relying party selezionata creata dall'utente.

  2. Fare clic su Aggiungi regola.

    Viene visualizzata la procedura guidata Aggiungi regola attestazione trasformazione con i passaggi di configurazione.

  3. Nella fase Scegli tipo di regola, selezionare l'opzione Invia attributi LDAP come attestazioni e fare clic su Avanti.

  4. Nella fase Configura regola attestazione, immettere il nome di un'attestazione, selezionare l'archivio di attributi ed eseguire i mapping richiesti per gli attributi LDAP.

    Assicurarsi che siano configurati i seguenti mapping:

    • Indirizzi-e-mail -> Indirizzo e-mail

    • Nome dato -> Nome dato

    • Cognome -> Cognome

    • Indirizzi-e-mail -> ID nome

  5. Quindi, fare clic su Fine.
    Viene visualizzata la procedura guidata Modifica criterio di emissione attestazioni.

  6. Fare clic su Applica.

Una volta completata la configurazione ADFS, è necessario applicare l'URL dell'endpoint dei metadati del provider di identità nell'applicazione Ivanti Neurons.

  1. Identificare e copiare l'URL dei metadati del provider ADFS.

    L'URL dei metadati IdP del provider ADFS sarà nel seguente formato:
    https://<adfs-federation-service-name>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. Tornare a Ivanti Neurons Platform e incollare l'URL nel campo URL endpoint metadati provider di identità.
    In questo modo l'URL verrà convalidato.

  3. Fare clic su Continua per procedere.

È necessario connettersi con il proprio server ADFS per convalidare le impostazioni di connessione.

  1. Nella pagina Convalida impostazioni connessione, fare clic su Convalida impostazioni.

    La convalida avviene automaticamente. Se l'accesso viene effettuato correttamente, verrà visualizzata una schermata di conferma.

  2. Tornare alla pagina Convalida impostazioni connessione e selezionare la casella di controllo per confermare l'avvenuto accesso.

  3. Fare clic su Continua per procedere alla pagina Converti account Ivanti Neurons Platform.

ADFS risulta ora configurato, ma non è abilitato.

Per abilitarlo, è necessario convertire gli account di Ivanti Neurons Platform in ADFS.

  1. Sulla pagina Abilita account Ivanti Neurons Platform, fare clic su Esci e Abilita.
    Viene visualizzata la pagina Accesso Ivanti Neurons.
  2. Selezionare Accedi con ADFS e inserire le proprie credenziali ADFS, la conversione verrà quindi completata.
    Per verificare, accedere a Neurons, andare su Amministratore > Autenticazione e verificare che ADFS sia il provider di autenticazione esterna.

    3. Lo stesso utente deve configurare l'autenticazione ADFS, accedere e convalidare le credenziali in Ivanti Neurons, per evitare un errore di Accesso negato.

Tutti i membri riceveranno un'e-mail per confermare la conversione dell'account e la necessità, d'ora in avanti, di accedere al tenant con le credenziali ADFS. Se il membro non possiede delle credenziali ADFS, non sarà possibile accedere a Ivanti Neurons.

L'Autenticazione esterna (SSO) verrà ora visualizzata con uno stato Abilitato.

Configura provisioning automatico

L'abilitazione del provisioning automatico concederà automaticamente l'accesso a Ivanti Neurons per tutti i membri all'interno della Registrazione ADFS, senza dover passare per la procedura di invito manuale. Quando un nuovo membro effettua l'accesso per la prima volta, in Ivanti Neurons > Membri sarà disponibile un nuovo account per la Ivanti Neurons Platform. Tutti i nuovi membri con provisioning automatico otterranno i ruoli di controllo di accesso definiti nella configurazione.

  1. Nella Ivanti Neurons Platform navigare in Configura > Autenticazione.

    Viene visualizzata la pagina Metodo di autenticazione.

  2. Nella sezione Autenticazione esterna, fare clic su Azioni e selezionare Abilita provisioning automatico.

  3. Dall'elenco a discesa Ruoli predefiniti, selezionare il ruolo di controllo di accesso che si desidera assegnare a tutti i nuovi membri.

    Per configurare i Ruoli, passare a Ivanti Neurons > Amministratore > Ruoli.

  4. Fare clic su Abilita provisioning automatico per confermare la selezione del ruolo e abilitare il provisioning automatico per tutti i nuovi membri.

Una volta abilitati, è possibile modificare i ruoli predefiniti di controllo accessi e disabilitare il provisioning automatico. Queste modifiche si applicheranno solo ai membri con provisioning dopo le modifiche e non influiranno sui membri esistenti.

(Facoltativo) Aggiornamento dell’impostazione del provider (Ivanti Neurons Platform)

Questa azione consente di scegliere se utilizzare richieste firmate, asserzioni crittografate o entrambe.

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.

    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna, fare clic su Azioni > Aggiorna impostazione provider.

    Viene visualizzata la pagina Aggiorna provider SAML.

  3. In Impostazioni Configurazione ADFS, è possibile selezionare quanto segue:

    • Abilita richieste firmate: abilitare questa opzione per inviare richieste firmate digitalmente a un provider di autenticazione esterna e configurare il provider per convalidare se le richieste firmate provengono dal tenant Ivanti Neurons. In alternativa, è possibile disattivare questa opzione per interrompere l'invio di richieste firmate.

    • Abilita asserzioni crittografate: abilitare questa opzione per ricevere informazioni utente crittografate dal provider di autenticazione esterna. È possibile configurare il tenant Neurons per decrittografare le informazioni. In alternativa, è possibile disabilitare questa opzione per interrompere la ricezione di informazioni utente crittografate.

  4. Fare clic su Applica modifiche.

    Ora è possibile scaricare il file di metadati e il certificato aggiornati del provider di servizi in base alle proprie esigenze.

    Una volta scaricato il certificato crittografato aggiornato, assicurarsi che il nuovo certificato sia caricato nel gestore di sistema ADFS. Per caricare il certificato, fare riferimento alla sezione Configurazione ADFS (console Server Manager).

  5. Fare clic su Continua per convalidare i metadati.

  6. Nella pagina Convalida impostazioni provider SAML, fare clic su Convalida impostazione.

  7. Una nuova scheda si apre sulla pagina di accesso dell'organizzazione. Inserire le credenziali e accedere.

    La convalida avviene automaticamente. Se l'accesso viene effettuato correttamente, verrà visualizzata una schermata di conferma.

  8. Tornare alla pagina Convalida impostazione nuovo provider e selezionare la casella di controllo per confermare l'avvenuto accesso.

  9. Fare clic su Continua per procedere.

  10. Fare clic su Salva modifiche per completare la procedura.

    Viene ricevuta una notifica che conferma l'aggiornamento riuscito del segreto client.

(Opzionale)Aggiorna certificato (Ivanti Neurons Platform)

È possibile utilizzare questa opzione per aggiornare il certificato scaduto o quando un certificato sta per scadere.

La funzione di rinnovo è destinata all'uso durante le ore di utilizzo ridotte. Una volta che Neurons rinnova il certificato, inizia a utilizzarlo immediatamente. Ciò causerà eventi di autenticazione non riusciti nel provider di identità fino a quando l'IDP non verrà aggiornato per attendere il nuovo certificato. Pianificare di conseguenza e assicurarsi che si verifichino modifiche coordinate nel software IdP.

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.
    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna, fare clic su Azioni >Aggiorna certificato.
    Viene visualizzata la schermata Aggiorna certificato.

  3. Fare clic su Continua.
    Viene visualizzata la scheda Aggiorna.

  4. Nella scheda Aggiorna, è possibile scaricare i metadati e il certificato del provider di servizi.

    Una volta scaricato il certificato crittografato, assicurarsi che il nuovo certificato venga caricato nella console del provider di identità prima di convalidare.

  5. Fare clic su Continua per andare alla pagina Convalida nuovo certificato.

  6. Fare clic su Convalida certificato.
    La convalida avviene automaticamente. Se l'accesso viene effettuato correttamente, verrà visualizzata una schermata di conferma.

  7. Tornare alla pagina Convalida impostazioni connessione e selezionare la casella di controllo per confermare l'avvenuto accesso.

  8. Fare clic su Continua.
    Viene visualizzata la pagina Salva nuovo certificato.

  9. Fare clic su Salva modifiche.

(Facoltativo) Scaricare metadati o certificati SP (Ivanti Neurons Platform)

Se la configurazione di autenticazione esterna per ADFS deve essere ripetuta a causa di problemi o errori, richiederà il certificato o i metadati SP. Entrambi possono essere scaricati dal menu a discesa delle azioni da Ivanti Neurons, come indicato di seguito:

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.

    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna (SSO), fare clic su Azioni. Dal menu a discesa, è possibile fare clic su quanto riportato di seguito:

    • Scarica metadati SP: fare clic su questa opzione per scaricare i metadati del provider di servizi insieme al certificato in formato XML.

    • Scarica solo certificato: fare clic su questa opzione per scaricare solo il certificato (in formato .pem).

    Il file di metadati SP avrebbe l'ultima versione salvata delle impostazioni di configurazione del provider e il certificato sarebbe l'ultimo certificato attivo.

(Opzionale) Elimina metodo di autenticazione (Ivanti Neurons Platform)

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.

    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna (SSO), fare clic su Azioni > Elimina metodo di autenticazione.

    Viene visualizzata la schermata Elimina autenticazione esterna.

  3. Fare clic su Disconnetti e Riautentica.

    Disconnessione effettuata da Ivanti Neurons.

  4. Fare clic su Accedi con e-mail e password.

  5. Inserire le credenziali e fare clic su Accedi.

  6. Navigare in Amministratore > Autenticazione > Autenticazione esterna, quindi fare clic su Azioni > Elimina metodo di autenticazione.

    Verrà visualizzata la schermata Elimina autenticazione esterna.

  7. Fare clic su Elimina metodo di autenticazione.

    Il metodo di autenticazione esistente è ora eliminato.