Okta 認証 (SAML)

現在、Ivanti Neurons では、テナントの外部認証プロバイダとして Okta を選択することができます。 Okta は、エンドユーザのログオン エクスペリエンスを一元化し、パスワード関連のヘルプ デスクへのコールを減らし、ポリシーと監査証跡に対する制御性を高めます。

外部認証を構成または有効にする

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
    [認証] ページが表示されます。
  2. [外部認証 (SSO)] セクションで、[構成して有効にする] をクリックします。
    [外部認証の有効化 (SSO)] ページが表示されます。
  3. [プロバイダ] ドロップダウン リストから [Okta] を選択します。
  4. [サインイン方法] ドロップダウンから [Saml 2.0] を選択します。
    [Okta Saml 2.0構成設定] が表示されます。 このタブは、のちほど Okta コンソールで詳細を構成する際に参照するため、開いたままにしておくことをお勧めします。
  1. Okta にログインします。
  2. [アプリケーション] > [アプリケーション] > [アプリ統合の作成] を選択します。
    [新しいアプリ統合の作成] 画面が表示されます。
  3. [SAML 2.0] を選択し、[次へ] をクリックします。
    [SAML 統合の作成] ページが表示されます。
  4. [全般設定] で、アプリ名を入力し、[次へ] をクリックします。
  5. [SAML の構成] で、次のフィールドに値を入力します。

      1. [全般] には、開いておいた Ivanti Neurons タブで入手できる値を入力します。

        1. シングル サインオン URL: Assertion Consumer Service の URL。

        2. オーディエンス URI (SP エンティティ ID): EntityId。

      1. [属性ステートメント (任意)] では、[属性] を次のように更新します。

        1. 名前: 'email': 'user.email'。 [もう一つ追加] をクリックします。

        2. 名前: 'givenname': 'user.firstName'。 [もう一つ追加] をクリックします。

        3. 名前: 'family_name': 'user.lastName'。

          上記フィールドのデータは大文字と小文字が区別されます。

      1. [次へ] をクリックします。

  6. [フィードバック] で、[これは私たちが作成した社内アプリです] チェックボックスをオンにして、[完了] をクリックします。

    7. 管理者はチェックボックスの選択を解除し、代わりにコメントボックスに詳細を入力できます。

  7. [割り当て] > [割り当て] > [ユーザに割り当て] をクリックします。
  8. 名前を選択して、[割り当て] > [保存して戻る] > [完了] をクリックします。

    9. [割り当て] ページでは、Ivanti Neurons アプリケーションにアクセスできるユーザを指定できます。 個人またはグループにアクセス権を付与できます。

    必ず、統合を設定するユーザに割り当ててください。統合を設定するユーザには、アプリケーションへのアクセス権限が必要になるためです。

  9. [サインオン] タブを選択して、[メタデータ URL] をコピーし、これを、開いておいた Neurons プラットフォームの [ID プロバイダのメタデータ エンドポイント URL] フィールドに貼り付けます。

  10. [続行] をクリックします。

Okta 認証資格情報で接続して、接続設定を検証する必要があります。

  1. [接続設定の検証] ページで、[設定の検証] をクリックします。

    検証が自動的に行われます。 ログインが成功した場合は、確認画面が表示されます。

  2. [接続設定の検証] ページに戻り、ログイン成功を確認するチェックボックスをオンにします。

    これで Okta が構成されましたが、まだ有効化されていません。 有効にするには、Ivanti Neurons プラットフォーム アカウントを Okta に変換する必要があります。

  3. [続行] をクリックして [Ivanti Neurons プラットフォーム アカウントの変換] ページに進みます。

  • E2018認証に失敗しました: Okta での認証に失敗しました。 ユーザ名と
    パスワードが正しいことと、ユーザが Okta アプリケーション登録へのアクセス権があることを確認してください。

  • E2019オプションのクレームがありません: 検証ステップが失敗しました。追加のオプションのクレームが、Okta から Ivanti Neurons プラットフォームに返されたトークンに存在しませんでした。

  • E2020 Neurons プラットフォームのユーザ アカウントにリンクできませんでした: Okta ユーザ ログインが、Ivanti Neurons プラットフォーム ユーザと一致していません。 Ivanti Neurons プラットフォームのユーザ アカウントの電子メール アドレスは、Okta へのログインに使用される電子メール アドレスと一致していることが必要です。

  1. [Ivanti Neurons プラットフォーム アカウントの変換] ページで、[サインアウトして有効にする] をクリックします。 Ivanti Neurons からサインアウトされます。

  2. [ここをクリック] > [Okta でサインイン] をクリックしてプロセスを完了します。

  3. これで、Okta アプリケーションが [管理] > [認証][有効] ステータスとともに表示されます。

  4. Neurons プラットフォームからの [サイン アウト] をクリックします。
    これで、サインインし直すと、Okta に転送されますので、アカウントを選択し、Okta 認証資格情報でサインインします。

自動プロビジョニングの構成

自動プロビジョニングを有効にすると、手動の招待プロセスを行わずに、Okta アプリケーションのすべてのメンバーに対して Ivanti Neurons へのアクセス権を自動的に付与します。 新規メンバーの初回ログイン時に、[Ivanti Neurons] > [メンバー] に新規 Ivanti Neurons プラットフォーム アカウントがプロビジョンされます。 自動プロビジョニングされたすべての新規メンバーには、設定で定義されたアクセス コントロール ロールが付与されます。

  1. Ivanti Neurons プラットフォームで、[セットアップ] > [認証] に移動します。
    [認証方法] ページが表示されます。
  2. [外部認証 (SSO)] セクションで [アクション] をクリックして、[自動プロビジョニングを有効にする] を選択します。
  3. [既定のロール] ドロップダウンで、新しいすべてのメンバーに割り当てるアクセス コントロール ロールを選択します。
    ロールを設定するには、[Ivanti Neurons] > [管理者] > [ロール] に移動します。
  4. [自動プロビジョニングを有効にする] をクリックして、ロール選択を確認し、すべての新しいメンバーの自動プロビジョニングを有効にします。

有効にすると、既定のアクセス コントロール ロールを編集し、自動プロビジョニングを無効化できます。 これらの変更は、変更後にプロビジョンされたメンバーにのみ適用され、既存のメンバーには影響しません。

自動プロビジョニングを有効にすると、すべての Okta アプリケーション登録ユーザに対して、Ivanti Neurons へのアクセス権が付与されます。 Okta アプリケーション内から特定のユーザまたはグループへのアクセスを制限できます。

(任意) 認証方法の削除 (Ivanti Neurons プラットフォーム)

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
    [認証] ページが表示されます。

  2. [外部認証] (SSO) セクションで、[アクション] > [認証方法の削除] をクリックします。
    [外部認証の削除] 画面が表示されます。

  3. [サインアウトして再認証] をクリックします。
    Ivanti Neurons からサインアウトされます。

  4. [メール アドレスとパスワードでサインイン] をクリックします。

  5. 認証資格情報を入力し、[サインイン] をクリックします。

  6. [管理] > [認証] > [外部認証] に移動し、[アクション] > [認証方法の削除] をクリックします。
    [外部認証の削除] 画面が表示されます。

  7. [認証方法の削除] をクリックします。
    これで既存の認証方法が削除されました。