Autenticação com ADFS (SAML)

O Ivanti Neurons atualmente oferece a opção de selecionar o ADFS (Active Directory Federation Services) como provedor de autenticação externa para o seu locatário. A autenticação ADFS é um sistema de logon único (SSO) que permite aos usuários acessar com segurança aplicativos e recursos em diferentes domínios com um único login, usando tokens de segurança. Isso simplifica a experiência do usuário, melhora a segurança ao reduzir a reutilização de senhas e simplifica o gerenciamento de identidade para as organizações.

A autenticação ADFS aceita apenas o método de login baseado em SAML.

Configurar e habilitar a autenticação externa

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.

    A página Autenticação aparece.

  2. Na seção Autenticação Externa (SSO), clique em Configurar e habilitar.

    A página Habilitar autenticação externa (SSO) é exibida.

  3. No menu suspenso Provedor, selecione ADFS.

    A página Definições de Configuração SAML 2.0 do ADFS aparece. É recomendável deixar essa aba aberta para consultar quando for configurar os detalhes no console do Gerenciador de Serviços do ADFS.

  4. Na seção Definições de Configuração SAML 2.0 do ADFS, você pode selecionar as seguintes opções:

    • Habilitar solicitações assinadas: habilite esta opção para enviar solicitações assinadas digitalmente a um provedor de autenticação externo e configure o provedor para confirmar se as solicitações assinadas são provenientes do locatário do Ivanti Neurons. Alternativamente, você pode desabilitar a opção para interromper o envio de solicitações assinadas.

    • Habilitar declarações criptografadas: habilite esta opção para receber informações de usuário criptografadas do provedor de autenticação externo. Você pode configurar o locatário do Neurons para descriptografar as informações. Alternativamente, você pode desabilitar a opção para parar de receber informações de usuário criptografadas.

  5. Clique em Aplicar alterações.
    Após aplicar as alterações, você poderá baixar as informações de identidade, tais como metadados do provedor de serviços e certificado, para um sistema SSO baseado em SAML, conforme mostrado abaixo:

    • Baixar metadados SP: clique para baixar os metadados do provedor de serviços junto com o certificado em formato XML.

    • Baixar somente certificado: clique nesta opção para baixar apenas o certificado (em formato .pem).

  1. Faça login no console do Gerenciador de Serviços do ADFS.
    O painel aparece.

  2. No painel do Gerenciador de Serviços, navegue até Ferramentas > Gerenciamento do AD FS.
    O assistente de gerenciamento do AD FS é exibido.

  3. Na seção Ações, expanda AD FS e selecione a opção Adicionar Confiança de Parte Confiável.

    O Assistente Adicionar Confiança da Parte Confiável aparece com várias etapas para executar a configuração.

  4. Na etapa Boas-Vindas, selecione a opção Reconhecimento de declarações e clique em Iniciar.

  5. Na etapa Selecionar Fonte de Dados, selecione Inserir dados sobre a confiança da parte confiável manualmente. Em seguida, clique em Avançar.

  6. Na etapa Especificar Nome de Exibição, insira um nome para a confiança da parte confiável. Em seguida, clique em Avançar.

  7. Na etapa Configurar Certificado, você pode carregar o certificado de criptografia (em formato .cer) que você baixou do Ivanti Neurons.
    Para carregar um certificado de criptografia, clique em Procurar. Isso configura as declarações criptografadas para o ADFS. Em seguida, clique em Avançar.

    Para obter mais informações sobre como baixar o certificado, consulte as etapas na seção Configurar e habilitar a autenticação externa (plataforma Ivanti Neurons).

  1. Na etapa Configurar URL, selecione as opções em Habilitar suporte ao protocolo SAML 2.0 WebSSO e copie e cole o URL do serviço proveniente do Plataforma Neurons. Em seguida, clique em Avançar.

    Para o URL do serviço, volte ao Ivanti Neurons e copie o URL do Serviço do Consumidor de Declaração da seção Definições de Configuração SAML 2.0 do ASFS.

  2. Na etapa Configurar Identificadores, insira o Identificador de confiança da parte confiável e clique em Adicionar. Em seguida, clique em Avançar.

    Para o Identificador de confiança da parte confiável, volte ao Ivanti Neurons e copie o ID da Entidade na seção Definições de Configuração SAML 2.0 do ADFS.

  1. Na etapa Escolher Política de Controle de Acesso, escolha uma política na seção Escolher uma política de controle de acesso, conforme os requisitos da sua organização. Em seguida, clique em Avançar para concluir a configuração.

    Isso fecha o Assistente Adicionar Confiança da Parte Confiável e cria a configuração de confiança da parte confiável.

  1. No assistente de gerenciamento do AD FS, selecione a pasta Confianças da Parte Confiável.
    Isso exibe a configuração de confiança da parte confiável que você criou.

  2. Clique duas vezes na configuração de confiança da parte confiável que você criou e navegue até a guia Assinatura.

  3. Clique em Adicionar para procurar e carregar o certificado de verificação de assinatura.

    Para obter mais informações sobre como baixar o certificado, consulte as etapas na seção Configurar e habilitar a autenticação externa (plataforma Ivanti Neurons).

Certifique-se de que a configuração do ADFS inclua as declarações necessárias aplicáveis ao Ivanti Neurons.

  1. No assistente de gerenciamento do AD FS, clique em Editar política de emissão de declaração na seção Ações.

    Assistente Editar Política de Emissão de Declaração é exibido para a configuração de confiança de parte confiável selecionada que você criou.

  2. Clique em Adicionar regra.

    O Assistente Adicionar Regra de Declaração de Transformação aparece com etapas de configuração.

  3. Na etapa Escolher Tipo de Regra, selecione a opção Enviar atributos LDAP como declarações e clique em Avançar.

  4. Na etapa Configurar Regra de Declaração, insira um nome de declaração, selecione o repositório de atributos e execute os mapeamentos necessários para os atributos LDAP.

    Certifique-se de que os seguintes mapeamentos estejam configurados:

    • E-mail-Addresses -> Endereço de e-mail

    • Given-Name -> Nome

    • Surname -> Sobrenome

    • E-mail-Addresses -> ID do nome

  5. Em seguida, clique em Concluir.
    O Assistente Editar Política de Emissão de Declaração é exibido.

  6. Clique em Aplicar.

Quando a configuração do ADFS estiver concluída, você deve aplicar o URL do ponto de extremidade de metadados do provedor de identidades no aplicativo Ivanti Neurons.

  1. Identifique e copie o URL de metadados do seu provedor ADFS.

    O URL de metadados IdP do seu provedor ADFS estará nos seguintes formatos:
    https://<adfs-federation-service-name>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. Volte ao Ivanti Plataforma Neurons e cole o URL no campo URL do ponto de extremidade de metadados do provedor de identidade.
    Isso validará o URL.

  3. Clique em Continuar para prosseguir.

Você precisa se conectar ao seu servidor ADFS para validar suas configurações de conexão.

  1. Na página Validar configurações de conexão, clique em Validar configurações.

    A validação ocorre automaticamente. Você receberá uma tela de confirmação se o login for bem-sucedido.

  2. Retorne à página Validar configurações de conexão e marque a caixa de seleção para confirmar o login bem-sucedido.

  3. Clique em Continuar para prosseguir para a página Converta sua conta da plataforma Ivanti Neurons.

O ADFS agora está configurado, mas não habilitado.

Para habilitar, você precisa converter as contas da Plataforma Ivanti Neurons para usar o ADFS.

  1. Na página Habilitar contas da Plataforma Ivanti Neurons, clique em Sair e habilitar.
    A página Login do Ivanti Neurons é exibida.
  2. Selecione Entrar com ADFS e insira suas credenciais do ADFS; a conversão será então concluída.
    Para verificar, faça login no Neurons, vá para Administrador > Autenticação e veja se o ADFS é o provedor de autenticação externo.

    3. O mesmo usuário deve configurar a autenticação do ADFS e entrar e validar as credenciais no Ivanti Neurons para evitar erro de acesso negado.

Todos os membros receberão um e-mail para confirmar que a conta foi convertida e que eles devem acessar o locatário com as credenciais do ADFS daqui em diante. Se o membro não tiver credenciais do ADFS, não conseguirá acessar o Ivanti Neurons.

A Autenticação Externa (SSO) agora será exibida com o status Ativado.

Configurar o autoprovisionamento

Habilitar o autoprovisionamento fará com que todos os membros no Registro do ADFS recebam automaticamente acesso ao Ivanti Neurons, sem que seja necessário passar pelo processo de convite manual. Quando um novo membro fizer login pela primeira vez, uma nova conta da Plataforma Ivanti Neurons será provisionada em Ivanti Neurons > Membros. Todos os novos membros autoprovisionados receberão as funções de controle de acesso definidas na configuração.

  1. Na Plataforma Ivanti Neurons, navegue até Configuração > Autenticação.

    A página Método de autenticação aparece.

  2. Na seção Autenticação Externa, clique em Ações e selecione Habilitar autoprovisionamento.

  3. No menu suspenso Funções padrão, selecione a função de controle de acesso que você deseja atribuir a todos os novos membros.

    Para configurar Funções, acesse Ivanti Neurons > Administrador > Funções.

  4. Clique em Habilitar Autoprovisionamento para confirmar a seleção da função e habilitar o provisionamento automático de todos os novos membros.

Uma vez habilitado, você pode editar as funções padrão de controle de acesso e desabilitar o provisionamento automático. Essas alterações serão aplicadas somente aos membros provisionados após as modificações e não afetarão os membros existentes.

(Opcional) Atualizar configuração do provedor (plataforma Ivanti Neurons)

Esta ação permite escolher se deseja usar solicitações assinadas, declarações criptografadas ou ambas.

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.

    A página Autenticação aparece.

  2. Na seção Autenticação externa, clique em Ações > Atualizar configurações do provedor.

    A página Atualizar provedor SAML é exibida.

  3. Em Definições de Configuração do ADFS, você pode selecionar o seguinte:

    • Habilitar solicitações assinadas: habilite esta opção para enviar solicitações assinadas digitalmente a um provedor de autenticação externo e configure o provedor para confirmar se as solicitações assinadas são provenientes do locatário do Ivanti Neurons. Alternativamente, você pode desabilitar a opção para interromper o envio de solicitações assinadas.

    • Habilitar declarações criptografadas: habilite esta opção para receber informações de usuário criptografadas do provedor de autenticação externo. Você pode configurar o locatário do Neurons para descriptografar as informações. Alternativamente, você pode desabilitar a opção para parar de receber informações de usuário criptografadas.

  4. Clique em Aplicar alterações.

    Agora você pode baixar o arquivo de metadados e o certificado atualizados do provedor de serviços, de acordo com suas necessidades.

    Depois de baixar o certificado criptografado atualizado, certifique-se de que o novo certificado seja carregado no gerenciador do sistema ADFS. Para carregar o certificado, consulte a seção Configuração do ADFS (console do Gerenciador de Servidores).

  5. Clique em Continuar para validar os metadados.

  6. Na página Validar configuração do provedor SAML, clique em Validar configuração.

  7. Uma nova aba é aberta na página de login da sua organização. Insira suas credenciais e faça login.

    A validação ocorre automaticamente. Você receberá uma tela de confirmação se o login for bem-sucedido.

  8. Retorne à página Validar nova configuração de provedor e marque a caixa de seleção para confirmar o login bem-sucedido.

  9. Clique em Continuar para prosseguir.

  10. Clique em Salvar alterações para concluir o processo.

    Uma notificação confirmando a atualização bem-sucedida do segredo do cliente é recebida.

(Opcional) Atualizar certificado (Plataforma Ivanti Neurons)

Você pode usar esta opção para atualizar o certificado expirado ou quando um certificado estiver prestes a expirar.

A função de renovação deve ser usada durante os horários de menor utilização. Assim que a Neurons renova o certificado, começa a usá-lo imediatamente. Isso causará falhas na autenticação no Provedor de Identidade até que o IdP seja atualizado para esperar o novo certificado. Planeje adequadamente e garanta que as alterações correspondentes sejam realizadas no seu software de IdP.

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.
    A página Autenticação aparece.

  2. Na seção Autenticação externa, clique em Ações >Atualizar certificado.
    A tela Atualizar Certificado aparece.

  3. Clique em Continuar.
    A aba Atualizar aparece.

  4. Na aba Atualizar, você pode baixar os metadados e o certificado do provedor de serviços.

    Após baixar o certificado criptografado, certifique-se de carregá-lo no console do provedor de identidade antes de validá-lo.

  5. Clique em Continuar para ir à página Validar Novo Certificado.

  6. Clique em Validar Certificado.
    A validação ocorre automaticamente. Você receberá uma tela de confirmação se o login for bem-sucedido.

  7. Retorne à página Validar configurações de conexão e marque a caixa de seleção para confirmar o login.

  8. Clique em Continuar.
    A página Salvar Novo Certificado é exibida.

  9. Clique em Salvar alterações.

(Opcional) Baixar metadados ou certificado do SP (Plataforma Ivanti Neurons)

Se a configuração de autenticação externa para ADFS precisar ser refeita devido a problemas ou erros, a TI exigirá o certificado ou os metadados do SP. Eles podem ser baixados a partir da lista suspensa de ações no Ivanti Neurons, conforme abaixo:

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.

    A página Autenticação aparece.

  2. Na seção Autenticação Externa (SSO), clique em Ações. No menu suspenso, você pode clicar em:

    • Baixar metadados SP: clique para baixar os metadados do provedor de serviços junto com o certificado em formato XML.

    • Baixar somente certificado: clique nesta opção para baixar apenas o certificado (em formato .pem).

    O arquivo de metadados do SP conterá a última versão salva das configurações do provedor, e o certificado será o último certificado ativo.

(Opcional) Excluir método de autenticação (Plataforma Ivanti Neurons)

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.

    A página Autenticação aparece.

  2. Na seção Autenticação externa (SSO), clique em Ações > Excluir método de autenticação.

    A tela Excluir autenticação externa é exibida.

  3. Clique em Sair e reautenticar.

    O Ivanti Neurons é desconectado.

  4. Clique em Entrar com e-mail e senha.

  5. Insira as credenciais e clique em Entrar.

  6. Navegue até Administrador > Autenticação > Autenticação externa e clique em Ações > Excluir método de autenticação.

    A tela Excluir autenticação externa é exibida.

  7. Clique em Excluir método de autenticação.

    O método de autenticação existente agora está excluído.