Autenticação com Entra ID
O Ivanti Neurons atualmente oferece a opção de selecionar o Entra ID como provedor de autenticação externa para o seu locatário. Essa é uma boa opção se você quer centralizar a experiência de logon do usuário final, reduzir a ocorrência de chamadas relacionadas a senha para o suporte técnico e ter controles granulares sobre políticas e trilhas de auditoria.
Para usar o Entra ID, todos os membros devem aceitar a solicitação para que a Ivanti acesse seus dados básicos de perfil do Azure.
Configurar e habilitar a autenticação externa
- Na Ivanti Neurons Platform, navegue até Administrador > Autenticação.
A página Autenticação aparece. - Na seção Autenticação Externa (SSO), clique em Configurar e habilitar.
A página Habilitar autenticação externa (SSO) é exibida. - No menu suspenso Provedor selecione Entra ID.
As Configurações do Entra ID aparecem.
Antes de dar continuidade à configuração do Ivanti Neurons, você deve primeiro realizar algumas etapas no Portal do Microsoft Azure.
Antes de dar continuidade à configuração do Ivanti Neurons, você deve primeiro realizar as etapas a seguir no Portal do Microsoft Azure.
Etapa A - Crie seu aplicativo do Entra ID
- Faça login no Centro de Administração do Entra ID como administrador do Office 365.
- No menu da barra lateral, clique em Todos os serviços > Registros de aplicativo.
O painel de registros de aplicativo aparece. - Clique em Novo registro.
- Insira um nome para o aplicativo e aceite a predefinição para os tipos de conta suportados: Contas somente neste diretório organizacional.
- Insira o URI de redirecionamento, conforme exibido nas Configurações do Entra ID da Neurons Platform.
- Clique em Registrar na parte inferior da caixa de diálogo.
- Um ID de aplicativo (cliente) é gerado e exibido.
Você precisa registrar o ID do aplicativo (cliente) e o ID do diretório (locatário), pois eles são necessários no próximo estágio da configuração no Ivanti Neurons.
Etapa B - Defina as configurações de autenticação
- Selecione Autenticação no menu Registro de aplicativo.
- Navegue até Configurações Avançadas.
- Insira o URL de Logout, conforme exibido em Configurações do Entra ID na Neurons Platform.
- Na seção Concessão implícita, confirme se a caixa de seleção Tokens de ID está marcada.
- Clique em Salvar.
Etapa C - Crie um segredo
- Dentro do aplicativo criado, navegue até Registro de aplicativo > Certificados e segredos.
- Crie um Novo Segredo de Cliente.
- Adicione uma descrição.
- Selecione a duração da expiração de acordo com os padrões da sua empresa.
- Clique em Adicionar.
- Um valor é criado; você deve copiá-lo em algum lugar seguro, pois esta é a única vez que ele poderá ser visualizado.
Certifique-se de copiar o Valor Secreto, e não o ID Secreto.
A configuração do Entra ID agora está completa, e você pode retornar à Ivanti Neurons Platform.
O tempo de vida do Segredo é finito, portanto sua empresa deve tomar medidas para garantir que ele seja substituído antes de expirar, para evitar interrupções no Ivanti Neurons. Saiba como Atualizar o segredo do cliente.
Etapa D - Configuração do token
Defina a configuração do token para poder usar o provisionamento automático.
- Selecione Configuração de Token no menu Registro de Aplicativo.
- Selecione Adicionar Declaração Opcional para abrir o painel lateral.
- Para o Tipo de token, selecione ID.
- Na lista Declarações, selecione email, family_name e given_name. Isso permite que se obtenham e-mail, nome e sobrenome para os novos membros do Ivanti Neurons, o que é um requisito ao se usar o provisionamento automático.
- Clique em Adicionar.
Etapa E - Conceder permissões
Se o usuário que está configurando o SSO não é administrador do Azure, então o administrador do Azure precisa logar no Azure e aprovar a solicitação de aplicativos para as permissões User-Read\Signin.
- Selecione Gerenciar > Permissões de API para o aplicativo EntraID. Você deve estar logado como administrador do Azure.
- Se User.Read não estiver listada como permissão delegada, você precisará adicionar a permissão. Para fazer isso:
- Selecione Adicionar uma permissão.
- Selecione Microsoft Graph > Permissões delegadas.
- Selecione a permissão User.Read .
- Selecione Conceder consentimento de administrador para <entraid_tenant>.
Depois de criar o aplicativo (cliente), o diretório (locatário) e o segredo do Entra ID, você pode continuar a configuração da Ivanti Neurons Platform.
-
Retorne à página Configurações do Entra ID (Ivanti Neurons Platform > Autenticação > Autenticação Externa (SSO) > Configurar e Habilitar.
- Insira o ID do Diretório (locatário) oriundo do registro de aplicativo do Entra ID.
- Insira o ID do aplicativo (cliente): oriundo do registro de aplicativo do Entra ID.
- Insira o Valor do segredo do cliente que foi gerado e salvo.
- Insira a Data de expiração do segredo do cliente; ela deve ser igual à data de expiração especificada durante a criação do segredo do cliente. Consulte Atualizar Segredo do Cliente para obter mais detalhes.
- Clique em Continuar para exibir a página Validar Configurações de Conexão.
Você precisa se conectar com as credenciais do Entra ID para validar as configurações de conexão.
- Na página Validar Configurações de Conexão, clique em Validar Configurações para acessar a página de login da sua organização em uma nova guia, insira suas credenciais do Entra ID e faça login. Se você já estiver conectado, as credenciais não serão necessárias e a validação ocorrerá automaticamente, portanto, certifique-se de estar conectado à conta que deseja autenticar.
Você receberá uma tela de confirmação se o login for bem-sucedido. - Retorne a esta guia (Validar Configurações de Conexão).
- Marque a caixa de seleção Confirmo que validei com êxito minhas configurações de conexão para confirmar que você fez login corretamente.
- Clique em Continuar e siga para converter as contas da Ivanti Neurons Platform.
A página Habilitar contas da Ivanti Neurons Platform é exibida.
O nome de usuário do Azure deve corresponder exatamente ao nome de usuário do Ivanti Neurons.
- E2018 Falha na autenticação: falha do usuário ao autenticar com o Entra ID. Verifique se o nome de usuário e a senha estão corretos e se o usuário tem permissões no Registro de Aplicativo do Entra ID.
- E2019 Faltando declarações opcionais: a etapa de validação falhou porque as declarações opcionais não estavam presentes no token retornado à Ivanti Neurons Platform a partir do Entra ID.
- E2020 Não é possível vincular à conta de usuário da Neurons Platform: o logon de usuário do Entra ID não corresponde ao usuário da Ivanti Neurons Platform. O endereço de e-mail da conta de usuário da Ivanti Neurons Platform deve corresponder ao endereço de e-mail usado para logar no Entra ID.
O Entra ID agora está configurado, mas não habilitado.
Para habilitar, você precisa converter as contas da Ivanti Neurons Platform para usar o Entra ID.
- Na página Habilitar contas da Ivanti Neurons Platform, clique em Sair e habilitar.
A página Login do Ivanti Neurons é exibida. - Selecione Entrar com Entra ID e insira suas credenciais do Entra ID; a conversão será então concluída.
O mesmo usuário deve configurar a autenticação do Entra ID e entrar e validar as credenciais no Ivanti Neurons para evitar erro de acesso negado.
Todos os membros receberão um e-mail para confirmar que a conta foi convertida e que eles devem acessar o locatário com as credenciais do Entra ID daqui em diante. Se o membro não tiver credenciais do Entra ID, não conseguirá acessar o Ivanti Neurons.
A Autenticação Externa (SSO) agora será exibida com o status Ativado.
Configurar o autoprovisionamento
Habilitar o autoprovisionamento fará com que todos os membros no Registro de Aplicativo do Entra ID recebam automaticamente acesso ao Ivanti Neurons, sem que seja necessário passar pelo processo de convite manual. Quando um novo membro fizer login pela primeira vez, uma nova conta da Ivanti Neurons Platform será provisionada em Ivanti Neurons > Membros. Todos os novos membros autoprovisionados receberão as funções de controle de acesso definidas na configuração.
- Na Ivanti Neurons Platform, navegue até Configuração > Autenticação.
A página Método de autenticação aparece. - Na seção Autenticação Externa (SSO), clique em Ações e selecione Habilitar autoprovisionamento.
- No menu suspenso Funções padrão, selecione a função de controle de acesso que você deseja atribuir a todos os novos membros.
Para configurar as funções, acesse Ivanti Neurons > Administrador > Funções. - Clique em Habilitar Autoprovisionamento para confirmar a seleção da função e habilitar o provisionamento automático de todos os novos membros.
Uma vez habilitado, as opções para Editar as funções padrão de controle de acesso e Desabilitar o autoprovisionamento tornam-se disponíveis. A edição de funções ou a desabilitação do autoprovisionamento não afetará membros que já estejam autoprovisionados, aplicando-se apenas àqueles que venham a ser provisionados após a conclusão das alterações.
Você deve configurar as Declarações Opcionais da Etapa D - Configuração do token para que o provisionamento automático funcione.
Importante: depois que o provisionamento automático for habilitado, todos que tenham acesso ao Registro de Aplicativo do Entra ID terão acesso ao Ivanti Neurons. Você pode restringir o acesso a determinados usuários ou grupos de dentro do Portal do Entra ID. Consulte a documentação do Microsoft Azure para obter mais detalhes.
Atualizar o segredo do cliente
Se o segredo do cliente do Entra ID está prestes a expirar, você precisa definir outro para continuar usando este método de autenticação.
- Na Ivanti Neurons Platform, navegue até Configuração > Autenticação.
- Clique em Ações e selecione Atualizar segredo do cliente.
A página Atualizar segredo do cliente é exibida. - Insira o novo Segredo do Cliente do seu aplicativo Entra ID.
- Insira a data para receber um lembrete de quando o segredo do cliente estiver prestes a expirar. Um banner de lembrete será exibido na IU, e um lembrete por e-mail será enviado aos usuários com a função de administrador, 28 dias antes da expiração. Lembretes posteriores serão enviados 7 dias antes e 1 dia antes da expiração.
Se o segredo do cliente expirar e um novo não for definido, o acesso ao serviço será interrompido, e você precisará entrar em contato com o Suporte da Ivanti para recuperar o acesso. - Clique em Continuar.
A página Validar segredo do cliente é exibida. - Clique em Validar Segredo do Cliente, isso abre sua página de entrada do Entra ID.
Digite seu nome de usuário e senha — serão iguais às credenciais de login da Ivanti Neurons Platform. Quando você fizer login, o novo segredo do cliente será validado. Se der certo, retorne ao assistente e continue a atualizar o segredo do cliente. Se não der certo, volte e verifique se o novo segredo do cliente que você inseriu está correto. Para ver outros motivos de falha, consulte Solução de problemas de validação - Depois de ter validado corretamente o novo segredo do cliente, marque a caixa Confirmo ter validado com sucesso meu novo segredo de cliente e clique em Continuar.
- Clique em Salvar Alterações para concluir o processo. Isso atualiza o segredo do cliente e o lembrete de expiração, com efeito imediato, e você não precisa fazer mais nada.