Google 認証 (OIDC)

現在、Ivanti Neurons では、テナントの外部認証プロバイダとして Google を選択することができます。 Google は、エンドユーザのログオン エクスペリエンスを一元化し、パスワード関連のヘルプ デスクへのコールを減らし、ポリシーと監査証跡に対する制御性を高めます。

外部認証の構成と有効化

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
    [認証] ページが表示されます。

  1. [外部認証] (SSO) セクションで、[構成して有効にする] をクリックします。
    [外部認証の有効化 (SSO)] ページが表示されます。

  1. [プロバイダ] ドロップダウンから [Google] を選択します。

  2. [サインイン方法] ドロップダウンから [OpenId Connect (OIDC)] を選択します。

    [Google 構成設定] が表示されます。 このタブは、のちほど Google Cloud コンソールで詳細を構成する際に参照するため、開いたままにしておくことをお勧めします。

  1. Google Cloud コンソールにログインします。

  2. を選択し、[API とサービス] > [認証資格情報] をクリックします。

  3. [認証資格情報] で、[認証資格情報の作成] > [OAuth クライアント ID] をクリックします。

  1. [OAuth クライアントID の作成] で、[同意画面を構成] をクリックします。

  2. OAuth 同意画面で、[ユーザ タイプ] として[内部] を選択し、[作成] をクリックします。.
    [アプリの登録の編集] ページが表示されます。

  3. OAuth 同意画面で、次のフィールドに入力します。

    1. [アプリ情報]に、アプリ名とユーザ サポートの電子メール。

    2. [開発者の連絡先情報] に電子メール アドレス。

  4. [保存して続行] をクリックします。

  5. [範囲] で、[範囲を追加または削除] をクリックします。

  6. 次の範囲を選択し、[更新] をクリックします。

    • ... /auth/userinfo.email

    • ... /auth/userinfo.profile

    • openid

  1. [保存して続行] をクリックします。

  2. [概要] の詳細を確認し、[ダッシュボードに戻る] をクリックします。

  3. [API とサービス] > [認証資格情報] > [認証資格情報の作成] > [OAuth クライアント ID] に移動します。

  4. [アプリケーション タイプ] から [Web アプリケーション] を選択します。

  5. [名前] フィールドにアプリ名を入力します。

  6. [承認済みのリダイレクト URI] で、[URI を追加] をクリックします。

  7. Neurons プラットフォームからリダイレクト URI をコピーし、[URI 1] フィールドに貼り付けます。

  8. [作成] をクリックします。

    [OAuth クライアントが作成されました] 確認画面が表示されます。

  1. [OAuth クライアントが作成されました] 情報ページから [クライアント ID][クライアント シークレット] の値をコピーし、Neurons プラットフォームのそれぞれのフィールド [クライアント ID][クライアント シークレット値] に貼り付けます。

  2. Neurons プラットフォームの [発行者] フィールドに、https://accounts.google.com と入力し、[続行] をクリックします。

Google 認証資格情報に接続して、接続設定を検証する必要があります。

  1. [接続設定の検証] ページで、[設定の検証] をクリックします。
    検証が自動的に行われます。 ログインが成功した場合は、確認画面が表示されます。

  1. [接続設定の検証] ページに戻り、ログイン成功を確認するチェックボックスをオンにします。

    これで Google が構成されましたが、まだ有効化されていません。 有効にするには、Ivanti Neurons プラットフォーム アカウントを Google に変換する必要があります。

  2. [続行] をクリックして [Ivanti Neurons プラットフォーム アカウントの変換] ページに進みます。

  • E2018認証に失敗しました: Google での認証に失敗しました。 ユーザ名と
    パスワードが正しいことと、ユーザが Google アプリケーション登録へのアクセス権があることを確認してください。

  • E2019 オプションのクレームがありません: 検証ステップが失敗しました。追加のオプションのクレームが、Google から Ivanti Neurons プラットフォームに返されたトークンに存在しませんでした。

  • E2020 Neurons プラットフォームのユーザ アカウントにリンクできませんでした: Google ユーザ ログインが、Ivanti Neurons プラットフォーム ユーザと一致していません。 Ivanti Neurons プラットフォームのユーザ アカウントの電子メール アドレスは、Google へのログインに使用される電子メール アドレスと一致していなければなりません。

  1. [Ivanti Neurons プラットフォーム アカウントの変換] ページで、[サインアウトして有効にする] をクリックします。 Ivanti Neurons からサインアウトされます。

  2. [Google でサインイン]クリックして手順を完了します。

  3. これで、Google アプリケーションが [管理] > [認証][有効] ステータスとともに表示されます。

  4. Neurons プラットフォームからの [サインアウト]クリック します。
    これで、サインインし直すと、Google に転送されますので、アカウントを選択し、Google 認証資格情報でサインインします。

自動プロビジョニングの構成

自動プロビジョニングを有効にすると、手動の招待プロセスを行わなくても、Google アプリケーション登録内のすべてのメンバーに対して Ivanti Neurons へのアクセス権が自動的に付与されます。 新規メンバーの初回ログイン時に、[Ivanti Neurons] > [メンバー] に新規 Ivanti Neurons プラットフォーム アカウントがプロビジョンされます。 自動プロビジョニングされたすべての新規メンバーには、設定で定義されたアクセス コントロール ロールが付与されます。

  1. Ivanti Neurons プラットフォームで、[設定] > [認証] に移動します。
    [認証方法] ページが表示されます。

  1. [外部認証] セクションで [アクション] をクリックして、[自動プロビジョニングを有効にする] を選択します。

  1. [既定のロール] ドロップダウンで、すべての新規メンバーに割り当てるアクセス コントロール ロールを選択します。
    ロールを設定するには、[Ivanti Neurons] > [管理] > [ロール] に移動します。

  1. [自動プロビジョニングを有効にする] をクリックして、ロール選択を確認し、すべての新規メンバーの自動プロビジョニングを有効にします。

有効にすると、既定のアクセス コントロール ロールを編集し、自動プロビジョニングを無効化できます。 これらの変更は、変更後にプロビジョンされたメンバーにのみ適用され、既存のメンバーには影響しません。

自動プロビジョニングを有効にすると、すべての Google アプリケーション登録ユーザに対して、Ivanti Neurons へのアクセス権が付与されます。 Google アプリケーション内から特定のユーザまたはグループへのアクセスを制限できます。

(任意) クライアント シークレットの更新 (Ivanti Neurons プラットフォーム)

Google クライアント シークレットが有効期限切れになる場合、引き続きこの認証方法を使用するには、新しいクライアント シークレットを設定する必要があります。

  1. Ivanti Neurons プラットフォームで[設定] > [認証] に移動します。.
    [認証] ページが表示されます。

  1. [外部認証] セクションで[アクション] > [クライアント シークレットを更新] をクリックします
    [クライアント シークレットの更新] ページが表示されます。

  2. Google アプリケーションから取得した新規クライアント シークレットを入力し、Ivanti Neurons プラットフォームの [クライアント シークレット値] フィールドに貼り付けます

  1. [続行] クリックしてクライアント シークレットを検証します

  1. [新規クライアント シークレットの検証] ページで[クライアント シークレットの検証] をクリックします。

  2. 組織のサインイン ページに新規タブが開きます。 認証資格情報を入力してサインインします。
    検証が自動的に行われます。

    成功した場合は、このウィザードがもう一度表示されます。続行すると、クライアント シークレットが更新されます。
    成功しなかった場合は、入力した新規クライアント シークレットが正しいことを確認してください。 他の失敗理由については、     検証のトラブルシューティングをご参照ください。

  3. [新規クライアント シークレットの検証] ページに戻り、ログイン成功を確認するチェックボックスをオンにします。

  4. [続行] をクリックして [新規クライアント シークレットの保存] ページに進みます。

  5. [変更を保存] をクリックして、手順を完了します
    クライアント シークレットが正常に更新されたことを示す通知が送られます。

(任意) 認証方法の削除 (Ivanti Neurons プラットフォーム)

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
    [認証] ページが表示されます。

  2. [外部認証] セクションで、[アクション] > [認証方法の削除] をクリックします。
    [外部認証の削除] 画面が表示されます。

  3. [サインアウトして再認証] をクリックします。
    Ivanti Neurons からサインアウトされます。

  4. [メール アドレスとパスワードでサインイン] をクリックします。

  5. 認証資格情報を入力し、[サインイン] をクリックします。

  6. [管理] > [認証] > [外部認証] に移動し、[アクション] > [認証方法の削除] をクリックします。
    [外部認証の削除] 画面が表示されます。

  7. [認証方法の削除] をクリックします。
    これで既存の認証方法が削除されました。