PingFederate 認証 (OIDC)

現在、Ivanti Neurons では、テナントの外部認証プロバイダとして PingFederate を選択することができます。 PingFederate は、エンドユーザのログオン エクスペリエンスを一元化し、パスワード関連のヘルプ デスクへのコールを減らし、ポリシーと監査証跡に対する制御性を高めます。

外部認証を構成または有効にする

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
    [認証] ページが表示されます。

  2. [外部認証 (SSO)] セクションで、[構成して有効にする] をクリックします。
    [外部認証の有効化 (SSO)] ページが表示されます。

  3. [プロバイダ] ドロップダウンから [PingFederate] を選択します。

  4. [サインイン方法] ドロップダウンから [OpenId Connect (OIDC)] を選択します。

    [PingFederate 構成設定] が表示されます。
    このタブは、のちほど [PingFederate 管理] コンソールで詳細を構成する際に参照するため、開いたままにしておくことをお勧めします。

  1. PingFederate コンソールにログインします。

  2. [アプリケーション] から [OAuth] を選択します。

  3. [クライアントの追加] をクリックします。

  4. [クライアント] で、クライアント構成とポリシー情報を次のように更新します。

    1. クライアント ID: 任意の、一意のクライアント ID を入力します。 このクライアント ID をコピーし、開いておいた Ivanti Neurons タブの [クライアント ID] フィールドに貼り付けます。

    2. 名前: [クライアント ID] と同じ。

    3. クライアント認証: [クライアント シークレット] を選択します。

    4. [クライアント シークレット]: [シークレットの変更] を選択し、[シークレットの生成] をクリックします。

    5. [クライアント シークレット] 値をコピーし、開いておいた Ivanti Neurons タブの [クライアント シークレット値] フィールドに貼り付けます。

    6. [リダイレクト URI]: Neurons プラットフォームから [リダイレクト URI] をコピーし、[PingFederate 管理者] ポータルの [リダイレクト URI] フィールドに貼り付けます。

    7. [追加] をクリックします。

    8. 許可された付与タイプ: [許可コード][暗黙的] を選択します。

    9. 既定のアクセス トークン マネージャ: [IvantiTestToken] を選択します。

    10. OpenID Connect: Neurons プラットフォームから [サインオフ URI] をコピーし、[PingFederate 認証資格情報] ポータルの [ログアウト後のリダイレクト URI] フィールドに貼り付けて、[追加] をクリックします。

    11. [保存] をクリックします。

  5. [システム] で、[サーバ] > [プロトコル設定] > [フェデレーション情報] を選択し、[基本 URL] をコピーして、開いておいた Ivanti Neurons タブの [発行者] フィールドに貼り付けます。

  6. Ivanti Neurons タブで [続行] をクリックして設定を検証します。

PingFederate 認証資格情報に接続して、接続設定を検証する必要があります。

  1. [接続設定の検証] ページで、[設定の検証] をクリックします。 組織のサインイン ページに新規タブが開きます。 PingFederate 認証資格情報を入力して [サインオン] をクリックします。

  2. [承認要求] ページで、次の項目が選択されていることを確認します。

    • ユーザ名へのアクセス

    • OpenID 範囲

    • プロファイル範囲

    • 電子メール範囲

  3. [許可] をクリックします。

  4. [接続設定の検証] ページに戻り、ログイン成功を確認するチェックボックスをオンにします。
    これで PingFederate 構成が構成されましたが、まだ有効化されていません。 有効にするには、Ivanti Neurons プラットフォーム アカウントを PingFederate に変換する必要があります。

  5. [続行] をクリックして [Ivanti Neurons プラットフォーム アカウントの変換] ページに進みます。

  • E2018認証に失敗しました: PingFederate での認証に失敗しました。 ユーザ名とパスワードが正しいことと、ユーザに PingFederate SP 接続へのアクセス権があることを確認してください。

  • E2019 オプションのクレームがありません: 検証ステップが失敗しました。追加のオプションのクレームが、PingFederate から Ivanti Neurons プラットフォームに返されたトークンに存在しませんでした。

  • E2020 Neurons プラットフォームのユーザ アカウントにリンクできませんでした: PingFederate ユーザ ログインが、Ivanti Neurons プラットフォーム ユーザと一致していません。 Ivanti Neurons プラットフォームのユーザ アカウントの電子メール アドレスは、PingFederate へのログインに使用される電子メール アドレスと一致していなければなりません。

  1. [Ivanti Neurons プラットフォーム アカウントの変換] ページで、[サインアウトして有効にする] をクリックします。 Ivanti Neurons からサインアウトされます。

  2. [PingFederate でサインイン] をクリックし、PingFederate 認証資格情報を入力して手順を完了します。

  3. これで、PingFederate アプリケーションが [管理] > [認証][有効] ステータスとともに表示されます。 

  4. Neurons プラットフォームからの [サインアウト]クリック します。
    これで、サインインし直すと、     PingFederate でアカウントを選択し、PingFederate資格情報でサインインします。

[アプリケーション] > [OAuth] > [アクセス トークン マッピング] > [IdP アダプタ: PingOneIdpAdapter] > [アクセス トークン マッピング][契約の遂行] フィールドに、ユーザ属性 [電子メール][名][姓] が含まれていることを確認します。

自動プロビジョニングの構成

自動プロビジョニングを有効にすると、手動の招待プロセスを行わなくても、ユーザ オンボードブランド アプリケーション登録内のすべてのメンバーに対して Ivanti Neurons へのアクセス権が自動的に付与されます。 新規メンバーの初回ログイン時に、[Ivanti Neurons] > [メンバー] に新規 Ivanti Neurons プラットフォーム アカウントがプロビジョンされます。 自動プロビジョニングされたすべての新規メンバーには、設定で定義されたアクセス コントロール ロールが付与されます。

  1. Ivanti Neurons プラットフォームで、[設定] > [認証] に移動します。
    [認証方法] ページが表示されます。

  1. [外部認証 (SSO)] セクションで [アクション] をクリックして、[自動プロビジョニングを有効にする] を選択します。

  1. [既定のロール] ドロップダウンで、すべての新規メンバーに割り当てるアクセス コントロール ロールを選択します。
    ロールを設定するには、[Ivanti Neurons] > [管理] > [ロール] に移動します。

  1. [自動プロビジョニングを有効にする] をクリックして、ロール選択を確認し、すべての新規メンバーの自動プロビジョニングを有効にします。

有効にすると、既定のアクセス コントロール ロールを編集し、自動プロビジョニングを無効化できます。 これらの変更は、変更後にプロビジョンされたメンバーにのみ適用され、既存のメンバーには影響しません。

自動プロビジョニングを有効にすると、すべての PingFederate アプリケーション登録ユーザに対して、Ivanti Neurons へのアクセス権が付与されます。 PingFederate アプリケーション内から特定のユーザまたはグループへのアクセスを制限できます。

(任意) クライアント シークレットの更新 (Ivanti Neurons プラットフォーム)

PingFederate クライアント シークレットが有効期限切れになる場合、引き続きこの認証方法を使用するには、新しいクライアント シークレットを設定する必要があります。

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。.
    [認証] ページが表示されます。

  2. [外部認証] セクションで[アクション] > [クライアント シークレットを更新] をクリックします.
    [クライアント シークレットの更新] ページが表示されます。

  3. PingFederate アプリケーションから取得した 新規クライアント シークレット を入力し、Ivanti Neurons プラットフォームの [クライアント シークレット値] フィールドに貼り付けます

  4. [続行]クリックしてクライアント シークレットを検証します

  5. [新規クライアント シークレットの検証] ページで、[クライアント シークレットの検証] をクリックします組織のサインイン ページに新規タブが開きます。

  6. PingFederate 認証資格情報を入力して [サインオン] をクリックします。

  7. [承認要求] ページで、次の項目が選択されていることを確認します。

    1. ユーザ名へのアクセス

    2. OpenID 範囲

    3. プロファイル範囲

    4. 電子メール範囲

  8. [許可] をクリックします。

    成功した場合は、このウィザードがもう一度表示されます。続行すると、クライアント シークレットが更新されます。
    成功しなかった場合は、入力した新規クライアント シークレットが正しいことを確認してください。 他のエラーの理由については、検証のトラブルシューティングをご参照ください。

  9. [新規クライアント シークレットの検証] ページに戻り、ログイン成功を確認するチェックボックスをオンにします。

  10. [続行] をクリックして [新規クライアント シークレットの保存] ページに進みます。

  11. [変更を保存] をクリックして、手順を完了します
    クライアント シークレットが正常に更新されたことを示す通知が送られます。

(任意) 認証方法の削除 (Ivanti Neurons プラットフォーム)

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
    [認証] ページが表示されます。

  2. [外部認証] セクションで、[アクション] > [認証方法の削除] をクリックします。
    [外部認証の削除] 画面が表示されます。

  3. [サインアウトして再認証] をクリックします。
    Ivanti Neurons からサインアウトされます。

  4. [メール アドレスとパスワードでサインイン] をクリックします。

  5. 認証資格情報を入力し、[サインイン] をクリックします。

  6. [管理] > [認証] > [外部認証] に移動し、[アクション] > [認証方法の削除] をクリックします。
    [外部認証の削除] 画面が表示されます。

  7. [認証方法の削除] をクリックします。
    これで既存の認証方法が削除されました。