PingOne 認証 (SAML)

現在、Ivanti Neurons では、テナントの外部認証プロバイダとして PingOne を選択することができます。 PingOne は、エンドユーザのログオン エクスペリエンスを一元化し、パスワード関連のヘルプ デスクへのコールを減らし、ポリシーと監査証跡に対する制御性を高めます。

外部認証の構成と有効化

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
    [認証] ページが表示されます。

  1. [外部認証 (SSO)] セクションで、[構成して有効にする] をクリックします。
    [外部認証の有効化 (SSO)] ページが表示されます。

  1. [プロバイダ] ドロップダウンから [PingOne] を選択します。

  2. [サインイン方法] ドロップダウンから [Saml 2.0] を選択します。

    [PingOne Saml 2.0構成設定] が表示されます。 このタブは、のちほど [PingOne 管理] コンソールで詳細を構成する際に参照するため、開いたままにしておくことをお勧めします。

  1. PingOne 管理コンソールにログインします。

  2. [アプリケーション] > [アプリケーション] に移動します。

  3. をクリックして新規アプリケーションを追加します。
    [アプリケーションを追加] 画面が表示されます。

  4. [アプリケーション名] に、この SAML アプリに付ける名前を入力します。

  5. [SAML アプリケーション] を選択し、[構成] をクリックします。

  6. [SAML 構成] で、[手動で入力] を選択します。

  7. 開いておいた Ivanti Neurons タブの値を以下のフィールドに入力します。

    1. ACS URL: Assertion Consumer Service の URL

    2. エンティティ ID: エンティティ ID

  8. [保存] をクリックします。

  9. [属性マッピング] タブを選択し、 をクリックします。

  10. [属性マッピング] で、[追加] をクリックします。

  11. [属性][PingOne マッピング] を次のように更新します。

    1. email: 電子メール アドレス[必須] > [追加] を選択します。

    2. given_name: [必須] を選択します。

    3. family_name: [必須] > [追加] を選択します。

  12. [保存] をクリックします。
    これでアプリケーションが PingOne に作成されます。

  13. アプリケーション名の横のボタンをクリックしてアプリケーションを有効にします。

  14. [構成] タブを選択して、[IDP メタデータ URL] をコピーし、これを、開いておいた Neurons プラットフォームの [ID プロバイダのメタデータ エンドポイント URL] フィールドに貼り付けます。

  15. [続行] をクリックします。

PingOne 認証資格情報に接続して、接続設定を検証する必要があります。

  1. [接続設定の検証] ページで、[設定の検証] をクリックします。

    検証が自動的に行われます。 ログインが成功した場合は、確認画面が表示されます。

  2. [接続設定の検証] ページに戻り、ログイン成功を確認するチェックボックスをオンにします。

    これで PingOne が構成されましたが、まだ有効化されていません。 有効にするには、Ivanti Neurons プラットフォーム アカウントを PingOne に変換する必要があります。

  3. [続行] をクリックして [Ivanti Neurons プラットフォーム アカウントの変換] ページに進みます。

  • E2018認証に失敗しました: PingOne での認証に失敗しました。 ユーザ名と
    パスワードが正しいことと、ユーザが PingOne アプリケーション登録へのアクセス権があることを確認してください。

  • E2019 オプションのクレームがありません: 検証ステップが失敗しました。追加のオプションのクレームが、PingOne から Ivanti Neurons プラットフォームに返されたトークンに存在しませんでした。

  • E2020 Neurons プラットフォームのユーザ アカウントにリンクできませんでした: PingOne ユーザ ログインが、Ivanti Neurons プラットフォーム ユーザと一致していません。 Ivanti Neurons プラットフォームのユーザ アカウントの電子メール アドレスは、PingOne へのログインに使用される電子メール アドレスと一致していなければなりません。

  1. [Ivanti Neurons プラットフォーム アカウントの変換] ページで、[サインアウトして有効にする] をクリックします。 Ivanti Neurons からサインアウトされます。

  2. [PingOne でサインイン] をクリックして手順を完了します。

  3. これで、PingOne アプリケーションが [管理] > [認証][有効] ステータスとともに表示されます。

  4. Neurons プラットフォームからの [サイン アウト] をクリックします。
    これで、サインインし直すと、PingOne に転送されますので、アカウントを選択し、PingOne 認証資格情報でサインインします。

自動プロビジョニングの構成

自動プロビジョニングを有効にすると、手動の招待プロセスを行わなくても、PingOne アプリケーション登録内のすべてのメンバーに対して Ivanti Neurons へのアクセス権が自動的に付与されます。 新規メンバーの初回ログイン時に、[Ivanti Neurons] > [メンバー] に新規 Ivanti Neurons プラットフォーム アカウントがプロビジョンされます。 自動プロビジョニングされたすべての新規メンバーには、設定で定義されたアクセス コントロール ロールが付与されます。

  1. Ivanti Neurons プラットフォームで、[設定] > [認証] に移動します。
    [認証方法] ページが表示されます。

  1. [外部認証] セクションで [アクション] をクリックして、[自動プロビジョニングを有効にする] を選択します。

  1. [既定のロール] ドロップダウンで、すべての新規メンバーに割り当てるアクセス コントロール ロールを選択します。
    ロールを設定するには、[Ivanti Neurons] > [管理] > [ロール] に移動します。

  1. [自動プロビジョニングを有効にする] をクリックして、ロール選択を確認し、すべての新規メンバーの自動プロビジョニングを有効にします。

有効にすると、既定のアクセス コントロール ロールを編集し、自動プロビジョニングを無効化できます。 これらの変更は、変更後にプロビジョンされたメンバーにのみ適用され、既存のメンバーには影響しません。

自動プロビジョニングを有効にすると、すべての PingOne アプリケーション登録ユーザに対して、Ivanti Neurons へのアクセス権が付与されます。 PingOne アプリケーション内から特定のユーザまたはグループへのアクセスを制限できます。

(任意) メタデータの更新 (Ivanti Neurons プラットフォーム)

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
    [認証] ページが表示されます。

  2. [外部認証] セクションで、[アクション] > [メタデータを更新] をクリックします。
    [SAML メタデータの更新] ページが表示されます。

  3. [PingOne 構成設定] で、[ID プロバイダのメタデータ エンドポイント URL] にメタデータ URL を入力します。

  4. [続行] をクリックしてメタデータを検証します。

  5. [新規 SAML メタデータの検証] ページで、[SAML メタデータの検証] をクリックします。

  6. 組織のサインイン ページに新規タブが開きます。 認証資格情報を入力してサインインします。
    検証が自動的に行われます。 ログインが成功した場合は、確認画面が表示されます。

  7. [新規 SAML メタデータの検証] ページに戻り、ログイン成功を確認するチェックボックスをオンにします。

  8. [続行] をクリックして [新規 SAML メタデータの保存] ページに進みます。

  9. [変更を保存] をクリックして、手順を完了します
    クライアント シークレットが正常に更新されたことを示す通知が送られます。

(任意) 認証方法の削除 (Ivanti Neurons プラットフォーム)

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
    [認証] ページが表示されます。

  2. [外部認証] (SSO) セクションで、[アクション] > [認証方法の削除] をクリックします。
    [外部認証の削除] 画面が表示されます。

  3. [サインアウトして再認証] をクリックします。
    Ivanti Neurons からサインアウトされます。

  4. [メール アドレスとパスワードでサインイン] をクリックします。

  5. 認証資格情報を入力し、[サインイン] をクリックします。

  6. [管理] > [認証] > [外部認証] に移動し、[アクション] > [認証方法の削除] をクリックします。
    [外部認証の削除] 画面が表示されます。

  7. [認証方法の削除] をクリックします。
    これで既存の認証方法が削除されました。