PingFederate 認証 (SAML)

1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
   [認証] ページが表示されます。

2. [外部認証 (SSO)] セクションで、[構成して有効にする] をクリックします。
   [外部認証の有効化 (SSO)] ページが表示されます。

3. [プロバイダ] ドロップダウンから [PingFederate] を選択します。

4. [サインイン方法] ドロップダウンから [Saml 2.0] を選択します。

   [PingFederateSAML 2.0 構成設定] が表示されます。
   このタブは、のちほど [PingFederate 管理] コンソールで詳細を構成する際に参照するため、開いたままにしておくことをお勧めします。

1. PingFederate 管理コンソールにログインします。

2. [アプリケーション] から [SP 接続] を選択します。

3. [接続の作成] をクリックします。

4. [接続テンプレート] で、[この接続にテンプレートを使用しない] を選択し、[次へ] をクリックします。

5. この設定にはブラウザ アクセスが必要であるため、[接続タイプ] で [ブラウザ SSO プロファイル] を選択します。

6. [プロトコル] ドロップダウンから [SAML 2.0] を選択し、[次へ] をクリックします。

7. [接続オプション] で [ブラウザ SSO] を選択し、[次へ] をクリックします。

8. [メタデータのインポート] で [なし] を選択し、[次へ] をクリックします。

9. [一般情報] に、開いておいた Ivanti Neurons タブで入手できる以下の詳細を入力します。

   • パートナーのエンティティ ID (接続 ID): 一意の接続 ID (エンティティ ID)。

   • 接続名: この接続の言語 ID。

10. (任意) 簡易パートナー エンドポイント構成のための [基本 URL] を使用して、複数の仮想サーバ ID を指定し、[次へ] をクリックします。

11. [ブラウザ SSO] で [ブラウザ SSO の構成] をクリックし、パートナーのリソースに対するセキュアなブラウザ ベースの SSO 構成を設定または編集します。

    1. [SAML プロファイル] で [SP を起点とする SSO] を選択して、ID プロバイダとサービス プロバイダとの間で交換されるメッセージのタイプと、転送方式 (バインディング) を指定し、[次へ] をクリックします。

    2. [アサーションの有効期間] で、SP に対するアサーションの発行前後の妥当性有効期間を設定し、[次へ] をクリックします。

    3. [アサーション作成] で、[アサーション作成の構成] をクリックして、SP パートナーのサイトに対する SSO アクセスのための SAML アサーションを設定します。

    1. [ID マッピング] で [標準] を選択し、[次へ] をクリックします。

    2. [属性契約] で [SAML_SUBJECT] を選択し、次の、サーバがアサーションで送信する必須ユーザ属性のセットで、[契約の延長] フィールドを更新します。

       • 電子メール

       • 名

       • 姓

    3. [次へ] をクリックします。

    4. [認証ソース マッピング] で、[新規アダプタ インスタンスのマップ] をクリックします。

       1. [アダプタ インスタンス] で、[PingOneIdpAdapter] を選択し、[次へ] をクリックします。

       2. [マッピング方法] で、[SAML アサーションのアダプタ契約値のみを使用] を選択し、[次へ] をクリックします。

       3. [属性契約の遂行] で、[属性契約] を次のように更新します。

          • SAML_SUBJECT: ソース - Adapter、値 - username

          • 電子メール: ソース - Adapter、値 - email

          • 姓: ソース - Adapter、値 - name.family

          • 名: ソース - Adapter、値 - name.given

       4. [次へ] をクリックします。

       5. [発行条件] で、必要に応じてフィールドを更新するか、またはブランクのままにして、[次へ] をクリックします。

       6. [概要] の詳細を確認し、[完了] をクリックします。

    5. [認証ソース マッピング] で [次へ] をクリックします。

    6. [概要] の詳細を確認し、[完了] をクリックします。

    4. [アサーション作成] で [次へ] をクリックします。

    5. [プロトコル設定] で [プロトコル設定の構成] クリックし、SP パートナーのサイトに対する SSO アクセスのための SAML アサーションを設定します。

    1. [Assertion Consumer Service の URL] で、Neurons プラットフォームから [Assertion Customer Service の URL] をコピーし、[PingFederate 管理者] ポータルの [エンドポイント URL] フィールドに貼り付けます。

    2. [バインディング] ドロップダウンから [POST] を選択し、[追加] > [次へ] をクリックします。

    3. [許容される SAML バインディング] で [POST] を選択し、[次へ] をクリックします。

    4. [署名ポリシー] で [必要に応じて応答に署名] を選択し、[次へ] をクリックします。

    5. [暗号化ポリシー] で [なし] を選択し、[次へ] をクリックします。

    6. [概要] の詳細を確認し、[完了] をクリックします。

    6. [プロトコル設定] で [次へ] をクリックします。

    7. [概要] の詳細を確認し、[完了] をクリックします。

12. [ブラウザ SSO] で [次へ] をクリックします。

13. [認証資格情報] で、[認証資格情報の構成] をクリックしてデジタル署名の設定を行います。

    1. [署名証明書] ドロップダウンから証明書を選択します。

    2. [2次署名証明書] と [署名アルゴリズム] のフィールド値を保持し、[次へ] をクリックします。

    3. [概要] の詳細を確認し、[保存] をクリックします。

14. [認証資格情報] で [次へ] をクリックします。

15. [アクティベーションと概要] の詳細を確認し、[完了] をクリックします。 [SP 接続] ページが表示されます。

16. 構成した新規接続に対する [アクション] の下の [アクションを選択] をクリックし 、[メタデータのエクスポート] を選択します。

17. [メタデータ署名] で、[署名証明書] ドロップダウンから証明書を選択します。

18. [署名アルゴリズム] ドロップダウンからアルゴリズムを選択し、[次へ] をクリックします。

19. [エクスポート] を選択します。 メタデータ ファイルがダウンロードされます。

20. 開いておいた Ivanti Neurons プラットフォームの [外部認証の有効化] ページに移動し、[ファイルを選択] をクリックします。

21. ダウンロードしたメタデータ ファイルを開き、[アップロード] をクリックします。

22. [続行] をクリックして設定を検証します。

PingFederate 認証資格情報に接続して、接続設定を検証する必要があります。

1. [接続設定の検証] ページで、[設定の検証] をクリックします。 組織のサインイン ページに新規タブが開きます。 PingFederate 認証資格情報を入力してサインインします。

2. [接続設定の検証] ページに戻り、ログイン成功を確認するチェックボックスをオンにします。
   これで PingFederate が構成されましたが、まだ有効化されていません。 有効にするには、Ivanti Neurons プラットフォーム アカウントを PingFederate に変換する必要があります。

3. [続行] をクリックして [Ivanti Neurons プラットフォーム アカウントの変換] ページに進みます。

• E2018認証に失敗しました: PingFederate での認証に失敗しました。 ユーザ名とパスワードが正しいことと、ユーザに PingFederate SP 接続へのアクセス権があることを確認してください。

• E2019 オプションのクレームがありません: 検証ステップが失敗しました。追加のオプションのクレームが、PingFederate から Ivanti Neurons プラットフォームに返されたトークンに存在しませんでした。

• E2020 Neurons プラットフォームのユーザ アカウントにリンクできませんでした: PingFederate ユーザ ログインが、Ivanti Neurons プラットフォーム ユーザと一致していません。 Ivanti Neurons プラットフォームのユーザ アカウントの電子メール アドレスは、PingFederate へのログインに使用される電子メール アドレスと一致していなければなりません。

1. [Ivanti Neurons プラットフォーム アカウントの変換] ページで、[サインアウトして有効にする] をクリックします。 Ivanti Neurons からサインアウトされます。

2. [PingFederate でサインイン] をクリックし、PingFederate 認証資格情報を入力して手順を完了します。

3. これで、PingFederate アプリケーションが [管理] > [認証] に [有効] ステータスとともに表示されます。 

4. Neurons プラットフォームからの [サイン アウト] をクリックします。
   これで、サインインし直すと、PingFederate に転送されますので、アカウントを選択し、PingFederate 認証資格情報でサインインします。

1. Ivanti Neurons プラットフォームで、[設定] > [認証] に移動します。
   [認証方法] ページが表示されます。

2. [外部認証 (SSO)] セクションで [アクション] をクリックして、[自動プロビジョニングを有効にする] を選択します。

3. [既定のロール] ドロップダウンで、すべての新規メンバーに割り当てるアクセス コントロール ロールを選択します。
   ロールを設定するには、[Ivanti Neurons] > [管理] > [ロール] に移動します。

4. [自動プロビジョニングを有効にする] をクリックして、ロール選択を確認し、すべての新規メンバーの自動プロビジョニングを有効にします。