Autenticazione Entra ID (SAML)

Entra ID è un'opzione per il fornitore di autenticazione esterna per il proprio tenant. Si tratta di una buona scelta se si desidera effettuare le seguenti operazioni:

  • Centralizzare l'esperienza di accesso dell'utente finale.

  • Ridurre il numero di chiamate all'help desk relative alle password.

  • Disporre di controlli granulari sui criteri e sugli audit trail.

Di seguito sono riportati i passaggi per la creazione di un Protocollo Entra ID - SAML:

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.
    Viene visualizzata la pagina Autenticazione.
  2. Nella sezione Autenticazione esterna (SSO), fare clic su Configura e Abilita.
    Viene visualizzata la pagina Abilita autenticazione esterna.
  3. Dal menu a discesa Provider selezionare Entra ID.
  4. Dall'elenco a discesa Metodo accesso, selezionare SAML
    Viene visualizzata la pagina Impostazioni configurazione Entra ID. Questi dati serviranno per configurare Entra ID, quindi tenere aperta questa scheda nel browser. Nelle istruzioni che seguono si fa riferimento a "Neurons" o "Scheda Neurons".

Prima di proseguire con la configurazione di Ivanti Neurons, è necessario eseguire alcuni passaggi in Microsoft Azure Portal.

In una nuova scheda del browser, accedere al proprio tenant Entra ID:

  1. Accedere ad Applicazioni aziendali

  2. Selezionare Nuova applicazione

  3. Selezionare Creare la propria applicazione.

    1. Inserire un nome.

    2. Selezionare l'opzione: "Integrare qualsiasi altra applicazione che non si trova nella galleria (non galleria)".

    3. Fare clic su Crea, attendere che Entra ID finisca.

Aprire l'applicazione appena creata:

  1. Andare in Single Sign-on

  2. Selezionare SAML.

Vedere la fase 4 per fornire i dati forniti da Neurons, il tenant UEM, e stabilire la connessione tra Entra ID e Neurons.

È necessario copiare le informazioni tra Ivanti Neurons Platform ed Entra ID per stabilire un handshake sicuro. Tenere a disposizione entrambe le schede in cui abbiamo lavorato e passare da una all'altra seguendo le istruzioni seguenti.

In EntraID, selezionare Modifica nel riquadro Configurazione SAML base. A destra apparirà una finestra.

  • L'EntityID in Neurons verrà copiato nell'Identificatore in Entra ID. Fare clic su Aggiungi identificatore per visualizzare la casella di testo nella finestra Entra ID > Modifica.

  • L'URL dell'Assertion Consumer Service in Neurons sarà copiato nell'URL risposta in Entra ID. Di nuovo, fare clic su Aggiungi URL di risposta per visualizzare la casella di testo.

  • Fare clic su Salva.

Quando viene visualizzata una casella di testo da testare, selezionare l'opzione di rifiuto poiché tutte le voci verranno convalidate insieme.

In questo modo si imposta l'applicazione.

In Certificati SAML nel Tenant Entra ID, viene fornito un URL Metadati federazione app. Copiare e passare a Neurons, quindi incollare in:

  • URL endpoint metadati Identity Provider (IDP)

  • Fare clic su Continua.

Viene impostato l'handshake sicuro.

Definire le modalità di aggiunta degli utenti a Entra ID

Tornare a Entra ID. Nel menu a sinistra, alla voce Proprietà, procedere come segue per definire le modalità di aggiunta degli utenti:

  • Verificare che Assegnazione richiesta sia impostato secondo le proprie esigenze:

    • : l'amministratore sceglie quali utenti del tenant possono accedere. Se l'assegnazione è richiesta, l'amministratore dovrà selezionare esplicitamente gli utenti che possono accedere. Questa operazione si effettua in Utenti e gruppi > Aggiungi nome utente.

    • No: qualsiasi utente del tenant può accedere utilizzando l'Entra ID.

  • Fare clic su Salva.

Tornare a Neurons.

È necessario connettersi con le credenziali Entra ID per convalidare le impostazioni di connessione.

  1. Nella pagina Convalida impostazioni di connessione, fare clic su Convalida impostazioni per accedere alla pagina di accesso dell'organizzazione tramite una nuova scheda. Questo è il Portale Azure. Inserire le proprie credenziali Entra ID e procedere all'accesso. Se si è già effettuato l'accesso, le credenziali non sono richieste e la convalida avviene automaticamente, pertanto assicurarsi di aver effettuato l'accesso all'account al quale si desidera autenticarsi.
    Se l'accesso viene effettuato correttamente, verrà visualizzata una schermata di conferma.

    2. Il nome utente Azure deve corrispondere esattamente al proprio nome utente Ivanti Neurons.

  2. Chiudere la schermata di conferma e tornare alla scheda Convalida delle impostazioni di connessione in Ivanti Neurons Platform, dove si è lavorato.
  3. Selezionare la casella di controllo per Confermo di aver convalidato le impostazioni di connessione per confermare l'avvenuto accesso.
  4. Fare clic su Continua.

L'handshake sicuro è stabilito, convalidato e funzionante.

  • Errore di autenticazione E2018: l'utente non si è identificato con Entra ID. Controllare che il nome utente e la password siano corretti e che l'utente abbia le autorizzazioni sul Registro applicazioni di Entra ID.
  • E2019 Richieste opzionali mancanti: la fase di convalida non è riuscita perché le richieste opzionali aggiuntive non erano presenti nel token restituito a Ivanti Neurons Platform da Entra ID.
  • E2020 Impossibile collegare all'account utente di Neurons Platform: il login utente Entra ID non corrisponde all'utente di Ivanti Neurons Platform. L'indirizzo e-mail dell'account utente della Ivanti Neurons Platform deve corrispondere all'indirizzo e-mail utilizzato per accedere a Entra ID.

Entra ID risulta ora configurato, ma non è abilitato.

Per abilitare, è necessario convertire gli account di Ivanti Neurons Platform per l'uso di Entra ID.

  1. Sulla pagina Abilita account Ivanti Neurons Platform, fare clic su Esci e Abilita.
    Viene visualizzata la pagina Accesso Ivanti Neurons.
  2. Selezionare Accedi con Entra ID e inserire le proprie credenziali Entra ID, la conversione verrà quindi completata.
    Per verificare, accedere a Neurons, andare su Amministratore > Autenticazione, e verificare che Entra ID sia il provider di autenticazione esterna.

    3. Lo stesso utente deve configurare l'autenticazione Entra ID e accedere e convalidare le credenziali in Ivanti Neurons, per evitare un errore di Accesso negato.

Tutti i membri riceveranno un'e-mail per confermare la conversione dell'account e la necessità, d'ora in avanti, di accedere al tenant con le credenziali Entra ID. Se il membro non possiede delle credenziali Entra ID, non sarà possibile accedere a Ivanti Neurons.

L'Autenticazione esterna (SSO) verrà ora visualizzata con uno stato Abilitato.

Configura provisioning automatico

L'abilitazione del provisioning automatico concederà automaticamente l'accesso a Ivanti Neurons per tutti i membri all'interno della Registrazione App Entra ID, senza dover passare per la procedura di invito manuale. Quando un nuovo membro effettua l'accesso per la prima volta, in Ivanti Neurons > Membri sarà disponibile un nuovo account per la Ivanti Neurons Platform. Tutti i nuovi membri con provisioning automatico otterranno i ruoli di controllo di accesso definiti nella configurazione.

  1. Nella Ivanti Neurons Platform navigare in Configura > Autenticazione.

    Viene visualizzata la pagina Metodo di autenticazione.
  2. Nella sezione Autenticazione esterna (SSO), fare clic su Azioni e selezionare Abilita provisioning automatico.
  3. Dall'elenco a discesa Ruoli predefiniti, selezionare il ruolo di controllo di accesso che si desidera assegnare a tutti i nuovi membri.

    Per configurare i Ruoli, passare a Ivanti Neurons > Amministratore > Ruoli.
  4. Fare clic su Abilita provisioning automatico per confermare la selezione del ruolo e abilitare il provisioning automatico per tutti i nuovi membri.

Una volta abilitate, diventano disponibili le opzioni Modifica i ruoli predefiniti di controllo accessi e Disabilita provisioning automatico. Le modifiche o la disattivazione del provisioning automatico dei ruoli non influiranno sui membri esistenti, ma si applicheranno solo a coloro che sono stati inseriti dopo che sono state apportate le modifiche.

Importante: una volta attivato il provisioning automatico, chiunque abbia accesso alla Registrazione dell'app Entra ID avrà accesso a Ivanti Neurons. È possibile limitarne l'accesso a determinati utenti o gruppi dall'interno del Portale Entra ID. Fare riferimento alla Documentazione di Microsoft Azure per ulteriori dettagli.