Autenticação com PingFederate (SAML)

O Ivanti Neurons atualmente oferece a opção de selecionar o PingFederate como provedor de autenticação externa para o seu locatário. O PingFederate centraliza a experiência de logon do usuário final, reduz a ocorrência de chamadas relacionadas a senha para o suporte técnico e produz controle granular sobre políticas e trilhas de auditoria.

Configurar e habilitar a autenticação externa

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.
    A página Autenticação aparece.

  2. Na seção Autenticação Externa (SSO), clique em Configurar e habilitar.
    A página Habilitar autenticação externa (SSO) é exibida.

  3. No menu suspenso Provedor, selecione PingFederate.

  4. No menu suspenso Método de login, selecione Saml 2.0.

    Aparecem as Definições de Configuração de SAML do PingFederate.
    É recomendável deixar essa aba aberta para consultar quando for configurar os detalhes no console Administrativo do PingFederate.

  1. Faça login no console administrativo do PingFederate.

  2. Em Aplicativos, selecione ConexõesSP.

  3. Clique em Criar conexão.

  4. Em Modelo de conexão, selecione NÃO USAR UM MODELO PARA ESTA CONEXÃO e clique em Avançar.

  5. Em Tipo de conexão, selecione PERFIS DE SSO DO NAVEGADOR, pois esta configuração requer acesso ao navegador.

  6. No menu suspenso PROTOCOLO, selecione SAML 2.0 e clique em Avançar.

  7. Em Opções de conexão, selecione SSO DO NAVEGADOR e clique em Avançar.

  8. Em Importar metadados, selecione Nenhum e clique em Avançar.

  9. Em Informações gerais, insira os seguintes detalhes disponíveis na aba Ivanti Neurons que foi aberta:

    • ID DA ENTIDADE DO PARCEIRO (ID DA CONEXÃO): Identificador de conexão exclusivo (ID da entidade).

    • NOME DA CONEXÃO: Identificador de idioma da conexão.

  10. (Opcional) Especifique múltiplos IDs de servidor virtual, usando o URL base para propiciar configurações simplificadas do ponto de extremidade do parceiro, e clique em Avançar.

  11. Em SSO do navegador, clique em Configurar SSO do navegador para configurar ou editar a configuração de SSO seguro baseado em navegador para os recursos do parceiro.

    1. Em Perfis SAML, selecione SSO iniciado por SP para especificar os tipos de mensagens trocadas entre o Provedor de Identidade e o Provedor de Serviços, bem como os métodos de transporte (vinculações) e clique em Avançar.

    2. Em Tempo de vida da declaração, defina o período de validade antes e depois da emissão da declaração ao SP e clique em Avançar.

    3. Em Criação de Declaração, clique em Configurar Criação de Declaração para configurar declarações SAML para acesso SSO ao site do seu SP parceiro.

      1. Em Mapeamento de Identidade, selecione Padrão e clique em Avançar.

      2. Em Atribuir Contato, selecione SAML_SUBJECT e atualize os campos Estender o Contrato com o seguinte conjunto de atributos de usuário obrigatórios que o servidor enviará na declaração:

        • e-mail

        • given_name

        • family_name

      3. Clique em Avançar.

      4. Em Mapeamento da Fonte de Autenticação, clique em Mapear Nova Instância de Adaptador.

        1. Em Instância de Adaptador, selecione PingOneIdpAdapter e clique em Avançar.

        2. Em Método de Mapeamento, selecione USAR SOMENTE OS VALORES DO CONTRATO DO ADAPTADOR NA DECLARAÇÃO SAML e clique em Avançar.

        3. Em Cumprimento do Contrato de Atributo, atualize o Contrato de Atributo da seguinte forma:

          • SAML_SUBJECT: Fonte - Adaptador, Valor - username

          • email: Fonte - Adaptador, Valor - email

          • family_name: Fonte - Adaptador, Valor - name.family

          • given_name: Fonte - Adaptador, Valor - name.given

        4. Clique em Avançar.

        5. Em Critérios de Emissão, atualize ou deixe os campos em branco conforme necessário e clique em Avançar.

        6. Revise os detalhes em Resumo e clique em Concluído.

      5. Em Mapeamento da Fonte de Autenticação, clique em Avançar.

      6. Revise os detalhes em Resumo e clique em Concluído.

    4. Em Criação de Declaração, clique em Avançar.

    5. Em Configurações do Protocolo, clique em Definir configurações do protocolo para configurar declarações SAML para acesso SSO ao site do seu SP parceiro.

      1. Em URL do Serviço do Consumidor de Declaração, copie o URL do Serviço do Consumidor de Declaração da Plataforma Neurons e cole-o no campo URL do Ponto de Extremidade no portal administrativo do PingFederate.

      2. Selecione POST no menu suspenso Vinculação e clique em Adicionar > Avançar.

      3. Em Vinculações SAML admissíveis, selecione POST e clique em Avançar.

      4. Em Política de Assinatura, selecione ASSINAR RESPOSTA CONFORME NECESSÁRIO e clique em Avançar.

      5. Em Política de Criptografia, selecione NENHUMA e clique em Avançar.

      1. Revise os detalhes em Resumo e clique em Concluído.

    6. Em Configurações de Protocolo, clique em Avançar.

    7. Revise os detalhes em Resumo e clique em Concluído.

  1. Em SSO do Navegador, clique em Avançar.

  2. Em Credenciais, clique em Configurar credenciais para definir as configurações de assinatura digital.

    1. Selecione um certificado no menu suspenso CERTIFICADO DE ASSINATURA.

    2. Mantenha os valores dos campos CERTIFICADO DE ASSINATURA SECUNDÁRIO e ALGORITMO DE ASSINATURA e clique em Avançar.

    3. Revise os detalhes em Resumo e clique em Salvar.

  1. Em Credenciais, clique em Avançar.

  2. Revise os detalhes em Ativação e resumo e clique em Concluído. A página Conexões SP é exibida.

  3. Clique em Selecionar ação em Ações na nova conexão configurada > Exportar metadados.

  4. Em Assinatura de metadados, selecione um certificado no menu suspenso CERTIFICADO DE ASSINATURA.

  5. Selecione um algoritmo no menu suspenso ALGORITMO DE ASSINATURA e clique em Avançar.

  6. Selecione Exportar. O arquivo de metadados é baixado.

  7. Navegue até a página Habilitar autenticação externa da Plataforma Ivanti Neurons que estava aberta e clique em Selecionar arquivo.

  8. Abra o arquivo de metadados baixado e clique em Carregar.

  9. Clique em Continuar para validar as configurações.

Você precisa se conectar com as credenciais do PingFederate para validar as configurações de conexão.

  1. Na página Validar configurações de conexão, clique em Validar configurações. Uma nova aba é aberta na página de login da sua organização. Insira suas credenciais do PingFederate e faça login.

  2. Retorne à página Validar configurações de conexão e marque a caixa de seleção para confirmar o login bem-sucedido.
    O PingFederate agora está configurado, mas não habilitado. Para habilitar, você precisa converter as contas da Plataforma Ivanti Neurons em PingFederate.

  1. Clique em Continuar para prosseguir para a página Converta sua conta da plataforma Ivanti Neurons.

  • E2018 Falha na autenticação: o usuário não conseguiu autenticar com o PingFederate. Verifique se o nome de usuário e a senha estão corretos e se o usuário tem permissões na Conexão SP do PingFederate.

  • E2019 Faltando declarações opcionais: a etapa de validação falhou porque as declarações opcionais não estavam presentes no token retornado à Plataforma Ivanti Neurons a partir do PingFederate.

  • E2020 Não é possível vincular à conta de usuário da plataforma Neurons: o login de usuário do PingFederate não corresponde ao usuário da plataforma Ivanti Neurons. O endereço de e-mail da conta de usuário da Plataforma Ivanti Neurons deve corresponder ao endereço de e-mail usado para logar no PingFederate.

  1. Na página Converta sua conta da plataforma Ivanti Neurons, clique em Sair e habilitar. O Ivanti Neurons é desconectado.

  2. Clique em Entrar com PingFederate e insira suas credenciais do PingFederate para concluir o processo.

  3. Agora você pode visualizar o aplicativo PingFederate em Administrador > Autenticação com o status Habilitado.    

  4. Clique em Sair na plataforma Neurons.
    Agora, ao fazer login novamente, você será direcionado ao PingFederate para escolher a conta e fazer login com as credenciais do PingFederate.

Configurar o autoprovisionamento

Habilitar o autoprovisionamento fará com que todos os membros na Conexão SP do PingFederate recebam automaticamente acesso ao Ivanti Neurons, sem que seja necessário passar pelo processo de convite manual. Quando um novo membro fizer login pela primeira vez, uma nova conta da Plataforma Ivanti Neurons será provisionada em Ivanti Neurons > Membros. Todos os novos membros autoprovisionados receberão as funções de controle de acesso definidas na configuração.

  1. Na Plataforma Ivanti Neurons, navegue até Configuração > Autenticação.
    A página Método de autenticação aparece.

  1. Na seção Autenticação Externa (SSO), clique em Ações e selecione Habilitar autoprovisionamento.

  1. No menu suspenso Funções padrão, selecione a função de controle de acesso que você deseja atribuir a todos os novos membros.
    Para configurar Funções, acesse Ivanti Neurons > AdministradorFunções.

  1. Clique em Habilitar Autoprovisionamento para confirmar a seleção da função e habilitar o provisionamento automático de todos os novos membros.

Uma vez habilitado, você pode editar as funções padrão de controle de acesso e desabilitar o provisionamento automático. Essas alterações serão aplicadas somente aos membros provisionados após as modificações e não afetarão os membros existentes.

Habilitar o provisionamento automático concede a todos os usuários do Registro de Aplicativo PingFederate acesso ao Ivanti Neurons. Você pode restringir o acesso a determinados usuários ou grupos de dentro do Aplicativo PingFederate.

(Opcional)Atualizar metadados (Plataforma Ivanti Neurons)

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.
    A página Autenticação aparece.

  2. Na seção Autenticação externa, clique em Ações > Atualizar metadados.
    A tela Atualizar metadados SAML é exibida.

  3. Em Definições de Configuração PingFederate, clique em Selecionar arquivo.

  4. Abra o arquivo de metadados baixado e clique em Carregar.

  5. Clique em Continuar para validar as configurações.

  6. Na página Validar novos metadados SAML, clique em Validar metadados SAML.

  7. Uma nova aba é aberta na página de login da sua organização. Insira suas credenciais e faça login.
    A validação ocorre automaticamente. Você receberá uma tela de confirmação se o login for bem-sucedido.

  8. Retorne à página Validar novos metadados SAML e marque a caixa de seleção para confirmar o login bem-sucedido.

  9. Clique em Continuar para prosseguir para a página Salvar novos metadados SAML.

  10. Clique em Salvar alterações para concluir o processo.
    Uma notificação confirmando a atualização bem-sucedida dos metadados é recebida.

(Opcional) Excluir método de autenticação (Plataforma Ivanti Neurons)

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.
    A página Autenticação aparece.

  2. Na seção Autenticação externa, clique em Ações > Excluir método de autenticação.
    A tela Excluir autenticação externa é exibida.

  3. Clique em Sair e reautenticar.
    O Ivanti Neurons é desconectado.

  4. Clique em Entrar com e-mail e senha.

  5. Insira as credenciais e clique em Entrar.

  6. Navegue até Administrador > Autenticação > Autenticação externa e clique em Ações > Excluir método de autenticação.
    A tela Excluir autenticação externa é exibida.

  7. Clique em Excluir método de autenticação.
    O método de autenticação existente agora está excluído.