PingOne 認証

現在、Ivanti Neurons では、テナントの外部認証プロバイダとして PingOne を選択することができます。 エンドユーザのログオン エクスペリエンスを一元化し、パスワード関連のヘルプデスクへのコールを減らして、ポリシーと監査証跡をより詳細に制御する必要がある場合には、この方法が推奨されます。

外部認証を構成または有効にする

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
  2. [認証] ページの [外部認証 (SSO)] セクションで、[構成して有効にする] をクリックします。
  3. [外部認証 (SSO) を有効にする] ページで、[プロバイダ] ドロップダウン リストから [PingOne] を選択します。
    PingOne 構成設定が表示されます。

Ivanti Neurons の構成を続行する前に、PingOne 管理コンソールでいくつかの手順を実行する必要があります。

Ivanti Neurons の構成を続行する前に、PingOne 管理コンソールで以下の手順を実行する必要があります。

  1. PingOne 管理コンソールにログインします。
  2. [マイ環境] > [管理者] で、サイドバー メニューから [接続] を選択します。
  3. [接続] メニューから [アプリケーション] を選択します。
  4. [管理者] ページで、[アプリケーション] の横にある + アイコンを選択して新規アプリケーションを追加します。
  5. [新規アプリケーション] ページで [アプリケーション名] を入力します。例: Ivanti Neurons
  6. [アプリケーション タイプ] セクションで [ネイティブ] を選択します。
  7. [保存] をクリックします。 [新規アプリケーション] ページが表示されます。
  8. [新規アプリケーション] ページで [構成] タブを選択します。
  9. [編集] を選択します。
  10. [リダイレクト URI] に、[Ivanti Neurons プラットフォーム] > [認証] ページからコピーした URI を貼り付けます。
  11. [トークン エンドポイント認証方法] を [Client Secret Post] に設定します。
  12. [サインオフ URL] に、[Ivanti Neurons プラットフォーム] > [認証] ページからコピーした URL を貼り付けます。
  13. [保存] をクリックします。
  14. [リソース] タブを選択します。
  15. [編集] を選択します。
  16. 新しい範囲として、[電子メール] 範囲、および [プロファイル] 範囲の2つを追加します。
  17. [保存] をクリックします。
  18. ユーザがこの新規アプリケーションにアクセスできるように、アプリケーションのトグルを [有効にする] に設定します。
  19. 有効化した後、[構成] タブを選択すると、すべてのパスが生成されています。 Ivanti Neurons プラットフォームの外部認証構成に入力するため、次のパスをコピーする必要があります。
    • 発行者
    • クライアント ID (このための [全般] セクションを展開します)
    • クライアント シークレット (このための [全般] セクションを展開します)

    20. 次の Ivanti Neurons プラットフォームでのセットアップ手順で使用できるように、[発行者]、[クライアント ID]、[クライアント シークレット] を記録またはコピーしておく必要があります。

PingOne のセットアップはこれで完了です。Ivanti Neurons プラットフォームに戻り、セットアップを進めることができます。

PingOne アプリケーションを作成した後は、Ivanti Neurons プラットフォームの構成に進むことができます。

  1. [PingOne 構成設定] ページ ([Ivanti Neurons プラットフォーム] > [認証] > [外部認証 (SSO)] > [構成して有効化]) に戻ります。

  2. PingOne で生成し、コピー/保存した [発行者] のパスを入力します。
  3. PingOne で生成し、コピー/保存した [クライアント ID] を入力します。
  4. PingOne で生成し、コピー/保存した [クライアント シークレット] 値 を入力します。
  5. [続行] をクリックすると、[接続設定の検証] ページが表示されます。

PingOne 認証資格情報に接続して、接続設定を検証する必要があります。

  1. [接続設定の検証] ページで [設定の検証] をクリックし、新しいタブから組織のサインイン ページにアクセスして、PingOne 認証資格情報を入力し、サインインします。 既にサインインしている場合は、認証資格情報は必要なく、検証が自動的に実行されるため、認証するアカウントにサインインしていることを確認してください。
    ログインが成功した場合は、確認画面が表示されます。

    2. PingOne ユーザ名は Ivanti Neurons ユーザ名と完全に一致している必要があります。

  2. このタブに戻ります (接続設定の検証)。
  3. [接続設定が正常に検証されたことを確認します] チェックボックスをオンにして、正常にログインしたことを確認します。
  4. [続行] をクリックすると、Ivanti Neurons プラットフォーム アカウントの変換に進みます。[Ivanti Neurons プラットフォーム アカウントの有効化] ページが表示されます。
  • E2018認証に失敗しました: PingOne での認証に失敗しました。 ユーザ名とパスワードが正しいことと、ユーザに PingOne へのアクセス権があることを確認してください。
  • E2020 Neurons プラットフォームのユーザ アカウントにリンクできませんでした: PingOne ユーザ ログインが、Ivanti Neurons プラットフォーム ユーザと一致していません。 Ivanti Neurons プラットフォームのユーザ アカウントの電子メール アドレスは、PingOne へのログインに使用される電子メール アドレスと一致していなければなりません

これで PingOne が構成されましたが、まだ有効化されていません。

有効にするには、PingOne を使用するように、Ivanti Neurons プラットフォーム アカウントを変換する必要があります。

  1. [Ivanti Neurons プラットフォーム アカウントの有効化] ページで、[サインアウトして有効にする] をクリックすると、Ivanti Neurons のサインイン ページが表示されます。
  2. Ivanti Neurons のサインイン ページで、[PingOne でサインイン] を選択し、PingOne 認証資格情報を入力すると、変換が完了します。
    すべてのメンバーは、アカウントが変換され、今後は PingOne 認証資格情報を使用してテナントにアクセスする必要があることを確認する電子メールを受信します。 PingOne 認証資格情報がないメンバーは、Ivanti Neurons にアクセスできません。

外部認証 (SSO) と [有効] ステータスが表示されます。

自動プロビジョニングの構成

自動プロビジョニングを有効にすると、手動の招待プロセスを行わなくても、 PingOne アプリケーションのすべてのメンバーに対して Ivanti Neurons へのアクセス権が自動的に付与されます。 新規メンバーの初回ログイン時に、[Ivanti Neurons] > [メンバー] に新規 Ivanti Neurons プラットフォーム アカウントがプロビジョンされます。 新しいすべての自動プロビジョニングされたメンバーには、設定で定義されたアクセス コントロール ロールが付与されます。

  1. Ivanti Neurons プラットフォームで、[セットアップ] > [認証] に移動して [認証方法] ページを表示します。
  2. [外部認証 (SSO)] セクションで [処理] をクリックして、[自動プロビジョニングを有効にする] を選択します。
  3. [既定のロール] ドロップダウン リストで、新しいすべてのメンバーに割り当てるアクセス コントロール ロールを選択します。
    ロールを設定するには、[Ivanti Neurons] > [管理] > [ロール] に移動します。
  4. [自動プロビジョニングを有効にする] をクリックして、ロール選択を確認し、すべての新しいメンバーの自動プロビジョニングを有効にします。

有効にすると、既定のアクセス権限ロールを編集するオプションと、自動プロビジョニングを無効化するオプションが使用可能になります。 自動プロビジョニングのロールの編集またはロールの無効化は、既存の自動プロビジョニング済みのメンバーには影響しません。変更後にプロビジョニングされたメンバーにのみ適用されます。

重要: 自動プロビジョニングが有効になった後は、PingOne アプリケーションにアクセス可能な全員が Ivanti Neurons にアクセスできます。 PingOne アプリケーション内から特定のユーザまたはグループへのアクセスを制限できます。 詳細については、PingOne ドキュメントをご参照ください。

クライアント シークレットの更新

PingOne クライアント シークレットを更新する場合は、この認証方法の使用を継続するための新しいクライアント シークレットを設定する必要があります。

  1. Ivanti Neurons プラットフォームで、[セットアップ] > [認証] に移動します。
  2. [アクション] をクリックして、[クライアント シークレットの更新] をクリックします。
    [クライアント シークレットの更新] ページが表示されます。
  3. PingOne アプリケーションから新しいクライアント シークレットを入力します。
  4. [続行] をクリックします。
    [クライアント シークレットの検証] ページが表示されます。
  5. [クライアント シークレットの検証] をクリックします。PingOne サインイン ページが表示されます。
    ユーザ名とパスワードを入力します。これが、Ivanti Neurons プラットフォームへのサインイン認証資格情報と同じものになります。 サインインするときに、新しいクライアント シークレットが検証されます。 成功した場合は、このウィザードがもう一度表示されます。続行すると、クライアント シークレットが更新されます。 失敗した場合は、戻って、入力した新しいクライアント シークレットが正確であるかどうかを確認してください。 他のエラーの理由については、検証のトラブルシューティングをご参照ください。
  6. 新しいクライアント シークレットが正常に検証された後、確認チェックボックスの [新しいクライアント シークレットが正常に検証されたことを確認します] をオンにし、[続行] をクリックします。
  7. [変更の保存] をクリックして、手順を完了します。 即時有効なクライアント シークレットが更新され、これ以上何もする必要がありません。