Autenticazione PingFederate (SAML)

Ivanti Neurons offre attualmente l'opzione di selezionare PingFederate come provider di autenticazione esterna per il proprio tenant. PingFederate centralizza l'esperienza di accesso dell'utente finale, riduce il numero di chiamate all'help desk associate alle password e ottiene controlli granulari su criteri e audit trail.

Configura e abilita autenticazione esterna

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.
    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna (SSO), fare clic su Configura e Abilita.
    Viene visualizzata la pagina Abilita autenticazione esterna (SSO).

  3. Dall'elenco a discesa Provider selezionare PingFederate.

  4. Dall'elenco a discesa Metodo di accesso, selezionare Saml 2.0.

    Verranno visualizzate le Impostazioni di configurazione PingFederateSAML 2.0.
    Si consiglia di lasciare aperta questa scheda per riferimento futuro quando si configurano i dati nella console Amministratore PingFederate.

  1. Accedere alla console amministratore PingFederate.

  2. Da Applicazioni, selezionare Connessioni SP.

  3. Fare clic su Crea configurazione.

  4. In Modello connessione, selezionare NON UTILIZZARE UN MODELLO PER QUESTA CONNESSIONE e fare clic su Avanti.

  5. In Tipo di connessione, selezionare PROFILI SSO BROWSER poiché questa configurazione richiede l'accesso al browser.

  6. Dal menu a discesa PROTOCOLLO, selezionare SAML 2.0 e fare clic su Avanti.

  7. In Opzioni di connessione, selezionare SSO BROWSER e fare clic su Avanti.

  8. In Importa metadati, selezionare Nessuno e fare clic su Avanti.

  9. In Informazioni generali, inserire i seguenti dettagli disponibili nella scheda Ivanti Neurons aperta:

    • ID ENTITÀ DEL PARTNER (ID CONNESSIONE): identificatore univoco della connessione (ID entità).

    • NOME CONNESSIONE: identificatore della lingua per questa connessione.

  10. (Facoltativo) Specificare più ID di server virtuali, utilizzando l'URL di base per le configurazioni semplificate degli endpoint dei partner e fare clic su Avanti.

  11. In SSO browser, fare clic su Configura SSO browser per impostare o modificare la configurazione per l'SSO sicuro basato su browser alle risorse del partner.

    1. In Profili SAML, selezionare SSO inizializzato da SP per specificare i tipi di messaggi scambiati tra Identity Provider e Service Provider, nonché i metodi di trasporto (binding), quindi fare clic su Avanti.

    2. In Durata di vita di asserzione, impostare il periodo di validità prima e dopo l'emissione per l'asserzione all'SP, quindi fare clic su Avanti.

    3. In Creazione asserzione, fare clic su Configura creazione asserzione per impostare le asserzioni SAML per l'accesso SSO al sito del partner SP.

      1. In Mapping identità, selezionare Standard e fare clic su Avanti.

      2. In Contratto attributi, selezionare SAML_SUBJECT e aggiornare i campi Estendi il contratto con il seguente set di attributi utente richiesti che il server invierà nell'asserzione:

        • e-mail

        • given_name

        • family_name

      3. Fare clic su Avanti.

      4. In Mapping origine autenticazione, fare clic su Mappa nuova istanza adattatore.

        1. In Istanza adattatore, selezionare PingOneIdpAdapter, quindi fare clic su Avanti.

        2. In Metodo mapping, selezionare USA SOLO I VALORI DI CONTRATTO ADATTATORE NELL'ASSERZIONE SAML, quindi fare clic su Avanti.

        3. In Adempimento contratto attributo, aggiornare il Contratto attributo nel modo seguente:

          • SAML_SUBJECT: Origine - Adattatore, Valore - nome utente

          • e-mail: Origine - Adattatore, Valore - e-mail

          • family_name: Origine - Adattatore, Valore - nome.famiglia

          • given_name: Origine - Adattatore, Valore - nome.fornito

        4. Fare clic su Avanti.

        5. In Criteri di emissione, aggiornare o lasciare vuoti i campi come richiesto e fare clic su Avanti.

        6. Esaminare i dettagli in Riepilogo e fare clic su Fatto.

      5. In Mapping origine autenticazione, fare clic su Avanti.

      6. Esaminare i dettagli in Riepilogo e fare clic su Fatto.

    4. In Creazione asserzione, fare clic su Avanti.

    5. In Impostazioni protocollo, fare clic su Configura impostazioni protocollo per impostare le asserzioni SAML per l'accesso SSO al sito del partner SP.

      1. In URL servizio clienti asserzione, copiare l'URL Servizio clienti asserzione dalla piattaforma Neurons e incollarlo nel campo Endpoint URL del portale Amministratore PingFederate.

      2. Selezionare POST dal menu a discesa Binding e fare clic su Aggiungi > Avanti.

      3. In Bingind SAML consentibili, selezionare POST e fare clic su Avanti.

      4. In Criterio firma, selezionare FIRMA RISPOSTA COME RICHIESTO e fare clic su Avanti.

      5. In Criteri di crittografia, selezionare NESSUNO, quindi fare clic su Avanti.

      1. Esaminare i dettagli in Riepilogo e fare clic su Fatto.

    6. In Impostazioni di protocollo, fare clic su Avanti.

    7. Esaminare i dettagli in Riepilogo e fare clic su Fatto.

  1. In SSO browser, fare clic su Avanti.

  2. In Credenziali, fare clic su Configura credenziali per impostare le impostazioni della firma digitale.

    1. Selezionare un certificato dal menu a discesa CERTIFICATO DI FIRMA.

    2. Mantenere i valori dei campi CERTIFICATO FIRMA SECONDARIA e ALGORITMO DI FIRMA e fare clic su Avanti.

    3. Esaminare i dettagli in Riepilogo e fare clic su Salva.

  1. In Credenziali, fare clic su Avanti.

  2. Esaminare i dettagli in Attivazione e riepilogo e fare clic su Fatto. Viene visualizzata la pagina Connessioni SP .

  3. Fare clic su Seleziona azione sotto Azioni rispetto alla nuova connessione configurata > Esporta metadati.

  4. In Firma metadati, selezionare un certificato dal menu a discesa CERTIFICATO DI FIRMA.

  5. Selezionare un algoritmo dal menu a discesa ALGORITMO DI FIRMA e fare clic su Avanti.

  6. Selezionare Esporta. Il file metadati viene scaricato.

  7. Navigare nella pagina Abilita autenticazione esterna di Ivanti Neurons Platform che è stata aperta e fare clic su Seleziona file.

  8. Aprire il file metadati scaricato e fare clic su Carica.

  9. Fare clic su Continua per convalidare le impostazioni.

È necessario connettersi con le credenziali PingFederate per convalidare le impostazioni di connessione.

  1. Nella pagina Convalida impostazioni connessione, fare clic su Convalida impostazioni. Una nuova scheda si apre sulla pagina di accesso dell'organizzazione. Inserire le credenziali PingFederate e accedere.

  2. Tornare alla pagina Convalida impostazioni connessione e selezionare la casella di controllo per confermare l'avvenuto accesso.
    PingFederate risulta ora configurato, ma non è abilitato. Per abilitare, è necessario convertire gli account di Ivanti Neurons Platform in PingFederate.

  1. Fare clic su Continua per procedere alla pagina Converti account Ivanti Neurons Platform.

  • Errore di autenticazione E2018: l'utente non si è identificato con PingFederate. Controllare che il nome utente e la password siano corretti e che l'utente abbia le autorizzazioni sulla connessione SP PingFederate.

  • E2019 Attestazioni opzionali mancanti: la fase di convalida non è riuscita perché le attestazioni opzionali aggiuntive non erano presenti nel token restituito a Ivanti Neurons Platform da PingFederate.

  • E2020 Impossibile collegare all'account utente Neurons Platform: il login utente PingFederate non corrisponde all'utente della Ivanti Neurons Platform. L'indirizzo e-mail dell'account utente della Ivanti Neurons Platform deve corrispondere all'indirizzo e-mail utilizzato per accedere a PingFederate.

  1. Sulla pagina Converti account Ivanti Neurons Platform, fare clic su Esci e Abilita. Disconnessione effettuata da Ivanti Neurons.

  2. Fare clic su Accedi con PingFederate e inserire le proprie Credenziali PingFederate per completare il processo.

  3. Ora è possibile visualizzare l'applicazione PingFederate in Amministratore > Autenticazione con uno stato Abilitato

  4. Fare clic su Disconnetti dalla Neurons Platform.
    Ora, quando si effettua un nuovo accesso, si viene instradati in PingFederate per scegliere l'account e accedere con le credenziali PingFederate.

Configura provisioning automatico

L'abilitazione del provisioning automatico concederà automaticamente l'accesso a Ivanti Neurons per tutti i membri all'interno della connessione SP PingFederate, senza dover passare per il processo di invito manuale. Quando un nuovo membro effettua l'accesso per la prima volta, in Ivanti Neurons > Membri sarà disponibile un nuovo account per la Ivanti Neurons Platform. Tutti i nuovi membri con provisioning automatico otterranno i ruoli di controllo di accesso definiti nella configurazione.

  1. In Ivanti Neurons Platform navigare in Configura > Autenticazione.
    Viene visualizzata la pagina Metodo di autenticazione.

  1. Nella sezione Autenticazione esterna (SSO), fare clic su Azioni e selezionare Abilita provisioning automatico.

  1. Dall'elenco a discesa Ruoli predefiniti, selezionare il ruolo di controllo di accesso che si desidera assegnare a tutti i nuovi membri.
    Per configurare i Ruoli, passare a Ivanti Neurons > Amministratore > Ruoli.

  1. Fare clic su Abilita provisioning automatico per confermare la selezione del ruolo e abilitare il provisioning automatico per tutti i nuovi membri.

Una volta abilitati, è possibile modificare i ruoli predefiniti di controllo accessi e disabilitare il provisioning automatico. Queste modifiche si applicheranno solo ai membri con provisioning dopo le modifiche e non influiranno sui membri esistenti.

L'abilitazione del provisioning automatico concede a tutti gli utenti PingFederate Application Registration l'accesso a Ivanti Neurons. È possibile limitarne l'accesso a determinati utenti o gruppi dall'interno dell'Applicazione PingFederate.

(Opzionale)Aggiorna metadati (Ivanti Neurons Platform)

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.
    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna, fare clic su Azioni > Aggiorna metadati.
    Viene visualizzata la schermata Aggiorna metadati SAML.

  3. In Impostazioni configurazione PingFederate, fare clic su Seleziona file.

  4. Aprire il file metadati scaricato e fare clic su Carica.

  5. Fare clic su Continua per convalidare le impostazioni.

  6. Nella pagina Convalida nuovi metadati SAML, fare clic su Convalida metadati SAML.

  7. Una nuova scheda si apre sulla pagina di accesso dell'organizzazione. Inserire le credenziali e accedere.
    La convalida avviene automaticamente. Se l'accesso viene effettuato correttamente, verrà visualizzata una schermata di conferma.

  8. Tornare alla pagina Convalida nuovi metadati SAML e selezionare la casella di controllo per confermare l'avvenuto accesso.

  9. Fare clic su Continua per passare alla pagina Salva nuovi metadati SAML.

  10. Fare clic su Salva modifiche per completare la procedura.
    Viene ricevuta una notifica che conferma l'aggiornamento riuscito dei metadati.

(Opzionale) Elimina metodo di autenticazione (Ivanti Neurons Platform)

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.
    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna, fare clic su Azioni > Elimina metodo di autenticazione.
    Viene visualizzata la schermata Elimina autenticazione esterna.

  3. Fare clic su Disconnetti e Riautentica.
    Disconnessione effettuata da Ivanti Neurons.

  4. Fare clic su Accedi con e-mail e password.

  5. Inserire le credenziali e fare clic su Accedi.

  6. Navigare in Amministratore > Autenticazione > Autenticazione esterna, quindi fare clic su Azioni > Elimina metodo di autenticazione.
    Verrà visualizzata la schermata Elimina autenticazione esterna.

  7. Fare clic su Elimina metodo di autenticazione.
    Il metodo di autenticazione esistente è ora eliminato.