Autenticação com PingFederate (OIDC)

O Ivanti Neurons atualmente oferece a opção de selecionar o PingFederate como provedor de autenticação externa para o seu locatário. O PingFederate centraliza a experiência de logon do usuário final, reduz a ocorrência de chamadas relacionadas a senha para o suporte técnico e produz controle granular sobre políticas e trilhas de auditoria.

Configurar e habilitar a autenticação externa

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.
    A página Autenticação aparece.

  2. Na seção Autenticação Externa (SSO), clique em Configurar e habilitar.
    A página Habilitar autenticação externa (SSO) é exibida.

  3. No menu suspenso Provedor, selecione PingFederate.

  4. No menu suspenso Método de login, selecione OpenId Connect (OIDC).

    As Definições de Configuração do PingFederate aparecem.
    É recomendável deixar essa aba aberta para consultar quando for configurar os detalhes no console Administrativo do PingFederate.

  1. Faça login no console do PingFederate.

  2. Em Aplicativos, selecione OAuth.

  3. Clique em Adicionar cliente.

  4. Em Cliente, atualize a configuração do cliente e as informações de política da seguinte maneira:

    1. ID DO CLIENTE: insira um ID de cliente exclusivo de sua escolha. Copie esse ID de cliente e cole-o no campo ID do cliente na aba Ivanti Neurons que estava aberta.

    2. NOME: o mesmo que ID DO CLIENTE.

    3. AUTENTICAÇÃO DO CLIENTE: selecione SEGREDO DO CLIENTE.

    4. SEGREDO DO CLIENTE: selecione ALTERAR SEGREDO e clique em Gerar segredo.

    5. Copie o valor SEGREDO DO CLIENTE e cole-o no campo Valor do segredo do cliente na aba Ivanti Neurons que estava aberta.

    6. URIS DE REDIRECIONAMENTO: copie o URI de redirecionamento da Plataforma Neurons e cole-o no campo URIs de redirecionamento no portal administrativo do PingFederate.

    7. Clique em Adicionar.

    8. TIPOS DE CONCESSÃO PERMITIDOS: selecione Código de autorização e Implícito.

    9. GERENCIADOR DE TOKEN DE ACESSO PADRÃO: selecione IvantiTestToken.

    10. OPENID CONNECT: copie o URI de desconexão da Plataforma Neurons, cole-o no campo URIs de redirecionamento pós-logout no portal de credenciais do PingFederate e clique em Adicionar.

    11. Clique em Salvar.

  5. Em SISTEMA, selecione Servidor > Configurações de protocolo > Informações de federação, copie o URL BASE e cole-o no campo Emissor na aba Ivanti Neurons que estava aberta.

  6. Clique em Continuar na aba Ivanti Neurons para validar as configurações.

Você precisa se conectar com as credenciais do PingFederate para validar as configurações de conexão.

  1. Na página Validar configurações de conexão, clique em Validar configurações. Uma nova aba é aberta na página de login da sua organização. Insira suas credenciais PingFederate e clique em Entrar.

  2. Na página Solicitar aprovação, certifique-se de que os seguintes itens estejam selecionados:

    • ACESSO AO SEU NOME DE USUÁRIO

    • ESCOPO OPENID

    • ESCOPO DO PERFIL

    • ESCOPO DE E-MAIL

  3. Clique em Permitir.

  4. Retorne à página Validar configurações de conexão e marque a caixa de seleção para confirmar o login bem-sucedido.
    As credenciais do PingFederate já estão configuradas, mas ele não está habilitado. Para habilitar, você precisa converter as contas da Plataforma Ivanti Neurons em PingFederate.

  5. Clique em Continuar para prosseguir para a página Converta sua conta da plataforma Ivanti Neurons.

  • E2018 Falha na autenticação: o usuário não conseguiu autenticar com o PingFederate. Verifique se o nome de usuário e a senha estão corretos e se o usuário tem permissões na Conexão SP do PingFederate.

  • E2019 Faltando declarações opcionais: a etapa de validação falhou porque as declarações opcionais não estavam presentes no token retornado à Plataforma Ivanti Neurons a partir do PingFederate.

  • E2020 Não é possível vincular à conta de usuário da plataforma Neurons: o login de usuário do PingFederate não corresponde ao usuário da plataforma Ivanti Neurons. O endereço de e-mail da conta de usuário da Plataforma Ivanti Neurons deve corresponder ao endereço de e-mail usado para logar no PingFederate.

  1. Na página Converta sua conta da plataforma Ivanti Neurons, clique em Sair e habilitar. O Ivanti Neurons é desconectado.

  2. Clique em Entrar com PingFederate e insira suas credenciais do PingFederate para concluir o processo.

  3. Agora você pode visualizar o aplicativo PingFederate em Administrador > Autenticação com o status Habilitado.    

  4. Clique em Sair na plataforma Neurons.
    Agora, ao fazer login novamente, você será direcionado ao     PingFederate para escolher a conta e fazer login com as credenciais do PingFederate.

Certifique-se de que o campo Cumprimento do contrato em Aplicativos > OAuth > Mapeamentos de token de acesso > Adaptador IdP: PingOneIdpAdapter > Mapeamento de token de acesso inclui os atributos de usuário email, given_name e family_name.

Configurar o autoprovisionamento

Habilitar o autoprovisionamento fará com que todos os membros no Registro de Aplicativo da Marca de Integração de Usuários recebam automaticamente acesso ao Ivanti Neurons, sem que seja necessário passar pelo processo de convite manual. Quando um novo membro fizer login pela primeira vez, uma nova conta da Plataforma Ivanti Neurons será provisionada em Ivanti Neurons > Membros. Todos os novos membros autoprovisionados receberão as funções de controle de acesso definidas na configuração.

  1. Na Plataforma Ivanti Neurons, navegue até Configuração > Autenticação.
    A página Método de autenticação aparece.

  1. Na seção Autenticação Externa (SSO), clique em Ações e selecione Habilitar autoprovisionamento.

  1. No menu suspenso Funções padrão, selecione a função de controle de acesso que você deseja atribuir a todos os novos membros.
    Para configurar Funções, acesse Ivanti Neurons > AdministradorFunções.

  1. Clique em Habilitar Autoprovisionamento para confirmar a seleção da função e habilitar o provisionamento automático de todos os novos membros.

Uma vez habilitado, você pode editar as funções padrão de controle de acesso e desabilitar o provisionamento automático. Essas alterações serão aplicadas somente aos membros provisionados após as modificações e não afetarão os membros existentes.

Habilitar o provisionamento automático concede a todos os usuários do Registro de Aplicativo PingFederate acesso ao Ivanti Neurons. Você pode restringir o acesso a determinados usuários ou grupos de dentro do Aplicativo PingFederate.

(Opcional) Atualizar segredo do cliente (Plataforma Ivanti Neurons)

Se o segredo do cliente do PingFederate está prestes a expirar, você precisa definir outro para continuar usando este método de autenticação.

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação..
    A página Autenticação aparece.

  2. Na seção Autenticação Externa, clique em Ações > Atualizar segredo do cliente.
    A     página Atualizar segredo do cliente é exibida.

  3. Insira o novo segredo do cliente obtido do aplicativo PingFederate e cole no campo Valor do segredo do cliente na Plataforma Ivanti Neurons.

  4. Clique em Continuar para validar o segredo do cliente.

  5. Na página Validar novo segredo do cliente, clique em Validar segredo do cliente. Uma nova aba é aberta na página de login da sua organização.

  6. Insira suas credenciais PingFederate e clique em Entrar.

  7. Na página Solicitar aprovação, certifique-se de que os seguintes itens estejam selecionados:

    1. ACESSO AO SEU NOME DE USUÁRIO

    2. ESCOPO OPENID

    3. ESCOPO DO PERFIL

    4. ESCOPO DE E-MAIL

  8. Clique em Permitir.

    Se der certo, retorne ao assistente e continue a atualizar o segredo do cliente.
    Caso não tenha êxito, verifique se o novo segredo do cliente inserido está correto. Para ver outros motivos de falha, consulte Solução de problemas de validação.

  9. Retorne para a página Validar novo segredo do cliente e marque a caixa de seleção para confirmar o login bem-sucedido.

  10. Clique em Continuar para prosseguir para a página Salvar novo segredo do cliente.

  11. Clique em Salvar alterações para concluir o processo.
    Uma notificação confirmando a atualização bem-sucedida do segredo do cliente é recebida.

(Opcional) Excluir método de autenticação (Plataforma Ivanti Neurons)

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.
    A página Autenticação aparece.

  2. Na seção Autenticação externa, clique em Ações > Excluir método de autenticação.
    A tela Excluir autenticação externa é exibida.

  3. Clique em Sair e reautenticar.
    O Ivanti Neurons é desconectado.

  4. Clique em Entrar com e-mail e senha.

  5. Insira as credenciais e clique em Entrar.

  6. Navegue até Administrador > Autenticação > Autenticação externa e clique em Ações > Excluir método de autenticação.
    A tela Excluir autenticação externa é exibida.

  7. Clique em Excluir método de autenticação.
    O método de autenticação existente agora está excluído.