Autenticazione PingFederate (OIDC)

Ivanti Neurons offre attualmente l'opzione di selezionare PingFederate come provider di autenticazione esterna per il proprio tenant. PingFederate centralizza l'esperienza di accesso dell'utente finale, riduce il numero di chiamate all'help desk associate alle password e ottiene controlli granulari su criteri e audit trail.

Configura e abilita autenticazione esterna

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.
    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna (SSO), fare clic su Configura e Abilita.
    Viene visualizzata la pagina Abilita autenticazione esterna (SSO).

  3. Dall'elenco a discesa Provider selezionare PingFederate.

  4. Dall'elenco a discesa Metodo accesso, selezionare OpenId Connect (OIDC).

    Vengono visualizzate le Impostazioni di configurazione PingFederate.
    Si consiglia di lasciare aperta questa scheda per riferimento futuro quando si configurano i dati nella console Amministratore PingFederate.

  1. Accedere alla console amministratore PingFederate.

  2. Da Applicazioni, selezionare OAuth.

  3. Fare clic su Aggiungi client.

  4. In Client, aggiornare la configurazione client e le informazioni sui criteri come segue:

    1. ID CLIENT: inserire un ID cliente univoco di propria scelta. Copiare questo ID cliente e incollarlo nel campo ID client nella scheda Ivanti Neurons aperta.

    2. NOME: come ID CLIENT.

    3. AUTENTICAZIONE CLIENT: selezionare SEGRETO CLIENT.

    4. SEGRETO CLIENT: selezionare CAMBIA SEGRETO e fare clic su Genera segreto.

    5. Copiare il valore SEGRETO CLIENT e incollarlo nel campo Valore segreto client della scheda Ivanti Neurons aperta.

    6. REINDIRIZZA URI: copiare l'Uri di reindirizzamento dalla Neurons Platform e incollarlo nel campo URI reindirizzamento nel portale Amministratore PingFederate.

    7. Fare clic su Aggiungi.

    8. TIPI DI CONSENSO CONSENTITI: selezionare Codice di autorizzazione e Implicito.

    9. GESTIONE TOKEN ACCESSO PREDEFINITO: selezionare IvantiTestToken.

    10. CONNESSIONE OPENID: copiare l'Uri di disconnessione da Neurons Platform e incollarlo nel campo URI reindirizzamento post disconnessione sul portale Credenziali PingFederate e fare clic su Aggiungi.

    11. Fare clic su Salva.

  5. In SISTEMA, selezionare Server > Impostazioni protocollo > Informazioni federazione, copiare l'URL BASE e incollarlo nel campo Emittente della scheda Ivanti Neurons aperta.

  6. Fare clic su Continua nella scheda Ivanti Neurons per convalidare le impostazioni.

È necessario connettersi con le credenziali PingFederate per convalidare le impostazioni di connessione.

  1. Nella pagina Convalida impostazioni connessione, fare clic su Convalida impostazioni. Una nuova scheda si apre sulla pagina di accesso dell'organizzazione. Inserire le credenziali PingFederate e fare clic su Accedi.

  2. Sulla pagina Richiesta di approvazione, assicurarsi che sia selezionato quanto segue:

    • ACCEDI AL TUO NOME UTENTE

    • AMBITO OPENID

    • AMBITO PROFILO

    • AMBITO E-MAIL

  3. Fare clic su Consenti.

  4. Tornare alla pagina Convalida impostazioni connessione e selezionare la casella di controllo per confermare l'avvenuto accesso.
    Le credenziali di PingFederate risultano ora configurate, ma non sono abilitate. Per abilitare, è necessario convertire gli account di Ivanti Neurons Platform in PingFederate.

  5. Fare clic su Continua per procedere alla pagina Converti account Ivanti Neurons Platform.

  • Errore di autenticazione E2018: l'utente non si è identificato con PingFederate. Controllare che il nome utente e la password siano corretti e che l'utente abbia le autorizzazioni sulla connessione SP PingFederate.

  • E2019 Attestazioni opzionali mancanti: la fase di convalida non è riuscita perché le attestazioni opzionali aggiuntive non erano presenti nel token restituito a Ivanti Neurons Platform da PingFederate.

  • E2020 Impossibile collegare all'account utente Neurons Platform: il login utente PingFederate non corrisponde all'utente della Ivanti Neurons Platform. L'indirizzo e-mail dell'account utente della Ivanti Neurons Platform deve corrispondere all'indirizzo e-mail utilizzato per accedere a PingFederate.

  1. Sulla pagina Converti account Ivanti Neurons Platform, fare clic su Esci e Abilita. Disconnessione effettuata da Ivanti Neurons.

  2. Fare clic su Accedi con PingFederate e inserire le proprie Credenziali PingFederate per completare il processo.

  3. Ora è possibile visualizzare l'applicazione PingFederate in Amministratore > Autenticazione con uno stato Abilitato

  4. Fare clic su Disconnetti dalla Neurons platform.
    Ora, quando si accede nuovamente, si viene indirizzati a     PingFederate per scegliere l'account e accedere con le credenziali PingFederate .

Assicurarsi che il campo Adempimento contratto in Applicazioni > OAuth > Mapping token di accesso > Adattatore IdP: PingOneIdpAdapter > Mapping token di accesso includa attributi utente e-mail, given_name e family_name.

Configura provisioning automatico

L'abilitazione del provisioning automatico concederà automaticamente l'accesso a Ivanti Neurons per tutti i membri all'interno della Registrazione Applicazione Branding Onboarding Utente, senza dover passare per il processo di invito manuale. Quando un nuovo membro effettua l'accesso per la prima volta, in Ivanti Neurons > Membri sarà disponibile un nuovo account per la Ivanti Neurons Platform. Tutti i nuovi membri con provisioning automatico otterranno i ruoli di controllo di accesso definiti nella configurazione.

  1. In Ivanti Neurons Platform navigare in Configura > Autenticazione.
    Viene visualizzata la pagina Metodo di autenticazione.

  1. Nella sezione Autenticazione esterna (SSO), fare clic su Azioni e selezionare Abilita provisioning automatico.

  1. Dall'elenco a discesa Ruoli predefiniti, selezionare il ruolo di controllo di accesso che si desidera assegnare a tutti i nuovi membri.
    Per configurare i Ruoli, passare a Ivanti Neurons > Amministratore > Ruoli.

  1. Fare clic su Abilita provisioning automatico per confermare la selezione del ruolo e abilitare il provisioning automatico per tutti i nuovi membri.

Una volta abilitati, è possibile modificare i ruoli predefiniti di controllo accessi e disabilitare il provisioning automatico. Queste modifiche si applicheranno solo ai membri con provisioning dopo le modifiche e non influiranno sui membri esistenti.

L'abilitazione del provisioning automatico concede a tutti gli utenti PingFederate Application Registration l'accesso a Ivanti Neurons. È possibile limitarne l'accesso a determinati utenti o gruppi dall'interno dell'Applicazione PingFederate.

(Opzionale) Aggiorna segreto client (Ivanti Neurons Platform)

Se il segreto client PingFederate sta per scadere, sarà necessario impostarne uno nuovo per continuare a usare tale metodo di autenticazione.

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.
    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna, fare clic su Azioni > Aggiorna segreto client.
    Il     Viene visualizzata la pagina Aggiorna segreto client.

  3. Inserire il nuovo Segreto client ottenuto dall'applicazione PingFederate e incollarlo nel campo Valore segreto client della Ivanti Neurons Platform.

  4. Fare clic su Continua per convalidare il segreto Client.

  5. Nella pagina Convalida nuovo segreto client, fare clic su Convalida segreto client. Una nuova scheda si apre sulla pagina di accesso dell'organizzazione.

  6. Inserire le credenziali PingFederate e fare clic su Accedi.

  7. Sulla pagina Richiesta di approvazione, assicurarsi che sia selezionato quanto segue:

    1. ACCEDI AL TUO NOME UTENTE

    2. AMBITO OPENID

    3. AMBITO PROFILO

    4. AMBITO E-MAIL

  8. Fare clic su Consenti.

    In caso di successo, tornare a questa procedura guidata e proseguire con l'aggiornamento del segreto client.
    Se l'operazione non riesce, verificare che il nuovo segreto client inserito sia corretto. Per ulteriori motivi di mancata riuscita, vedere Risoluzione dei problemi di convalida.

  9. Tornare alla pagina Convalida nuovo segreto client e selezionare la casella di controllo per confermare l'avvenuto accesso.

  10. Fare clic su Continua per passare alla pagina Salva nuovo segreto client.

  11. Fare clic su Salva modifiche per completare la procedura.
    Viene ricevuta una notifica che conferma l'aggiornamento riuscito del segreto client.

(Opzionale) Elimina metodo di autenticazione (Ivanti Neurons Platform)

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.
    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna, fare clic su Azioni > Elimina metodo di autenticazione.
    Viene visualizzata la schermata Elimina autenticazione esterna.

  3. Fare clic su Disconnetti e Riautentica.
    Disconnessione effettuata da Ivanti Neurons.

  4. Fare clic su Accedi con e-mail e password.

  5. Inserire le credenziali e fare clic su Accedi.

  6. Navigare in Amministratore > Autenticazione> Autenticazione esterna, quindi fare clic su Azioni > Elimina metodo di autenticazione.
    Verrà visualizzata la schermata Elimina autenticazione esterna.

  7. Fare clic su Elimina metodo di autenticazione.
    Il metodo di autenticazione esistente è ora eliminato.