Okta 認証

現在、Ivanti Neurons では、テナントの外部認証プロバイダとして Okta を選択することができます。 エンドユーザのログオン エクスペリエンスを一元化し、パスワード関連のヘルプデスクへのコールを減らして、ポリシーと監査証跡をより詳細に制御する必要がある場合には、この方法が推奨されます。

外部認証を構成または有効にする

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
    [認証] ページが表示されます。
  2. [外部認証 (SSO)] セクションで、[構成して有効にする] をクリックします。
    [外部認証の有効化 (SSO)] ページが表示されます。
  3. [プロバイダ] ドロップダウン リストから [Okta] を選択します。
    [Okta 構成設定] が表示されます。

Ivanti Neurons の構成を続行する前に、Okta でいくつかの手順を実行する必要があります。

Ivanti Neurons の構成を続行する前に、Okta で次の手順を実行する必要があります。

  1. Okta にログインします。
  2. サイドバーメニューで [アプリケーション] > [アプリケーション] を選択します。
    [アプリケーション] ダッシュボードが表示されます。
  3. [アプリカタログを参照] を選択します。
    [アプリ統合カタログの参照] が表示されます。
  4. Ivanti Neurons を検索して選択します。
  5. [統合の追加] を選択します。
    [Ivanti Neurons の追加] ページが表示されます。
  6. 既定のアプリケーション ラベルは Ivanti Neurons です。必要に応じて変更できます。 [完了] を選択します。
    [割り当て] ページが表示されます。
  7. [割り当て] ページでは、Ivanti Neurons アプリケーションにアクセスできるユーザを指定できます。個人またはグループにアクセスを許可できます。
    [ユーザに割り当て] または [グループに割り当て] を選択します。

    必ず統合を設定するユーザに割り当ててください。アプリケーションにアクセスするために権限が必要になります。

  8. アプリを割り当てるユーザまたはグループを検索して選択します。
  9. [割り当て] を選択します。
  10. すべての必要なユーザまたはグループに割り当てた後、[完了] を選択します。
  11. [サインオン] タブを選択します。
  12. [編集] を選択します。
  13. [基本 URL] で、[Ivanti Neurons プラットフォーム] > [認証] ページからコピーした URL を貼り付けます。
  14. [保存] をクリックします。 統合が作成されます。
  15. クライアント IDクライアントシークレットが生成されて、表示されます。

    16. Ivanti Neurons プラットフォームでのセットアップの次の手順で使用する、ドメインクライアント IDクライアント シークレットを記録する必要があります。

SP が開始した SSO のみがサポートされます。

  1. 管理者として Okta にログインします。
  2. [アプリケーション] ドロップダウンを展開し、[アプリケーション] をクリックします。
  3. [アプリカタログを参照] をクリックします。
  4. [ブックマーク アプリ] を検索し、これを結果リストから選択して、[追加] をクリックします。
  5. [アプリケーション ラベル] を入力します。これが表示名になります。例: Ivanti Neurons <Company Name> Neurons テナント
  6. URL をコピーし、[URL] フィールドに直接リンクさせます。 これは、接続先とする Neurons テナントの URL でなければなりません。
  7. [保存] をクリックします。
  8. テストするユーザを割り当てます。

Okta のセットアップが完了しました。Ivanti Neurons プラットフォームに戻り、設定を進めることができます。

Okta アプリケーションを作成した後は、Ivanti Neurons プラットフォームの構成に進むことができます。

  1. [Okta 構成設定] ページ ([Ivanti Neurons プラットフォーム] > [認証] > [外部認証 (SSO)] > [構成して有効化] に戻ります。
  2. Okta アプリ統合の右上のユーザ プロファイル ドロップダウンから [Okta ドメイン] を入力します。
  3. [認可サーバ ID] は空白にします。カスタム認可サーバを使用している場合にのみテナント詳細を指定する必要があります。 詳細については、Okta アプリ設定 - カスタム認可サーバをご参照ください。
  4. Okta アプリ統合から生成、保存されたクライアント ID を入力します。
  5. Okta アプリ統合から生成、保存されたクライアント シークレット値 を入力します。
  6. [続行] をクリックすると、[接続設定の検証] ページが表示されます。

Okta 認証資格情報に接続して、接続設定を検証する必要があります。

  1. [接続設定の検証] ページで [設定の検証] をクリックし、新しいタブから組織のサインイン ページにアクセスして、Okta 認証資格情報を入力し、サインインします。既にサインインしている場合は、認証資格情報は必要なく、検証が自動的に実行されるため、認証するアカウントにサインインしていることを確認してください。
    ログインが成功した場合は、確認画面が表示されます。

    2. Okta ユーザ名は Ivanti Neurons ユーザ名と完全に一致する必要があります。

  2. このタブに戻ります (接続設定の検証)。
  3. [接続設定が正常に検証されたことを確認します] チェックボックスをオンにして、正常にログインしたことを確認します。
  4. [続行] をクリックすると、Ivanti Neurons プラットフォーム アカウントの変換に進みます。[Ivanti Neurons プラットフォーム アカウントの有効化] ページが表示されます。
  • E2018認証に失敗しました: Okta での認証に失敗しました。 ユーザ名とパスワードが正しいこと、ユーザが Okta アプリケーション登録でアクセス権があることを確認してください。
  • E2020 Neurons プラットフォームのユーザ アカウントにリンクできませんでした: Okta ユーザ ログインが、Ivanti Neurons プラットフォーム ユーザと一致していません。 Ivanti Neurons プラットフォームのユーザ アカウントの電子メール アドレスは、Okta へのログインに使用される電子メール アドレスと一致していることが必要です

これで Okta が構成されましたが、まだ有効化されていません。

有効にするには、Okta を使用するように、Ivanti Neurons プラットフォーム アカウントを変換する必要があります。

  1. [Ivanti Neurons プラットフォーム アカウントの有効化] ページで、[サインアウトして有効にする] をクリックします。
    Ivanti Neurons のサインイン ページが表示されます。
  2. [Okta でサインイン] を選択し、Okta 認証資格情報を入力すると、変換が完了します。
    すべてのメンバーは、アカウントが変換され、今後は Okta 認証資格情報を使用してテナントにアクセスする必要があることを確認する電子メールを受信します。 メンバーに Okta 認証資格情報がない場合は、Ivanti Neurons にアクセスできません。

外部認証 (SSO) と [有効] ステータスが表示されます。

  1. Okta にログインします。
  2. サイドバーメニューで [アプリケーション] > [アプリケーション] を選択します。
    [アプリケーション] ダッシュボードが表示されます。
  3. [アプリ統合の作成] を選択します。
    [新しいアプリ統合の作成] ページが表示されます。
  4. サインイン方法の [OIDC - OpenID Connect] を選択します。
  5. アプリケーション タイプの [Web アプリケーション] を選択します。
  6. [次へ] をクリックします。
    [新しい Web アプリ統合] ページが表示されます。
  7. [アプリ統合名] にアプリケーションの名前を入力します。
  8. 付与タイプについては、[暗黙的な付与 (ハイブリッド)] を選択します。
  9. サインインのリダイレクト URI: 基本 URL (Ivanti Neurons Platform Okta 構成の設定に表示) に /signin-okta を追加します。
  10. サインアウトのリダイレクト URI: 基本 URL (Ivanti Neurons Platform Okta 構成の設定に表示) に /signout-okta を追加します。
  11. [割り当て] でアクセスを制御するレベルを選択します。
  12. [保存] をクリックします。 アプリケーションが作成されます。
  13. クライアント IDクライアントシークレットが生成されて、表示されます。

    14. Ivanti Neurons プラットフォームでのセットアップの次の手順で使用する、ドメインクライアント IDクライアント シークレットを記録する必要があります。

Okta セットアップが完了しました。Ivanti Neurons プラットフォームに戻ることができます。

自動プロビジョニングの構成

自動プロビジョニングを有効にすると、手動の招待プロセスを行わずに、Okta アプリケーションのすべてのメンバーに対して Ivanti Neurons へのアクセス権を自動的に付与します。 新規メンバーの初回ログイン時に、[Ivanti Neurons] > [メンバー] に新規 Ivanti Neurons プラットフォーム アカウントがプロビジョンされます。 新しいすべての自動プロビジョニングされたメンバーには、設定で定義されたアクセス コントロール ロールが付与されます。

  1. Ivanti Neurons プラットフォームで、[セットアップ] > [認証] に移動します。
    [認証方法] ページが表示されます。
  2. [外部認証 (SSO)] セクションで [アクション] をクリックして、[自動プロビジョニングを有効にする] を選択します。
  3. [既定のロール] ドロップダウンで、新しいすべてのメンバーに割り当てるアクセス コントロール ロールを選択します。
    ロールを設定するには、[Ivanti Neurons] > [管理者] > [ロール] に移動します。
  4. [自動プロビジョニングを有効にする] をクリックして、ロール選択を確認し、すべての新しいメンバーの自動プロビジョニングを有効にします。

有効にすると、既定のアクセス コントロール ロールを編集するオプションと、自動プロビジョニングを無効化するオプションが使用可能になります。 自動プロビジョニングのロールの編集またはロールの無効化は、既存の自動プロビジョニング済みのメンバーには影響しません。変更後にプロビジョニングされたメンバーにのみ適用されます。

自動プロビジョニングが有効になった後は、Okta アプリケーションにアクセス可能な全員が Ivanti Neurons にアクセスできます。 Okta アプリケーション内から特定のユーザまたはグループへのアクセスを制限できます。 詳細については、Microsoft Okta ドキュメントをご覧ください。

クライアント シークレットの更新

Okta クライアント シークレットを更新する場合は、この認証方法を使用して新しいクライアント シークレットを設定する必要があります。

  1. Ivanti Neurons プラットフォームで、[セットアップ] > [認証] に移動します。
  2. [アクション] をクリックして、[クライアント シークレットの更新] をクリックします。
    [クライアント シークレットの更新] ページが表示されます。
  3. Okta アプリケーションからの新しいクライアント シークレットを入力します。
  4. [続行] をクリックします。
    [クライアント シークレットの検証] ページが表示されます。
  5. [クライアント シークレットの検証] をクリックします。Okta のサインイン ページが表示されます。
    ユーザ名とパスワードを入力します。これが、Ivanti Neurons プラットフォームへのサインイン認証資格情報と同じものになります。 サインインするときに、新しいクライアント シークレットが検証されます。 成功した場合は、このウィザードがもう一度表示されます。続行すると、クライアント シークレットが更新されます。 失敗した場合は、戻って、入力した新しいクライアント シークレットが正確であるかどうかを確認してください。 他のエラーの理由については、検証のトラブルシューティングをご参照ください。
  6. 新しいクライアント シークレットが正常に検証された後、確認チェックボックスの [新しいクライアント シークレットが正常に検証されたことを確認します] をオンにし、[続行] をクリックします。
  7. [変更の保存] をクリックして、手順を完了します。 即時有効なクライアント シークレットが更新され、これ以上何もする必要がありません。