その他の IdP 認証 (SAML)

Ivanti Neurons では、テナントの外部認証プロバイダとして「その他の IdP (ID プロバイダ)」を選択することができます。 既存の認証方法に加えて、ユーザがセキュリティ トークンを使用して1回のログインで異なるドメインのアプリケーションやリソースに安全にアクセスできるシングルサインオン (SSO) システムとして、その他の IdP 認証を使用できます。 これにより、ユーザ エクスペリエンスが合理化され、パスワードの再利用を減らすことでセキュリティが高まり、組織の ID 管理が簡素化されます。

その他の IdP 認証は、SAML ベースのサインイン方法のみをサポートします。

外部認証の構成と有効化

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。

    [認証] ページが表示されます。

  2. [外部認証] (SSO) セクションで、[構成して有効にする] をクリックします。

    [外部認証の有効化 (SSO)] ページが表示されます。

  3. [プロバイダ] ドロップダウンから [その他の IdP] を選択します。

    [その他の IdP SAML 2.0 構成設定] が表示されます。 このタブは、のちほど ID プロバイダ コンソールで詳細を構成する際に参照するため、開いたままにしておくことをお勧めします。

  4. [その他の IdP SAML 2.0 構成設定] セクションでは、以下のオプションを選択できます。

    • 署名された申請を有効にする: デジタル署名された申請を外部認証プロバイダに送信し、署名された申請が Ivanti Neurons テナントからのものであるかどうかを検証するようにプロバイダを構成する場合に、このオプションを有効にします。 または、このオプションを無効にして、署名された申請の送信を停止できます。

    • 暗号化されたアサーションを有効にする: 外部認証プロバイダから暗号化されたユーザ情報を受信する場合に、このオプションを有効にします。情報を復号化するように Neurons テナントを構成できます。 または、このオプションを無効にして、暗号化されたユーザ情報の受信を停止できます。

  5. [変更を適用] をクリックします。
    変更を適用すると、SAML ベースの SSO システムのための、サービス プロバイダのメタデータや証明書などの ID 情報を、以下のようにダウンロードできます。

    • SP メタデータをダウンロード: XML 形式の証明書とともにサービス プロバイダのメタデータをダウンロードするには、このオプションをクリックします。

    • 証明書のみをダウンロード: 証明書 (.pem 形式) のみをダウンロードするには、このオプションを選択します。

  1. IdP プロバイダ コンソールにログインします。

  2. SSO システムを Ivanti Neurons と統合できるようにする、新しい SAML ベースの構成を作成します。

  3. 必要に応じて、[エンティティ ID][Assertion Consumer Service の URL] など、サービス プロバイダの詳細を入力します。 この情報は、Ivanti Neurons の SSO 構成ページにあります。

    証明書のダウンロードの詳細については、「外部認証の構成と有効化 (Ivanti Neurons プラットフォーム)」セクションの手順をご参照ください。

  4. 次に、Ivanti Neurons からダウンロードした証明書 (.cer 形式) を、IdP プロバイダ コンソールの関連セクションにアップロードして、署名された申請や暗号化されたアサーションを有効にします。 署名された申請と暗号化されたアサーションの両方に同じ証明書を使用する必要があります。

  5. ID プロバイダ ポータルから SAML メタデータ ファイル (XML 形式) をダウンロードします。

ID プロバイダからダウンロードしたメタデータ ファイルをアップロードするには、次の手順に従います。

  2. Ivanti Neurons に戻ります。

  3. [その他の IdP SAML 2.0構成設定] セクションで、[ファイルを選択] をクリックします。

  4. ダウンロードした SAML メタデータ ファイル (XML 形式) を参照して、[アップロード] をクリックします。

  5. 次に、[続行] をクリックして続行します。

IdP で接続して、接続設定を検証する必要があります。

  1. [接続設定の検証] ページで、[設定の検証] をクリックします。

    検証が自動的に行われます。 ログインが成功した場合は、確認画面が表示されます。

    IdP コンソールで有効になっている [署名付き要求を有効にする] または [暗号化されたアサーション] またはその両方のオプションが、Neurons テナントと一致していることを確認してください。 有効になっているオプションが一致していないと、検証は失敗します。

  2. [接続設定の検証] ページに戻り、ログインを確認するチェックボックスをオンにします。

    これで IdP が構成されました。

  3. [続行] をクリックして [Ivanti Neurons プラットフォーム アカウントの変換] ページに進みます。

これで「その他の IdP」が構成されましたが、まだ有効化されていません。

有効にするには、「その他の IdP」を使用するように、Ivanti Neurons プラットフォーム アカウントを変換する必要があります。

  1. [Ivanti Neurons プラットフォーム アカウントの有効化] ページで、[サインアウトして有効にする] をクリックします。
    Ivanti Neurons のサインイン ページが表示されます。
  2. [その他の IdP でサインイン] を選択し、IdP 認証資格情報を入力すると、変換が完了します。
    検証するには、Neurons にログインし、[管理者] > [認証] に移動して、[その他の IdP] が外部認証プロバイダになっていることを確認します。

    3. 「アクセスが拒否されました」エラーを避けるためには、その他の IdP 認証の構成と、Ivanti Neurons へのサインインおよび認証資格情報の検証を、同じユーザが行う必要があります。

すべてのメンバーは、アカウントが変換され、今後は「その他の IdP」認証資格情報を使用してテナントにアクセスする必要があることを確認する電子メールを受信します。 メンバーに「その他の IdP」認証資格情報がない場合は、Ivanti Neurons にアクセスできません。

外部認証 (SSO) と [有効] ステータスが表示されます。

自動プロビジョニングの構成

自動プロビジョニングを有効にすると、手動の招待プロセスを行わなくても、「その他の IdP」のすべてのメンバーに対して Ivanti Neurons へのアクセス権が自動的に付与されます。 新規メンバーの初回ログイン時に、[Ivanti Neurons] > [メンバー] に新規 Ivanti Neurons プラットフォーム アカウントがプロビジョンされます。 自動プロビジョニングされたすべての新規メンバーには、設定で定義されたアクセス コントロール ロールが付与されます。

  1. Ivanti Neurons プラットフォームで、[セットアップ] > [認証] に移動します。

    [認証方法] ページが表示されます。

  2. [外部認証] セクションで [アクション] をクリックして、[自動プロビジョニングを有効にする] を選択します。

  3. [既定のロール] ドロップダウンで、新しいすべてのメンバーに割り当てるアクセス コントロール ロールを選択します。

    ロールを設定するには、[Ivanti Neurons] > [管理者] > [ロール] に移動します。

  4. [自動プロビジョニングを有効にする] をクリックして、ロール選択を確認し、すべての新しいメンバーの自動プロビジョニングを有効にします。

有効にすると、既定のアクセス コントロール ロールを編集し、自動プロビジョニングを無効化できます。 これらの変更は、変更後にプロビジョンされたメンバーにのみ適用され、既存のメンバーには影響しません。

(オプション) IdP メタデータの更新 (Ivanti Neurons プラットフォーム)

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
    [認証] ページが表示されます。

  2. [外部認証] セクションで、[アクション] > [IdP メタデータを更新] をクリックします。
    [SAML メタデータの更新] 画面が表示されます。

  3. [その他の IdP 構成の設定] で、[ファイルを選択] をクリックします。

  4. ダウンロードしたメタデータ ファイルを開き、[アップロード] をクリックします。

  5. [続行] をクリックして設定を検証します。

  6. [新規 SAML メタデータの検証] ページで、[SAML メタデータの検証] をクリックします。

  7. 組織のサインイン ページに新規タブが開きます。 認証資格情報を入力してサインインします。
    検証が自動的に行われます。 ログインが成功した場合は、確認画面が表示されます。

  8. [新規 SAML メタデータの検証] ページに戻り、ログイン成功を確認するチェックボックスをオンにします。

  9. [続行] をクリックして [新規 SAML メタデータの保存] ページに進みます。

  10. [変更を保存] をクリックして、手順を完了します
    メタデータが正常に更新されたことを示す通知が送られます。

(オプション) プロバイダ設定の更新 (Ivanti Neurons プラットフォーム)

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。

    [認証] ページが表示されます。

  2. [外部認証] セクションで、[アクション] > [プロバイダ設定を更新] をクリックします。

    [SAML プロバイダを更新] ページが表示されます。

  3. [その他の IdP 構成設定] では、以下を選択できます。

    • 署名された申請を有効にする: デジタル署名された申請を外部認証プロバイダに送信し、署名された申請が Ivanti Neurons テナントからのものであるかどうかを検証するようにプロバイダを構成する場合に、このオプションを有効にします。 または、このオプションを無効にして、署名された申請の送信を停止できます。

    • 暗号化されたアサーションを有効にする: 外部認証プロバイダから暗号化されたユーザ情報を受信する場合に、このオプションを有効にします。情報を復号化するように Neurons テナントを構成できます。 または、このオプションを無効にして、暗号化されたユーザ情報の受信を停止できます。

  4. [変更を適用] をクリックします。

    これで、要件に基づいて、更新されたサービス プロバイダのメタデータ ファイルと証明書をダウンロードできるようになりました。

  5. [続行] をクリックしてメタデータを検証します。

  6. [SAML プロバイダ設定の検証] ページで、[設定の検証] をクリックします。

  7. 組織のサインイン ページに新規タブが開きます。 認証資格情報を入力してサインインします。

    検証が自動的に行われます。 ログインが成功した場合は、確認画面が表示されます。

  8. [新規プロバイダ設定の検証] ページに戻り、ログイン成功を確認するチェックボックスをオンにします。

  9. [続行] をクリックして続行します。

  10. [変更を保存] をクリックして、手順を完了します。

    正常に更新されたことを示す通知が送られます。

(オプション) 証明書の更新 (Ivanti Neurons プラットフォーム)

このオプションを使用して、期限切れの証明書を更新するか、証明書の有効期限が切れようとしているときに更新できます。

更新機能は、使用率が低い時間帯に使用することを目的としています。 Neurons は、証明書を更新すると、すぐにその使用を開始します。 これにより、IdP が更新されて新しい証明書が予期されるまで、ID プロバイダで認証イベントが失敗します。 それに応じた計画をして、IdP ソフトウェアで調整された変更が行われるようにしてください。

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。
    [認証] ページが表示されます。

  2. [外部認証] セクションで、[アクション] > [証明書を更新] をクリックします。
    [証明書の更新] 画面が表示されます。

  3. [続行] をクリックします。
    [更新] タブが表示されます。

  4. [更新] タブでは、サービス プロバイダのメタデータと証明書をダウンロードできます。

    暗号化された証明書をダウンロードした後、検証前に新しい証明書が ID プロバイダ コンソールにアップロードされているようにしてください。

  5. [続行] をクリックして、[新しい証明書を検証する] ページに移動します。

  6. [証明書を検証] をクリックします。
    検証が自動的に行われます。 ログインが成功した場合は、確認画面が表示されます。

  7. [接続設定の検証] ページに戻り、ログインを確認するチェックボックスをオンにします。

  8. [続行] をクリックします。
    [新しい証明書を保存] ページが表示されます。

  9. [変更を保存] をクリックします。

(オプション) SP メタデータまたは証明書のダウンロード (Ivanti Neurons プラットフォーム)

問題またはエラーのためにその他の IdP の外部認証設定をやり直す必要がある場合は、証明書または SP メタデータのいずれかが必要です。 これらは、以下のように、Ivanti Neurons のアクション ドロップダウンからダウンロードできます。

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。

    [認証] ページが表示されます。

  2. [外部認証] (SSO) セクションで、[アクション] をクリックします。 ドロップダウンから、以下をクリックできます。

    • SP メタデータをダウンロード: XML 形式の証明書とともにサービス プロバイダのメタデータをダウンロードするには、このオプションをクリックします。

    • 証明書のみをダウンロード: 証明書 (.pem 形式) のみをダウンロードするには、このオプションを選択します。

    SP メタデータ ファイルには、おそらく最後に保存されたバージョンのプロバイダ構成設定が含まれていて、証明書はおそらく最後のアクティブな証明書です。

(任意) 認証方法の削除 (Ivanti Neurons プラットフォーム)

  1. Ivanti Neurons プラットフォームで、[管理] > [認証] に移動します。

    [認証] ページが表示されます。

  2. [外部認証] (SSO) セクションで、[アクション] > [認証方法の削除] をクリックします。

    [外部認証の削除] 画面が表示されます。

  3. [サインアウトして再認証] をクリックします。

    Ivanti Neurons からサインアウトされます。

  4. [メール アドレスとパスワードでサインイン] をクリックします。

  5. 認証資格情報を入力し、[サインイン] をクリックします。

  6. [管理] > [認証] > [外部認証] に移動し、[アクション] > [認証方法の削除] をクリックします。

    [外部認証の削除] 画面が表示されます。

  7. [認証方法の削除] をクリックします。

    これで既存の認証方法が削除されました。