ADFS-verificatie (SAML)

Ivanti Neurons biedt momenteel de optie om ADFS (Active Directory Federation Services) te kiezen als externe verificatieprovider voor uw tenant. ADFS-verificatie is een systeem voor eenmalige aanmelding (SSO) waarmee gebruikers veilig toegang krijgen tot toepassingen en bronnen in verschillende domeinen met één enkele aanmelding via beveiligingstokens. Dit stroomlijnt de gebruikerservaring, verbetert de beveiliging door hergebruik van wachtwoorden te verminderen en vereenvoudigt identiteitsbeheer voor organisaties.

ADFS-verificatie ondersteunt alleen de op SAML gebaseerde aanmeldingsmethode.

Externe verificatie configureren en inschakelen

Stap 1 - Externe verificatie configureren en inschakelen (Ivanti Neurons Platform)

  1. Navigeer op het Ivanti Neurons-platform naar Beheer > Verificatie.

    De pagina Verificatie verschijnt.

  2. Klik in de sectie Externe verificatie (SSO) op Configureren en inschakelen.

    De pagina Externe verificatie inschakelen (SSO) verschijnt.

  3. Selecteer ADFSin de vervolgkeuzelijst Provider.

    De pagina ADFS SAML 2.0 Configuratie-instellingen wordt weergegeven. Het is aanbevolen om dit tabblad open te laten om het later te kunnen raadplegen wanneer u de details configureert in de ADFS Service Manager-console.

  4. In het gedeelte ADFS SAML 2.0-configuratie-instellingen kunt u de volgende opties selecteren:

    • Ondertekende verzoeken inschakelen: Schakel deze optie in om digitaal ondertekende verzoeken te verzenden naar een externe authenticatieprovider en configureer de provider om te valideren of de ondertekende verzoeken afkomstig zijn van de Neurons-tenant. U kunt deze optie ook uitschakelen om geen ondertekende aanvragen meer te verzenden.

    • Gecodeerde beweringen inschakelen: schakel deze optie in om versleutelde gebruikersinformatie van de externe verificatieprovider te ontvangen. U kunt de Neurons-tenant configureren om de informatie te decoderen. U kunt deze optie ook uitschakelen om geen gecodeerde gebruikersinformatie meer te ontvangen.

  5. Klik op Wijzigingen toepassen.
    Nadat u de wijzigingen hebt toegepast, kunt u de identiteitsgegevens, zoals metagegevens van de serviceprovider en het certificaat, voor een op SAML-gebaseerd SSO-systeem downloaden, zoals hieronder aangegeven:

    • SP-metagegevens downloaden: klik op deze optie om de metagegevens van de serviceprovider samen met het certificaat in XML-formaat te downloaden.

    • Alleen certificaat downloaden: klik op deze optie om alleen het certificaat te downloaden (in pem-indeling).

 Stap 2 - ADFS-installatie (Server Manager-console)

  1. Meld u aan bij de ADFS Service Manager-console.
    Het dashboard verschijnt.

  2. Navigeer vanuit het dashboard van de Service Manager naar Extra > AD FS-beheer.
    De AD FS-beheerwizard wordt weergegeven.

  3. Vouw in het gedeelte Acties de optie AD FS uit en selecteer de optie Relying Party Trust toevoegen.

    De wizard Relying Party Trust toevoegen verschijnt met meerdere stappen om de configuratie uit te voeren.

  4. Selecteer in de stap Welkom de optie Bewust van claims en klik op Start.

  5. Selecteer in de stap Gegevensbronnen selecteren de optie Gegevens over de relying party handmatig invoeren. Klik vervolgens op Volgende.

  6. Voer in de stap Weergavenaam opgeven een naam in voor de relying party trust. Klik vervolgens op Volgende.

  7. In de stap Certificaat configureren kunt u het coderingscertificaat (in cer-indeling) dat u hebt gedownload van Neurons, uploaden.
    Om een coderingscertificaat te uploaden, klikt u op Bladeren. Hiermee worden de gecodeerde beweringen voor ADFS geconfigureerd. Klik vervolgens op Volgende.

    Voor meer informatie over het downloaden van het certificaat, raadpleegt u de stappen in het gedeelte Externe verificatie configureren en inschakelen (Ivanti Neurons-platform) .

  1. Selecteer in de stap URL configureren de opties voor Ondersteuning voor het SAML 2.0 WebSSO-protocol inschakelen en kopieer en plak de service-URL uit . Klik vervolgens op Volgende.

    Voor de service-URL gaat u terug naar Ivanti Neurons en kopieert u de Assertion Consumer Service-url uit het gedeelte ADFS SAML 2.0 Configuratie-instellingen.

  2. Voer in de stap Id's configureren de Relying party trust-idin en klik op Toevoegen. Klik vervolgens op Volgende.

    Voor de Relying party trust-id gaat u terug naar Ivanti Neurons en kopieert u de Entiteits-id onder het gedeelte ADFS SAML 2.0 Configuratie-instellingen.

  1. In de stap Toegangsbeheerbeleid kiezen kiest u onder de sectie Een toegangsbeheerbeleid kiezen een beleid op basis van de vereisten van uw organisatie. Klik vervolgens op Volgende om de installatie te voltooien.

    Hiermee wordt de wizard Relying Party Trust toevoegen gesloten en wordt de configuratie voor de relying party trust gemaakt.

Stap 3 - Geef het handtekeningverificatiecertificaat (ADFS)

  1. Selecteer in de AD FS-beheerwizard de map Relying Party Trusts.
    Hier wordt de configuratie voor "relying party trust" die u hebt gemaakt, weergegeven.

  2. Dubbelklik op de vertrouwensconfiguratie van de relying party die u hebt gemaakt en ga naar het tabblad Handtekening.

  3. Klik op Toevoegen om het certificaat voor handtekeningverificatie te zoeken en te uploaden.

    Voor meer informatie over het downloaden van het certificaat, raadpleegt u de stappen in het gedeelte Externe verificatie configureren en inschakelen (Ivanti Neurons-platform) .

 Stap 4 - Claimuitgiftebeleid (ADFS) bewerken

Zorg ervoor dat de ADFS-configuratie de vereiste claims bevat die van toepassing zijn op Ivanti Neurons.

  1. Klik in de beheerwizard AD FS op de optie Claimuitgiftebeleid bewerken onder de sectie Acties.

    De wizard Claimuitgiftebeleid bewerken voor de geselecteerde relying party trust-configuratie die u hebt gemaakt.

  2. Klik op Regel toevoegen.

    De wizard Transformatieclaimregel toevoegen verschijnt met configuratiestappen.

  3. Selecteer in de stap Regeltype kiezen de optie LDAP-kenmerken als claims verzenden en klik op Volgende.

  4. Voer in de stap Claimregel configureren een claimnaam in, selecteer een kenmerkopslag en voer de vereiste toewijzingen voor LDAP-kenmerken uit.

    Zorg ervoor dat de volgende toewijzingen zijn geconfigureerd:

    • E-mailadressen -> E-mailadres

    • Voornaam -> Voornaam

    • Achternaam -> Achternaam

    • E-mailadressen -> Naam-id

  5. Klik vervolgens op > Voltooien.
    De wizard Claimuitgiftebeleid bewerken wordt weergegeven.

  6. Klik op Toepassen.

Stap 5 - ADFS-instellingen configureren op het Ivanti Neurons-platform (URL Identiteitsprovider metagegevenseindpunt-url)

Zodra de ADFS-configuratie is voltooid, moet u de eindpunt-URL voor metagegevens van de identiteitsprovider toepassen in de Ivanti Neurons-toepassing.

  1. Identificeer en kopieer de metadata-URL van uw ADFS-provider.

    De IdP-metadata-URL van uw ADFS-provider zullen de volgende opmaak hebben:
    https://<adfs-federation-service-name>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. Ga terug naar en plak de URL in het veld URL eindpunt metagegevens identiteitsprovider .
    Hiermee wordt de URL gevalideerd.

  3. Klik op Doorgaan om verder te gaan.

 Stap 6 - Verbindingsinstellingen valideren (Ivanti Neurons Platform)

U moet verbinding maken met uw ADFS-server om uw verbindingsinstellingen te valideren.

  1. Klik op de pagina Verbindingsinstellingen valideren op Instellingen valideren.

    De validatie gebeurt automatisch. U krijgt een bevestigingsscherm als de aanmelding is gelukt.

  2. Keer terug naar de pagina Verbindingsinstellingen valideren en schakel het selectievakje in om een gelukte aanmelding te bevestigen.

  3. Klik op Doorgaan om door te gaan naar de pagina Uw Ivanti Neurons-platformaccount converteren.

 Stap 7 - Ivanti Neurons Platform-accounts inschakelen in Ivanti Neurons Platform

ADFS is nu geconfigureerd, maar niet ingeschakeld.

Om dit in te schakelen, moet u uw Ivanti Neurons Platform-accounts converteren om in plaats daarvan ADFS te gebruiken.

  1. Klik op de pagina Ivanti Neurons Platform-accounts inschakelen op Afmelden en inschakelen.
    De pagina Aanmelden bij Ivanti Neurons verschijnt.
  2. Selecteer Aanmelden met ADFS en voer uw ADFS-referenties in. De conversie is dan voltooid.
    Om te verifiëren meldt u zich aan aan bij Neurons. Ga naar Beheer > Authenticatie en zorg dat ADFS de externe verificatieprovider is.

    3. Dezelfde gebruiker moet ADFS-verificatie en Aanmelden configureren en moet de referenties valideren in Ivanti Neurons om een fout Toegang geweigerd te vermijden.

Alle leden zullen een e-mail ontvangen om te bevestigen dat de account werd geconverteerd en dat ze de tenant voortaan openen met ADFS-gegevens. Als het lid geen ADFS-referenties heeft, zal deze geen toegang krijgen tot Ivanti Neurons.

Externe authenticatie (SSO) zal nu verschijnen met de status Ingeschakeld.

Automatische provisionering configureren

Het inschakelen van automatische inrichting zal automatisch toegang verlenen tot Ivanti Neurons voor alle leden binnen de ADFS-registratie zonder dat u het handmatige uitnodigingsproces hoeft te doorlopen. Wanneer een nieuw lid voor het eerst aanmeldt, wordt een nieuwe account voor het Ivanti Neurons-platform ingericht in Ivanti Neurons > Leden. Alle nieuwe automatisch ingerichte leden zullen rollen worden verleend voor toegangsbeheer, gedefinieerd in de instelling.

Automatische provisionering inschakelen

  1. Navigeer op het Ivanti Neurons-platform naar Instelling > Verificatie.

    De pagina Verificatiemethode verschijnt.

  2. Klik in de sectie Externe authenticatie op Acties en selecteer Automatische inrichting inschakelen.

  3. Kies in de vervolgkeuzelijst Standaardrollen voor de toegangsbeheerrol die u aan alle nieuwe beheerders wilt toewijzen.

    Om Rollen in te stellen, gaat u naar Ivanti Neurons >Beheer> rollenOm Rollen in te stellen, gaat u naar Ivanti Neurons > Admin > Rollen.

  4. Klik op Automatische inrichting inschakelen om de rolselectie te bevestigen en de automatische inrichting in te schakelen voor alle nieuwe leden.

Zodra dit is ingeschakeld, kunt u de standaard rollen voor toegangsbeheer bewerken en automatisch inrichten uitschakelen. Deze wijzigingen zullen alleen van toepassing zijn op leden die zijn ingericht na de wijzigingen en zullen de bestaande leden niet beïnvloeden.

(Optioneel) Providerinstelling bijwerken (Ivanti Neurons Platform)

Met deze actie kunt u kiezen of u ondertekende aanvragen, gecodeerde beweringen of beide wilt gebruiken.

  1. Beheer> Verificatie.

    De pagina Verificatie verschijnt.

  2. Klik in de sectie Externe authenticatie op Acties > Providerinstelling bijwerken.

    De pagina SAML-provider bijwerken wordt weergegeven.

  3. In ADFS-configuratie-instellingen kunt u het volgende selecteren:

    • Ondertekende verzoeken inschakelen: Schakel deze optie in om digitaal ondertekende verzoeken te verzenden naar een externe verificatieprovider en configureer de provider om te valideren of de ondertekende verzoeken afkomstig zijn van de Neurons-tenant. U kunt deze optie ook uitschakelen om geen ondertekende aanvragen meer te verzenden.

    • Gecodeerde beweringen inschakelen: schakel deze optie in om gecodeerde gebruikersinformatie van de externe verificatieprovider te ontvangen. U kunt de Neurons-tenant configureren om de informatie te decoderen. U kunt deze optie ook uitschakelen om geen gecodeerde gebruikersinformatie meer te ontvangen.

  4. Klik op Wijzigingen toepassen.

    U kunt nu het bijgewerkte metagegevensbestand van serviceproviders en certificaat downloaden op basis van uw vereisten.

    Nadat u het bijgewerkte gecodeerde certificaat hebt gedownload, moet u ervoor zorgen dat het nieuwe certificaat wordt geüpload naar de ADFS-systeembeheerder. Raadpleeg de sectie ADFS-installatie (Serverbeheerderconsole) voor informatie over het uploaden van het certificaat.

  5. Klik op Doorgaan om de metagegevens te valideren.

  6. Klik op de pagina SAML-providerinstelling valideren op Instelling valideren.

  7. Een nieuw tabblad opent op de aanmeldingspagina van uw organisatie. Voer uw referenties in en meld aan.

    De validatie gebeurt automatisch. U krijgt een bevestigingsscherm als de aanmelding is gelukt.

  8. Ga terug naar de pagina Nieuwe providerinstelling valideren en schakel het selectievakje in om te bevestigen dat het aanmelden is gelukt.

  9. Klik op Doorgaan om verder te gaan.

  10. Klik op Wijzigingen opslaan om het proces te voltooien.

    Een melding die de gelukte update van het klantgeheim bevestigt, is ontvangen.

(Optioneel) Certificaat bijwerken (Ivanti Neurons Platform)

U kunt deze optie gebruiken om een verlopen certificaat of een certificaat dat bijna verloopt, bij te werken.

De vernieuwingsfunctie is bedoeld voor gebruik tijdens rustige uren. Zodra Neurons het certificaat heeft verlengd, wordt het direct in gebruik genomen. Dit zal leiden tot mislukte authenticatiegebeurtenissen bij de identiteitsprovider totdat de IdP is bijgewerkt om het nieuwe certificaat te verwachten. Houd hiermee rekening bij uw planning en zorg ervoor dat de wijzigingen in uw IdP-software op elkaar worden afgestemd.

  1. Beheer> Verificatie.
    De pagina Verificatie verschijnt.

  2. Kik in de sectie Externe verificatie op Acties >Certificaat bijwerken.
    Het scherm Certificaat bijwerken wordt weergegeven.

  3. Klik op Doorgaan.
    Het tabblad Bijwerken wordt weergegeven.

  4. Op het tabblad Bijwerken kunt u de metagegevens en het certificaat van de serviceprovider downloaden.

    Nadat u het gecodeerde certificaat hebt gedownload, moet u ervoor zorgen dat het nieuwe certificaat is geüpload naar de identiteitsproviderconsole voordat u het valideert.

  5. Klik op Doorgaan om naar de pagina Nieuw certificaat valideren te gaan.

  6. Klik op Certificaat valideren.
    De validatie gebeurt automatisch. U krijgt een bevestigingsscherm als de aanmelding is gelukt.

  7. Keer terug naar de pagina Verbindingsinstellingen valideren en schakel het selectievakje in om een aanmelding te bevestigen.

  8. Klik op Doorgaan.
    De pagina Nieuw certificaat opslaan wordt weergegeven.

  9. Klik op Wijzigingen opslaan.

(Optioneel) Download SP-metagegevens of het -certificaat (Ivanti Neurons Platform)

Als de externe verificatie-instellingen voor ADFS opnieuw moeten worden uitgevoerd vanwege problemen of fouten, zijn het certificaat of de SP-metagegevens vereist. Deze kunnen worden gedownload via de vervolgkeuzelijst 'Acties' van Ivanti Neurons, zoals hieronder:

  1. Navigeer op het Ivanti Neurons-platform naar Beheer > Verificatie.

    De pagina Verificatie verschijnt.

  2. Klik in de sectie Externe verificatie (SSO) op Acties.In de vervolgkeuzelijst kunt u op het volgende klikken:

    • SP-metagegevens downloaden: klik op deze optie om de metagegevens van de serviceprovider samen met het certificaat in XML-formaat te downloaden.

    • Alleen certificaat downloaden: klik op deze optie om alleen het certificaat te downloaden (in pem-indeling).

    Het SP-metagegevensbestand bevat de laatst opgeslagen versie van de configuratie-instellingen van de provider en het certificaat is het laatste actieve certificaat.

(Optioneel) Verificatiemethode verwijderen (Ivanti Neurons-platform)

  1. Navigeer op het Ivanti Neurons-platform naar Beheer > Verificatie.

    De pagina Verificatie verschijnt.

  2. Klik in de sectie Externe verificatie op Acties > Verificatiemethode verwijderen.

    Het scherm Externe authenticatie verwijderen verschijnt.

  3. Klik op Afmelden en opnieuw verifiëren.

    Ivanti Neurons is afgemeld.

  4. Klik op Aanmelden met e-mail en wachtwoord.

  5. Voer de referenties in en klik op Aanmelden.

  6. Navigeer naar Beheer > Verificatie > Externe verificatie en klik dan op Acties > Verificatiemethode verwijderen.

    Het scherm Externe authenticatie verwijderen verschijnt.

  7. Klik op Verificatiemethode verwijderen.

    De bestaande verificatiemethode wordt nu verwijderd.