PingFederate Authentication (SAML)

Ivanti Neurons biedt momenteel de optie om PingFederate te selecteren als de externe authenticatieprovider voor uw tenant. PingFederate centraliseert de aanmeldingservaring van de eindgebruiker, vermindert het optreden van met wachtwoord verwante oproepen naar de helpdesk en produceert granulaire controles voor beleidslijnen en audittrails.

Externe verificatie configureren en inschakelen

  1. Navigeer op het Ivanti Neurons-platform naar Beheer > Verificatie.
    De pagina Verificatie verschijnt.

  2. Klik in de sectie Externe verificatie (SSO) op Configureren en inschakelen.
    De pagina Externe authenticatie (SSO) inschakelen verschijnt.

  3. Kies in de vervolgkeuzelijst Provider voor PingFederate.

  4. Kies in de vervolgkeuzelijst Aanmeldingsmethodevoor Saml 2.0.

    PingFederateSAML 2.0 configuratie-instellingen verschijnen.
    Het is aanbevolen om dit tabblad open te laten om het later te kunnen raadplegen wanneer u de details configureert in de PingFederate-beheerconsole.

  1. Meld aan bij de PingFederate-beheerconsole.

  2. Selecteer onder Toepassingen de optie SP-verbindingen.

  3. Klik op Verbinding maken.

  4. Selecteer in Verbindingssjabloon de optie SJABLOON NIET GEBRUIKEN VOOR DEZE VERBINDING en klik op Volgende.

  5. Selecteer in Verbindingstype de optie BROWSER SSO-PROFIELEN omdat deze instelling toegang tot de browser vereist.

  6. Kies in de vervolgkeuzelijst PROTOCOL voor SAML 2.0 en klik op Volgende.

  7. Kies in Verbindingsopties voor BROWSER SSO en klik op Volgende.

  8. Kies in Metagegevens importeren voor Geen en klik op Volgende.

  9. Voer in Algemene info de volgende details in die beschikbaar zijn op het Ivanti Neurons-tabblad dat open was:

    • ENTITEITS-ID PARTNER (VERBINDINGS-ID): unieke verbindings-id (Entiteits-id).

    • VERBINDINGSNAAM: taal-id voor deze verbinding.

  10. (Optioneel) Geef meerdere virtuele server-id's op met de Basis-URL voor vereenvoudigde partnereindpuntconfiguraties en klik op Volgende.

  11. Klik in Browser SSO op Browser SSO configureren om de configuratie in te stellen of te bewerken voor veilige op browser gebaseerde SSO voor de bronnen van de partner.

    1. Kies in SAML-profielen voor SP-geïnitieerde SSO om de types berichten op te geven die worden uitgewisseld tussen de Identiteitsprovider en de Serviceprovider, evenals de transportmethoden (bindingen) en klik op Volgende.

    2. Stel in Levensduur Assertion, de geldigheidsduur voor en na verstrekken voor bevestiging aan de SP en klik op Volgende.

    3. Klik in Assertion maken op Assertion maken configureren om SAML Assertions voor SSO-toegang te maken voor de site van uw SP-partner.

      1. Kies in Identiteitstoewijzing voor Standaard en klik op Volgende.

      2. Kies in Kenmerk contract voor SAML_SUBJECT en werkt de velden Het contract verlengen bij met de volgende set vereiste gebruikerskenmerken die de server zal verzenden in de bevestiging:

        • E-mail

        • given_name

        • family_name

      3. Klik op Volgende.

      4. Klik in Verificatie brontoewijzing op Nieuwe adapterinstantie toewijzen.

        1. Kies in Adapterinstantie voor PingOneIdpAdapter en klik op Volgende.

        2. Kies in Toewijzingsmethode voor ALLEEN DE CONTRACTWAARDEN VAN DE ADAPTER GEBRUIKEN IN DE SAML ASSERTION en klik op Volgende.

        3. Werk in Kenmerk naleving contract het Kernmerk contract als volgt bij:

          • SAML_SUBJECT: Bron - Adapter, Waarde - gebruikersnaam

          • e-mail: Bron - Adapter, Waarde - e-mail

          • family_name: Bron - adapter, Waarde - name.family

          • given_name: Bron - adapter, Waarde - name.given

        4. Klik op Volgende.

        5. In Uitgiftecriteria werkt u de velden bij of laat u ze leeg zoals vereist en klikt u op Volgende.

        6. Controleer de details in Overzicht en klik op Gereed.

      5. Klik in Verificatie brontoewijzing op Volgende.

      6. Controleer de details in Overzicht en klik op Gereed.

    4. Klik in Assertion maken op Volgende.

    5. Klik in Protocolinstellingen op Protocolinstellingen configurerenom SAML assertions in te stellen voor SSO-toegang tot de site van uw SP-partner.

      1. Kopieer in Assertion Consumer Service URL de Assertion Customer Service URL van het Neurons-platform en plak het in het veld Eindpunt-URL op het PingFederate Admin-portaal.

      2. Selecteer POST in de vervolgkeuzelijst Binding en klik op Toevoegen > Volgende.

      3. Kies in Toelaatbare SAML-bindingen voor POST en klik op Volgende.

      4. Kies in Handtekeningbeleid voor ANTWOORD ONDERTEKENEN ZOALS VEREIST en klik op Volgende.

      5. Kies in Coderingsbeleid voor GEEN en klik op Volgende.

      1. Controleer de details in Overzicht en klik op Gereed.

    6. Klik in Protocolinstellingen op Volgende.

    7. Controleer de details in Overzicht en klik op Gereed.

  1. Klik in Browser SSOop Volgende.

  2. Klik in Referenties op Referenties configureren om de instellingen voor Digitale handtekening op te geven.

    1. Selecteer een certificaat in de vervolgkeuzelijst CERTIFICAAT ONDERTEKENEN .

    2. Behoud de veldwaarden van SECUNDAIR ONDERTEKENINGSCERTIFICAAT en ONDERTEKENINGSALGORITME en klik op Volgende.

    3. Controleer de details in Overzicht en klik op Opslaan.

  1. Klik in Referenties op Volgende.

  2. Controleer de details in Activering & overzicht en klik op Gereed. De pagina SP-verbindingen verschijnt.

  3. Klik op Actie selecteren onder Acties voor de nieuwe geconfigureerde verbinding > Metagegevens exporteren.

  4. Selecteer in Metadata ondertekenen een certificaat in de vervolgkeuzelijst CERTIFICAAT ONDERTEKENEN.

  5. Selecteer een algoritme in de vervolgkeuzelijst ONDERTEKENINGSALGORITME en klik op Volgende.

  6. Selecteer Exporteren. Het metagegevensbestand wordt gedownload.

  7. Navigeer naar de pagina Externe verificatie inschakelen van het Ivanti Neurons-platform dat open was en klik op Bestand selecteren.

  8. Open het gedownloade metagegevensbestand en klik op Uploaden.

  9. Klik op Doorgaan om de instellingen te valideren.

U moet verbinden met uw PingFederate-referenties voor het valideren van uw verbindingsinstellingen.

  1. Klik op de pagina Verbindingsinstellingen valideren op Instellingen valideren. Een nieuw tabblad opent op de aanmeldingspagina van uw organisatie. Voer uw PingFederate-referenties in en meld aan.

  2. Keer terug naar de pagina Verbindingsinstellingen valideren en schakel het selectievakje in om een gelukte aanmelding te bevestigen.
    PingFederate is nu geconfigureerd, maar niet ingeschakeld.Om dit in te schakelen, moet u uw Ivanti Neurons Platform-accounts converteren naar PingFederate.

  1. Klik op Doorgaan om door te gaan naar de pagina Uw Ivanti Neurons-platformaccount converteren.

  • E2018 Verificatie mislukt: gebruiker kan niet verifiëren met PingFederate. Controleer of de gebruikersnaam en het wachtwoord correct zijn en of de gebruiker machtigingen heeft voor de PingFederate SP-verbinding.

  • E2019 Ontbrekende optionele claims: validatiestap is mislukt omdat de extra optionele claims niet aanwezig waren in de token die werd geretourneerd naar Ivanti Neurons Platform vanaf PingFederate.

  • E2020 Kan geen koppeling maken met gebruikersaccount Neurons-platform: de PingFederate-gebruikersaanmelding komt niet overeen met de gebruiker van het Ivanti Neurons-platform. Het e-mailadres van de gebruikersaccount van het Ivanti Neurons-platform moet overeenkomen met het e-mailadres dat wordt gebruikt voor het aanmelden bij PingFederate.

  1. Klik op de pagina Uw Ivanti Neurons Platform-account converteren op Afmelden en inschakelen. Ivanti Neurons is afgemeld.

  2. Klik op Aanmelden met PingFederate en voer uw PingFederate-referenties om het proces te voltooien.

  3. U kunt nu de PingFederate-toepassing weergeven in Beheer > Verificatie met een status Ingeschakeld.    

  4. Klik op Afmelden vanaf het Neurons-platform.
    Wanneer u opnieuw aanmeldt, wordt u gerouteerd naar PingFederate om de account te kiezen en aan te melden met PingFederate-referenties.

Automatische provisionering configureren

Het inschakelen van automatische inrichting zal automatisch toegang verlenen tot Ivanti Neurons voor alle leden binnen de registratie van de PingFederate SP-verbinding zonder dat u het handmatige uitnodigingsproces doorloopt. Wanneer een nieuw lid voor het eerst aanmeldt, wordt een nieuwe account voor het Ivanti Neurons-platform ingericht in Ivanti Neurons > Leden. Alle nieuwe automatisch ingerichte leden zullen rollen worden verleend voor toegangsbeheer, gedefinieerd in de instelling.

  1. Navigeer op het Ivanti Neurons-platform naar Instelling > Verificatie.
    De pagina Verificatiemethode verschijnt.

  1. Klik in de sectie Externe verificatie (SSO) op Acties en selecteer Automatische inrichting inschakelen.

  1. Kies in de vervolgkeuzelijst Standaardrollen voor de toegangsbeheerrol die u aan alle nieuwe leden wilt toewijzen.
    Om Rollen in te stellen, gaat u naar Ivanti Neurons > Beheer > Rollen.

  1. Klik op Automatische inrichting inschakelen om de rolselectie te bevestigen en de automatische inrichting in te schakelen voor alle nieuwe leden.

Zodra dit is ingeschakeld, kunt u de standaard rollen voor toegangsbeheer bewerken en automatisch inrichten uitschakelen. Deze wijzigingen zullen alleen van toepassing zijn op leden die zijn ingericht na de wijzigingen en zullen de bestaande leden niet beïnvloeden.

Het inschakelen van automatisch inrichten, verleent alle gebruikers van de PingFederate-toepassingsregistratie toegang tot Ivanti Neurons. U kunt de toegang beperken tot bepaalde gebruikers of groepen binnen de PingFederate-toepassing.

(Optioneel)Metagegevens bijwerken (Ivanti Neurons-platform)

  1. Navigeer op het Ivanti Neurons-platform naar Beheer > Verificatie.
    De pagina Verificatie verschijnt.

  2. Klik in de sectie Externe verificatieop Acties > Metagegevens bijwerken.
    Het scherm SAML-metagegevens bijwerken verschijnt.

  3. Klik in PingFederate-configuratie-instellingen op Bestand selecteren.

  4. Open het gedownloade metagegevensbestand en klik op Uploaden.

  5. Klik op Doorgaan om de instellingen te valideren.

  6. Klik op de pagina Nieuwe SAML-metagegevens valideren op SAML-metagegevens valideren.

  7. Een nieuw tabblad opent op de aanmeldingspagina van uw organisatie. Voer uw referenties in en meld aan.
    De validatie gebeurt automatisch. U krijgt een bevestigingsscherm als de aanmelding is gelukt.

  8. Keer terug naar de pagina Nieuwe SAM-metagegevens valideren en schakel het selectievakje in om een gelukte aanmelding te bevestigen.

  9. Klik op Doorgaan om door te gaan naar de pagina Nieuwe SAML-metagegevens opslaan.

  10. Klik op Wijzigingen opslaan om het proces te voltooien.
    Een melding die de gelukte update van metagegevens bevestigt, is ontvangen.

(Optioneel)Verificatiemethode verwijderen (Ivanti Neurons-platform)

  1. Navigeer op het Ivanti Neurons-platform naar Beheer > Verificatie.
    De pagina Verificatie verschijnt.

  2. Klik in de sectie Externe verificatie op Acties > Verificatiemethode verwijderen.
    Het scherm Externe authenticatie verwijderen verschijnt.

  3. Klik op Afmelden en opnieuw verifiëren.
    Ivanti Neurons is afgemeld.

  4. Klik op Aanmelden met e-mail en wachtwoord.

  5. Voer de referenties in en klik op Aanmelden.

  6. Navigeer naar Beheer > Verificatie > Externe verificatie en klik dan op Acties > Verificatiemethode verwijderen.
    Het scherm Externe verificatie verwijderen verschijnt.

  7. Klik op Verificatiemethode verwijderen.
    De bestaande verificatiemethode wordt nu verwijderd.