Altra autenticazione IdP (SAML)

Ivanti Neurons offre attualmente l'opzione di selezionare un altro IdP (Identity Provider) come provider di autenticazione esterna per il proprio tenant. Oltre ai metodi di autenticazione esistenti, è possibile utilizzare altre autenticazioni IdP come sistema di accesso singolo (SSO) che consente agli utenti di accedere in modo sicuro alle applicazioni e alle risorse in diversi domini con un singolo accesso utilizzando token di sicurezza. Ciò semplifica l'esperienza utente, migliora la sicurezza riducendo il riutilizzo delle password e semplifica la gestione delle identità per le organizzazioni.

L'Altra autenticazione IdP supporta solo il metodo di accesso basato su SAML.

Configurazione e abilitazione dell'autenticazione esterna

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.

    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna (SSO), fare clic su Configura e Abilita.

    Viene visualizzata la pagina Abilita autenticazione esterna (SSO).

  3. Dal menu a discesa Provider, selezionare Altro IdP.

    Vengono visualizzate le Impostazioni configurazione Altro IdP SAML 2.0. Si consiglia di lasciare aperta questa scheda per riferimento futuro quando si configurano i dati nella console del provider di identità.

  4. Nella sezione Impostazioni di configurazione SAML 2.0 altro IdP, è possibile selezionare le seguenti opzioni:

    • Abilita richieste firmate: abilitare questa opzione per inviare richieste firmate digitalmente a un provider di autenticazione esterna e configurare il provider per convalidare se le richieste firmate provengono dal tenant Ivanti Neurons. In alternativa, è possibile disattivare questa opzione per interrompere l'invio di richieste firmate.

    • Abilita asserzioni crittografate: abilitare questa opzione per ricevere informazioni utente crittografate dal provider di autenticazione esterna e poter configurare il tenant Neurons per decrittografare le informazioni. In alternativa, è possibile disabilitare questa opzione per interrompere la ricezione di informazioni utente crittografate.

  5. Fare clic su Applica modifiche.
    Una volta applicate le modifiche, è possibile scaricare le informazioni sull'identità, come i metadati e il certificato del provider di servizi, per un sistema SSO basato su SAML come indicato di seguito:

    • Scarica metadati SP: fare clic su questa opzione per scaricare i metadati del provider di servizi insieme al certificato in formato XML.

    • Scarica solo certificato: fare clic su questa opzione per scaricare solo il certificato (in formato .pem).

  1. Accedere alla console del provider IdP.

  2. Creare una nuova configurazione basata su SAML che consenta di integrare il sistema SSO con Ivanti Neurons.

  3. Se necessario, inserire i dettagli del provider di servizi come ID entità e URL del servizio consumer di asserzione. È possibile trovare queste informazioni nella pagina di configurazione SSO di Ivanti Neurons.

    Per maggiori informazioni sul download del certificato, fare riferimento alla sezione Configurazione e abilitazione dell'autenticazione esterna (Ivanti Neurons Platform).

  4. Quindi, caricare il certificato scaricato da Ivanti Neurons (in formato .cer) nella relativa sezione della console del provider IdP per abilitare le Richieste firmate e/o le Asserzioni crittografate. Lo stesso certificato deve essere utilizzato sia per le Richieste firmate che per le Asserzioni crittografate.

  5. Scaricare il file di metadati SAML (in formato XML) dal portale del provider di identità.

Per caricare il file di metadati scaricato dal provider di identità, attenersi alla seguente procedura:

  2. Tornare a Ivanti Neurons.

  3. Nella sezione Impostazioni di configurazione SAML 2.0 altro IdP, fare clic su Seleziona file.

  4. Sfogliare il file di metadati SAML scaricato (in formato XML), quindi fare clic su Carica.

  5. Quindi, fare clic su Continua per procedere.

È necessario connettersi con il proprio IdP per convalidare le impostazioni di connessione.

  1. Nella pagina Convalida impostazioni connessione, fare clic su Convalida impostazioni.

    La convalida avviene automaticamente. Se l'accesso viene effettuato correttamente, verrà visualizzata una schermata di conferma.

    Assicurarsi che l'opzione Abilita richieste firmate e/o Asserzioni crittografate abilitata nella console IdP corrisponda al tenant Neurons. Se le opzioni abilitate non corrispondono, la convalida non riesce.

  2. Tornare alla pagina Convalida impostazioni connessione e selezionare la casella di controllo per confermare l'avvenuto accesso.

    L'IDP è ora configurato.

  3. Fare clic su Continua per procedere alla pagina Converti account Ivanti Neurons Platform.

Altro IdP risulta ora configurato, ma non è abilitato.

Per abilitare, è necessario convertire gli account di Ivanti Neurons Platform per l'uso di Altro IdP.

  1. Sulla pagina Abilita account Ivanti Neurons Platform, fare clic su Esci e Abilita.
    Viene visualizzata la pagina Accesso Ivanti Neurons.
  2. Selezionare Accedi con Altro IdP e inserire le proprie credenziali IdP, la conversione verrà quindi completata.
    Per verificare, accedere a Neurons, andare su Amministratore > Autenticazione, e verificare che Altro IdP sia il provider di autenticazione esterna.

    3. Lo stesso utente deve configurare l'Altra autenticazione IdP e accedere e convalidare le credenziali in Ivanti Neurons, per evitare un errore di Accesso negato.

Tutti i membri riceveranno un'e-mail per confermare la conversione dell'account e la necessità, d'ora in avanti, di accedere al tenant con le credenziali Altro IdP. Se il membro non possiede delle credenziali Altro IdP, non sarà possibile accedere a Ivanti Neurons.

L'Autenticazione esterna (SSO) verrà ora visualizzata con uno stato Abilitato.

Configura provisioning automatico

L'abilitazione del provisioning automatico concederà automaticamente l'accesso a Ivanti Neurons per tutti i membri all'interno di Altro IdP, senza dover passare per il processo di invito manuale. Quando un nuovo membro effettua l'accesso per la prima volta, in Ivanti Neurons > Membri sarà disponibile un nuovo account per la Ivanti Neurons Platform. Tutti i nuovi membri con provisioning automatico otterranno i ruoli di controllo di accesso definiti nella configurazione.

  1. Nella Ivanti Neurons Platform navigare in Configura > Autenticazione.

    Viene visualizzata la pagina Metodo di autenticazione.

  2. Nella sezione Autenticazione esterna, fare clic su Azioni e selezionare Abilita provisioning automatico.

  3. Dall'elenco a discesa Ruoli predefiniti, selezionare il ruolo di controllo di accesso che si desidera assegnare a tutti i nuovi membri.

    Per configurare i Ruoli, passare a Ivanti Neurons > Amministratore > Ruoli.

  4. Fare clic su Abilita provisioning automatico per confermare la selezione del ruolo e abilitare il provisioning automatico per tutti i nuovi membri.

Una volta abilitati, è possibile modificare i ruoli predefiniti di controllo accessi e disabilitare il provisioning automatico. Queste modifiche si applicheranno solo ai membri con provisioning dopo le modifiche e non influiranno sui membri esistenti.

(Opzionale)Aggiorna metadati IdP (Ivanti Neurons Platform)

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.
    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna, fare clic su Azioni > Aggiorna metadati IdP.
    Viene visualizzata la schermata Aggiorna metadati SAML.

  3. In Impostazioni di configurazione Altro IdP, fare clic su Seleziona file.

  4. Aprire il file metadati scaricato e fare clic su Carica.

  5. Fare clic su Continua per convalidare le impostazioni.

  6. Nella pagina Convalida nuovi metadati SAML, fare clic su Convalida metadati SAML.

  7. Una nuova scheda si apre sulla pagina di accesso dell'organizzazione. Inserire le credenziali e accedere.
    La convalida avviene automaticamente. Se l'accesso viene effettuato correttamente, verrà visualizzata una schermata di conferma.

  8. Tornare alla pagina Convalida nuovi metadati SAML e selezionare la casella di controllo per confermare l'avvenuto accesso.

  9. Fare clic su Continua per passare alla pagina Salva nuovi metadati SAML.

  10. Fare clic su Salva modifiche per completare la procedura.
    Viene ricevuta una notifica che conferma l'aggiornamento riuscito dei metadati.

(Facoltativo) Aggiornamento delle impostazioni del provider (Ivanti Neurons Platform)

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.

    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna, fare clic su Azioni > Aggiorna impostazione provider.

    Viene visualizzata la pagina Aggiorna provider SAML.

  3. In Impostazioni di configurazione altro IdP, è possibile selezionare quanto segue:

    • Abilita richieste firmate: abilitare questa opzione per inviare richieste firmate digitalmente a un provider di autenticazione esterna e configurare il provider per convalidare se le richieste firmate provengono dal tenant Ivanti Neurons. In alternativa, è possibile disattivare questa opzione per interrompere l'invio di richieste firmate.

    • Abilita asserzioni crittografate: abilitare questa opzione per ricevere informazioni utente crittografate dal provider di autenticazione esterna. È possibile configurare il tenant Neurons per decrittografare le informazioni. In alternativa, è possibile disabilitare questa opzione per interrompere la ricezione di informazioni utente crittografate.

  4. Fare clic su Applica modifiche.

    Ora è possibile scaricare il file di metadati e il certificato aggiornati del provider di servizi in base alle proprie esigenze.

  5. Fare clic su Continua per convalidare i metadati.

  6. Nella pagina Convalida impostazioni provider SAML, fare clic su Convalida impostazione.

  7. Una nuova scheda si apre sulla pagina di accesso dell'organizzazione. Inserire le credenziali e accedere.

    La convalida avviene automaticamente. Se l'accesso viene effettuato correttamente, verrà visualizzata una schermata di conferma.

  8. Tornare alla pagina Convalida impostazione nuovo provider e selezionare la casella di controllo per confermare l'avvenuto accesso.

  9. Fare clic su Continua per procedere.

  10. Fare clic su Salva modifiche per completare la procedura.

    Viene ricevuta una notifica che conferma il corretto aggiornamento.

(Opzionale)Aggiorna certificato (Ivanti Neurons Platform)

È possibile utilizzare questa opzione per aggiornare il certificato scaduto o quando un certificato sta per scadere.

La funzione di rinnovo è destinata all'uso durante le ore di utilizzo ridotte. Una volta che Neurons rinnova il certificato, inizia a utilizzarlo immediatamente. Ciò causerà eventi di autenticazione non riusciti nel provider di identità fino a quando l'IDP non verrà aggiornato per attendere il nuovo certificato. Pianificare di conseguenza e assicurarsi che si verifichino modifiche coordinate nel software IdP.

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.
    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna, fare clic su Azioni >Aggiorna certificato.
    Viene visualizzata la schermata Aggiorna certificato.

  3. Fare clic su Continua.
    Viene visualizzata la scheda Aggiorna.

  4. Nella scheda Aggiorna, è possibile scaricare i metadati e il certificato del provider di servizi.

    Una volta scaricato il certificato crittografato, assicurarsi che il nuovo certificato venga caricato nella console del provider di identità prima di convalidare.

  5. Fare clic su Continua per andare alla pagina Convalida nuovo certificato.

  6. Fare clic su Convalida certificato.
    La convalida avviene automaticamente. Se l'accesso viene effettuato correttamente, verrà visualizzata una schermata di conferma.

  7. Tornare alla pagina Convalida impostazioni connessione e selezionare la casella di controllo per confermare l'avvenuto accesso.

  8. Fare clic su Continua.
    Viene visualizzata la pagina Salva nuovo certificato.

  9. Fare clic su Salva modifiche.

(Facoltativo) Scaricare metadati o certificati SP (Ivanti Neurons Platform)

Se la configurazione di autenticazione esterna per un altro IdP deve essere ripetuta a causa di problemi o errori, richiederà il certificato o i metadati SP. Entrambi possono essere scaricati dal menu a discesa delle azioni da Ivanti Neurons, come indicato di seguito:

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.

    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna (SSO), fare clic su Azioni. Dal menu a discesa, è possibile fare clic su quanto riportato di seguito:

    • Scarica metadati SP: fare clic su questa opzione per scaricare i metadati del provider di servizi insieme al certificato in formato XML.

    • Scarica solo certificato: fare clic su questa opzione per scaricare solo il certificato (in formato .pem).

    Il file di metadati SP avrebbe l'ultima versione salvata delle impostazioni di configurazione del provider e il certificato sarebbe l'ultimo certificato attivo.

(Opzionale) Elimina metodo di autenticazione (Ivanti Neurons Platform)

  1. In Ivanti Neurons Platform navigare in Amministratore > Autenticazione.

    Viene visualizzata la pagina Autenticazione.

  2. Nella sezione Autenticazione esterna (SSO), fare clic su Azioni > Elimina metodo di autenticazione.

    Viene visualizzata la schermata Elimina autenticazione esterna.

  3. Fare clic su Disconnetti e Riautentica.

    Disconnessione effettuata da Ivanti Neurons.

  4. Fare clic su Accedi con e-mail e password.

  5. Inserire le credenziali e fare clic su Accedi.

  6. Navigare in Amministratore > Autenticazione > Autenticazione esterna, quindi fare clic su Azioni > Elimina metodo di autenticazione.

    Viene visualizzata la schermata Elimina autenticazione esterna.

  7. Fare clic su Elimina metodo di autenticazione.

    Il metodo di autenticazione esistente è ora eliminato.