Autenticazione Entra ID
Ivanti Neurons offre attualmente l'opzione di selezionare Entra ID come provider di autenticazione esterno per il proprio tenant. Si tratta di una buona scelta se si desidera centralizzare l'esperienza di accesso dell'utente finale, ridurre il numero di chiamate all'help desk associate alle password e ottenere controlli granulari su criteri e audit trail.
Per utilizzare Entra ID, tutti i membri devono accettare la richiesta per Ivanti di accedere ai propri dati di profilo Azure di base.
Configura e abilita autenticazione esterna
- In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.
Viene visualizzata la pagina Autenticazione. - Nella sezione Autenticazione esterna (SSO), fare clic su Configura e Abilita.
Viene visualizzata la pagina Abilita autenticazione esterna (SSO). - Dal menu a discesa Provider selezionare Entra ID.
Viene visualizzata la pagina Impostazioni configurazione Entra ID.
Prima di proseguire con la configurazione di Ivanti Neurons, è necessario eseguire alcuni passaggi in Microsoft Azure Portal.
Prima di proseguire con la configurazione di Ivanti Neurons, è necessario eseguire i seguenti passaggi in Microsoft Azure Portal.
Fase A - Creare la propria applicazione Entra ID
- Accedere all'Entra ID Admin Center come Amministratore di Office 365.
- Nel menu della barra laterale, fare clic su Tutti i servizi > Registrazioni app.
Viene visualizzato il dashboard Registrazioni app. - Fare clic su Nuova registrazione.
- Inserire un nome appropriato per l'applicazione, quindi accettare i tipi di account supportati predefiniti: Account solo in questa directory organizzativa.
- Inserire l'URI di reindirizzamento, come visualizzato nelle Impostazioni di configurazione Neurons Platform Entra ID.
- Fare clic su Registra in fondo alla finestra di dialogo.
- Un ID (client) applicazione viene generato e visualizzato.
È necessario registrare l'ID applicazione (client) e l'ID directory (tenant), poiché sono necessari per la fase successiva della configurazione in Ivanti Neurons.
Fase B - Configurare le impostazioni di autenticazione
- Selezionare Autenticazione dal menu Registrazione app.
- Navigare in Impostazioni avanzate.
- Inserire l'URL di disconnessione, come visualizzato nelle Impostazioni di configurazione Neurons Platform Entra ID.
- Nella sezione Concessione implicita, assicurarsi che la casella di controllo Token ID sia selezionata.
- Fare clic su Salva.
Fase C - Creare un segreto
- Dall'interno dell'app creata, navigare in Registrazione app > Certificati e segreti.
- Creare Nuovo segreto client.
- Aggiungere una descrizione.
- Selezionare la durata di scadenza in linea con i propri standard aziendali.
- Fare clic su Aggiungi.
- Viene creato un valore che è necessario copiare in qualche luogo sicuro dato che questa è l'unica volta in cui verrà visualizzato.
Assicurarsi di copiare il Valore segreto e non l'ID segreto.
L'impostazione di Entra ID è ora completa ed è possibile tornare a Ivanti Neurons Platform.
La durata di vita del Segreto è giunta al termine, pertanto la propria azienda dovrebbe intraprendere misure per assicurarsi che la sostituzione avvenga prima della scadenza, per evitare eventuali interruzioni in Ivanti Neurons. Per informazioni sull'Aggiorna segreto client.
Passo D - Configurazione token
Impostare la configurazione token in modo da poter utilizzare il provisioning automatico.
- Selezionare Configurazione token dal menu Registrazione app.
- Selezionare Aggiungi attestazione opzionale per aprire il pannello laterale.
- Per il Tipo di token, selezionare ID.
- Dall'elenco Attestazioni, selezionare e-mail, family_name e given_name. Ciò consente di ottenere l'e-mail, il cognome e il nome per i nuovi membri di Ivanti Neurons, che rappresenta un requisito in caso di utilizzo del provisioning automatico.
- Fare clic su Aggiungi.
Fase E - Concessione delle autorizzazioni
Se l'utente che configura l'SSO non è un amministratore di Azure, allora l'amministratore di Azure deve accedere ad Azure e approvare la richiesta di autorizzazioni Utente-Lettura\Accesso per le app.
- Selezionare Gestisci > Autorizzazioni API per l'applicazione EntraID. È necessario aver effettuato l'accesso come amministratore di Azure.
- Se User.Read non è elencato come autorizzazione delegata, è necessario aggiungerlo. A tal fine:
- Selezionare Aggiungi un'autorizzazione.
- Selezionare Microsoft Graph > Autorizzazioni delegate.
- Selezionare l'autorizzazione User.Read.
- Selezionare Concedi consenso amministrativo per <entraid_tenant>.
Una volta creati l'applicazione Entra ID (client), la directory (tenant) e il segreto, è possibile proseguire la configurazione della Ivanti Neurons Platform.
-
Tornare alla pagina Impostazioni di configurazione Entra ID (Ivanti Neurons Platform > Autenticazione > Autenticazione esterna (SSO) > Configura e abilita.
- Inserire l'ID directory (Tenant) dalla registrazione app Entra ID.
- Inserire l'ID applicazione (Client) dalla registrazione app Entra ID.
- Inserire il Valore segreto client generato e salvato.
- Inserire la Data di scadenza segreto client, che dovrebbe corrispondere alla data di scadenza specificata alla creazione del segreto client. Vedere Aggiorna segreto client per ulteriori dettagli.
- Fare clic su Continua per visualizzare la pagina Convalida impostazioni di connessione.
È necessario connettersi con le credenziali Entra ID per convalidare le impostazioni di connessione.
- Nella pagina Convalida impostazioni di connessione, fare clic su Convalida impostazioni per accedere alla pagina di accesso dell'organizzazione tramite una nuova scheda, inserire le credenziali di Entra ID e procedere all'accesso. Se si è già effettuato l'accesso, le credenziali non sono richieste e la convalida avviene automaticamente, pertanto assicurarsi di aver effettuato l'accesso all'account al quale si desidera autenticarsi.
Se l'accesso viene effettuato correttamente, verrà visualizzata una schermata di conferma. - Tornare a questa scheda (Convalida impostazioni connessione).
- Selezionare la casella di controllo Confermo di aver convalidato le impostazioni di connessione per confermare l'avvenuto accesso.
- Fare clic su Continua per passare a convertire account Ivanti Neurons Platform.
Viene visualizzata la pagina Abilita account Ivanti Neurons Platform.
Il nome utente Azure deve corrispondere esattamente al proprio nome utente Ivanti Neurons.
- Errore di autenticazione E2018: l'utente non si è identificato con Entra ID. Controllare che il nome utente e la password siano corretti e che l'utente abbia le autorizzazioni sul Registro applicazioni di Entra ID.
- E2019 Richieste opzionali mancanti: la fase di convalida non è riuscita perché le richieste opzionali aggiuntive non erano presenti nel token restituito a Ivanti Neurons Platform da Entra ID.
- E2020 Impossibile collegare all'account utente di Neurons Platform: il login utente Entra ID non corrisponde all'utente di Ivanti Neurons Platform. L'indirizzo e-mail dell'account utente della Ivanti Neurons Platform deve corrispondere all'indirizzo e-mail utilizzato per accedere a Entra ID.
Entra ID risulta ora configurato, ma non è abilitato.
Per abilitare, è necessario convertire gli account di Ivanti Neurons Platform per l'uso di Entra ID.
- Sulla pagina Abilita account Ivanti Neurons Platform, fare clic su Esci e Abilita.
Viene visualizzata la pagina Accesso Ivanti Neurons. - Selezionare Accedi con Entra ID e inserire le proprie credenziali Entra ID, la conversione verrà quindi completata.
Lo stesso utente deve configurare l'autenticazione Entra ID e accedere e convalidare le credenziali in Ivanti Neurons, per evitare un errore di Accesso negato.
Tutti i membri riceveranno un'e-mail per confermare la conversione dell'account e la necessità, d'ora in avanti, di accedere al tenant con le credenziali Entra ID. Se il membro non possiede delle credenziali Entra ID, non sarà possibile accedere a Ivanti Neurons.
L'Autenticazione esterna (SSO) verrà ora visualizzata con uno stato Abilitato.
Configura provisioning automatico
L'abilitazione del provisioning automatico concederà automaticamente l'accesso a Ivanti Neurons per tutti i membri all'interno della Registrazione App Entra ID, senza dover passare per la procedura di invito manuale. Quando un nuovo membro effettua l'accesso per la prima volta, in Ivanti Neurons > Membri sarà disponibile un nuovo account per la Ivanti Neurons Platform. Tutti i nuovi membri con provisioning automatico otterranno i ruoli di controllo di accesso definiti nella configurazione.
- Nella Ivanti Neurons Platform navigare in Configura > Autenticazione.
Viene visualizzata la pagina Metodo di autenticazione. - Nella sezione Autenticazione esterna (SSO), fare clic su Azioni e selezionare Abilita provisioning automatico.
- Dall'elenco a discesa Ruoli predefiniti, selezionare il ruolo di controllo di accesso che si desidera assegnare a tutti i nuovi membri.
Per configurare i Ruoli, passare a Ivanti Neurons > Amministratore > Ruoli. - Fare clic su Abilita provisioning automatico per confermare la selezione del ruolo e abilitare il provisioning automatico per tutti i nuovi membri.
Una volta abilitate, diventano disponibili le opzioni Modifica i ruoli predefiniti di controllo accessi e Disabilita provisioning automatico. Le modifiche o la disattivazione del provisioning automatico dei ruoli non influiranno sui membri esistenti, ma si applicheranno solo a coloro che sono stati inseriti dopo che sono state apportate le modifiche.
Affinché il provisioning automatico funzioni, è necessario configurare Attestazioni opzionali da Passo D - Configurazione token.
Importante: una volta attivato il provisioning automatico, chiunque abbia accesso alla Registrazione dell'app Entra ID avrà accesso a Ivanti Neurons. È possibile limitarne l'accesso a determinati utenti o gruppi dall'interno del Portale Entra ID. Fare riferimento alla Documentazione di Microsoft Azure per ulteriori dettagli.
Aggiorna segreto client
Se il segreto client Entra ID sta per scadere, sarà necessario impostarne uno nuovo per continuare a usare tale metodo di autenticazione.
- Nella Ivanti Neurons Platform navigare in Configura > Autenticazione.
- Fare clic su Azioni e selezionare Aggiorna segreto client.
Viene visualizzata la pagina Aggiorna segreto client. - Inserire il nuovo Segreto client dalla propria applicazione Entra ID.
- Inserire la data per ricevere un promemoria su quando scadrà il segreto client. Un banner di promemoria verrà visualizzato nell'interfaccia utente e un'e-mail di promemoria verrà inviata agli utenti con il ruolo di amministratore, 28 giorni prima della scadenza. Ulteriori e-mail di promemoria saranno inviate 7 giorni prima e un giorno prima della scadenza.
Se il segreto client viene lasciato scadere e non ne viene impostato uno nuovo, l'accesso al servizio verrà interrotto e sarà necessario contattare il Supporto Ivanti per riottenere l'accesso. - Fare clic su Continua.
Viene visualizzata la pagina Convalida segreto client. - Fare clic su Convalida segreto client per aprire la pagina di registrazione di Entra ID.
Inserire il nome utente e la password, corrisponderanno alle credenziali di accesso alla Ivanti Neurons Platform. Quando si effettua l'accesso, il nuovo segreto client viene convalidato. In caso di successo, tornare a questa procedura guidata e proseguire con l'aggiornamento del segreto client. In caso di mancato successo, tornare e verificare se il nuovo segreto client immesso è accurato. Per ulteriori motivi di mancata riuscita, vedere Risoluzione dei problemi di convalida - Una volta convalidato il nuovo segreto client, selezionare la casella di controllo Confermo di aver convalidato il mio nuovo segreto client e fare clic su Continua.
- Fare clic su Salva modifiche per completare la procedura. Ciò aggiorna il segreto client e il promemoria di scadenza con effetto immediato, non saranno richieste ulteriori azioni.