Entra ID 認証 (SAML)

1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
   [認証] ページが表示されます。
2. [外部認証 (SSO)] セクションで、[構成して有効にする] をクリックします。
   [外部認証の有効化] ページが表示されます。
3. [プロバイダ] ドロップダウンから [Entra ID] を選択します。
4. [サインイン方法] ドロップダウンから [SAML] を選択します。
   [Entra ID 構成設定] が表示されます。 これらの設定は Entra ID を設定するときに必要になりますので、ブラウザでこのタブを開いたままにします。 これは、以下の手順で「Neurons」または「Neurons タブ」によって参照されます。

Ivanti Neurons の構成を続行する前に、Microsoft Azure ポータルでいくつかの手順を実行する必要があります。

新しいブラウザ タブで、次のように Entra ID テナントに移動します。

1. [エンタープライズ アプリケーション] に移動します。

2. [新規アプリケーション] を選択します。

3. [独自のアプリケーションを作成] を選択します。

   1. 名前を入力します。

   2. オプション [ギャラリーに見つからないその他のアプリケーションを統合します (非ギャラリー) ] を選択します。

   3. [作成] をクリックし、Entra ID での完了を待ちます。

次のように、新たに作成したアプリケーションを開きます。

1. [シングル サインオン] に移動します。

2. [SAML] を選択します。

手順 4 を参照して、Neurons によって提供される詳細 (UEM テナント) を入力し、Entra ID と Neurons の間の接続を確立します。

セキュア ハンドシェイクを確立するには、Ivanti Neurons プラットフォームと Entra ID の間で情報をコピーする必要があります。 これまで作業していたタブを両方とも利用できるようにし、以下の指示に基づいてタブを切り替えます。

EntraID で、[基本 SAML 構成] タイルの [編集] を選択します。 右側にウィンドウが表示されます。

• Neurons の [EntityID] が Entra ID の [ID] にコピーされます。 [ID の追加] をクリックして、[Entra ID] > [編集] ウィンドウにテキスト ボックスを表示させます。

• Neurons の [Assertion Consumer Service の URL] が Entra ID の [返信 URL] にコピーされます。 再度、[返信 URL を追加] をクリックしてテキスト ボックスを表示させます。

• [保存] をクリックします。

テストするためのテキスト ボックスが表示されたら、辞退のオプションを選択します (すべてのエントリが一緒に検証されるため)。

これでアプリケーションが設定されます。

Entra ID テナントの [SAML 証明書] の下に、[アプリ フェデレーション メタデータ URL] が入力されます。 コピーし、Neurons に切り替えた後、次の場所に貼り付けます。

• ID プロバイダ (IDP) メタデータ エンドポイント URL

• [続行] をクリックします。

セキュア ハンドシェイクが設定されます。

ユーザがどのように Entra ID に追加されるかの定義

Entra ID に戻ります。 左側のメニューの [プロパティ] の下で、以下の手順を行い、ユーザがどのように追加されるかを定義します。

• [割り当てが必要] が、ニーズに合うように設定されていることを確認します。

  • はい: テナントのどのユーザがログインできるか、管理者が選択します。 割り当てが必要な場合、サインインできるユーザを管理者が明示的に選択する必要があります。 これは、[ユーザとグループ] > [ユーザ名の追加] で行います。

  • いいえ: テナントのどのユーザも Entra ID を使用してログインできます。

• [保存] をクリックします。

Neurons に戻ります。

Entra ID 認証資格情報に接続して、接続設定を検証する必要があります。

1. [接続設定の検証] ページで [設定の検証] をクリックし、新しいタブから組織のサインイン ページにアクセスします。 これが Azure ポータルです。 Entra ID 認証資格情報を入力し、サインインします。 既にサインインしている場合は、認証資格情報は必要なく、検証が自動的に実行されるため、認証するアカウントにサインインしていることを確認してください。
   ログインが成功した場合は、確認画面が表示されます。

Azure ユーザ名は Ivanti Neurons ユーザ名と完全に一致する必要があります。


2. 確認画面を閉じ、作業していた Ivanti Neurons プラットフォームのタブ [接続設定の検証] に戻ります。
3. [接続設定が正常に検証されたことを確認します] のチェックボックスをオンにして、正常にログインしたことを確認します。
4. [続行] をクリックします。

セキュア ハンドシェイクが確立され、検証され、稼働します。

検証のトラブルシューティング

• E2018 認証に失敗しました: Entra ID での認証に失敗しました。 ユーザ名とパスワードが正しいこと、ユーザが Entra ID アプリケーション登録でアクセス権があることを確認してください。
• E2019 オプションのクレームがありません: 検証ステップが失敗しました。追加のオプションのクレームが、Entra ID から Ivanti Neurons プラットフォームに返されたトークンに存在しませんでした。
• E2020 Neurons プラットフォームのユーザ アカウントにリンクできませんでした: Entra ID ユーザ ログインが、Ivanti Neurons プラットフォーム ユーザと一致していません。 Ivanti Neurons プラットフォームのユーザ アカウントの電子メール アドレスは、Entra ID へのログインに使用される電子メール アドレスと一致していることが必要です。

これで Entra ID が構成されましたが、まだ有効化されていません。

有効にするには、Entra ID を使用するように、Ivanti Neurons プラットフォーム アカウントを変換する必要があります。

1. [Ivanti Neurons プラットフォーム アカウントの有効化] ページで、[サインアウトして有効にする] をクリックします。
   Ivanti Neurons のサインイン ページが表示されます。
2. [Entra ID でサインイン] を選択し、Entra ID 認証資格情報を入力すると、変換が完了します。
   検証するには、Neurons でログインし、[管理者] > [認証] に移動して、[Entra ID] が外部認証プロバイダになっていることを確認します。
   

「アクセスが拒否されました」エラーを避けるためには、Entra ID 認証の構成と、 Ivanti Neurons へのサインインおよび認証資格情報の検証を、同じユーザが行う必要があります。

すべてのメンバーは、アカウントが変換され、今後は Entra ID 認証資格情報を使用してテナントにアクセスする必要があることを確認する電子メールを受信します。 Entra ID 認証資格情報がないメンバーは、Ivanti Neurons にアクセスできません。

外部認証 (SSO) と [有効] ステータスが表示されます。

1. Ivanti Neurons プラットフォームで、[セットアップ] > [認証] に移動します。
   
   [認証方法] ページが表示されます。
2. [外部認証 (SSO)] セクションで [アクション] をクリックして、[自動プロビジョニングを有効にする] を選択します。
3. [既定のロール] ドロップダウンで、新しいすべてのメンバーに割り当てるアクセス コントロール ロールを選択します。
   
   ロールを設定するには、[Ivanti Neurons] > [管理者] > [ロール] に移動します。
4. [自動プロビジョニングを有効にする] をクリックして、ロール選択を確認し、すべての新しいメンバーの自動プロビジョニングを有効にします。