Autenticação com Entra ID (SAML)

O Entra ID é uma opção de provedor de autenticação externa para seu locatário. Esta é uma boa escolha se você quiser fazer o seguinte:

  • Centralizar a experiência de logon do usuário final.

  • Reduzir a ocorrência de chamadas para o help desk relacionadas a senhas.

  • Ter controle granular sobre políticas e trilhas de auditoria.

A seguir estão as etapas para estabelecer um Protocolo SAML no Entra ID:

  1. Na Ivanti Neurons Platform, navegue até Administrador > Autenticação.
    A página Autenticação aparece.
  2. Na seção Autenticação Externa (SSO), clique em Configurar e habilitar.
    A página Habilitar autenticação externa é exibida.
  3. No menu suspenso Provedor selecione Entra ID.
  4. No menu suspenso Método de login, selecione SAML
    As Configurações do Entra ID aparecem. Você precisará delas ao configurar o Entra ID, então mantenha essa aba aberta no seu navegador. Ela será referenciada como "Neurons" ou "aba Neurons" nas instruções a seguir.

Antes de dar continuidade à configuração do Ivanti Neurons, você deve primeiro realizar algumas etapas no Portal do Microsoft Azure.

Em uma nova aba do navegador, acesse seu locatário Entra ID:

  1. Vá para Aplicativos empresariais

  2. Selecione Novo aplicativo

  3. Selecione Crie seu próprio aplicativo.

    1. Insira um nome.

    2. Selecione a opção: "Integrar qualquer outro aplicativo não encontrado na galeria (fora da galeria)".

    3. Clique em Criar e aguarde a conclusão do Entra ID.

Abra o aplicativo recém-criado:

  1. Vá para Logon único

  2. Selecione SAML.

Consulte a Etapa 4 para fornecer os detalhes obtidos do Neurons, o locatário UEM e estabelecer a conexão entre Entra ID e Neurons.

É preciso copiar informações entre Ivanti Neurons e Entra ID para estabelecer um handshake seguro. Tenha disponíveis as duas guias nas quais estamos trabalhando e alterne entre elas com base nas instruções a seguir.

No Entra ID, selecione Editar em Configuração SAML Básica.Uma janela aparecerá à direita.

  • O ID da Entidade no Neurons será copiado para Identificador no Entra ID. Clique em Adicionar identificador para revelar a caixa de texto na janela Entra ID > Editar.

  • A URL do Serviço do Consumidor de Declaração no Neurons será copiada para URL de resposta no Entra ID. Novamente, clique em Adicionar URL de resposta para revelar a caixa de texto.

  • Clique em Salvar.

Quando a caixa de texto para teste aparecer, selecione a opção recusar, pois todas as entradas serão validadas juntas.

Isso configura o aplicativo.

Em Certificados SAML no locatário Entra ID, é fornecido um URL de metadados de federação de aplicativos. Copie, alterne para o Neurons e cole em:

  • URL do ponto de extremidade de metadados do provedor de identidade (IDP)

  • Clique em Continuar.

O handshake seguro está configurado.

Definir como os usuários são adicionados ao Entra ID

Retorne ao Entra ID. No menu à esquerda, em Propriedades, faça o seguinte para definir como os usuários são adicionados:

  • Verifique se Atribuição necessária está definida de acordo com suas necessidades:

    • Sim: o administrador escolhe quais usuários do locatário podem fazer login. Se a atribuição for necessária, o administrador terá que selecionar explicitamente quais usuários podem fazer login. Isso é feito em Usuários e grupos > Adicionar nome de usuário.

    • Não: qualquer usuário no locatário pode efetuar login usando o Entra ID.

  • Clique em Salvar.

Volte ao Neurons.

Você precisa se conectar com as credenciais do Entra ID para validar as configurações de conexão.

  1. Na página Validar Configurações de Conexão, clique em Validar Configurações para acessar a página de login da sua organização em uma nova guia. Esse é o Portal do Azure. Insira suas credenciais do Entra ID e prossiga para fazer login. Se você já estiver conectado, as credenciais não serão necessárias e a validação ocorrerá automaticamente, portanto, certifique-se de estar conectado à conta que deseja autenticar.
    Você receberá uma tela de confirmação se o login for bem-sucedido.

    2. O nome de usuário do Azure deve corresponder exatamente ao nome de usuário do Ivanti Neurons.

  2. Feche a tela de confirmação e retorne à aba Validar Configurações de Conexão na Ivanti Neurons Platform, onde você estava trabalhando.
  3. Marque a caixa de seleção Confirmo que validei com êxito minhas configurações de conexão para confirmar que você fez login corretamente.
  4. Clique em Continuar.

O handshake seguro está estabelecido, validado e funcionando.

  • E2018 Falha na autenticação: o usuário não conseguiu autenticar com o Entra ID. Verifique se o nome de usuário e a senha estão corretos e se o usuário tem permissões no Registro de Aplicativo do Entra ID.
  • E2019 Faltando declarações opcionais: a etapa de validação falhou porque as declarações opcionais não estavam presentes no token retornado à Ivanti Neurons Platform a partir do Entra ID.
  • E2020 Não é possível vincular à conta de usuário da plataforma Neurons: o logon de usuário do Entra ID não corresponde ao usuário da plataforma Ivanti Neurons. O endereço de e-mail da conta de usuário da Ivanti Neurons Platform deve corresponder ao endereço de e-mail usado para logar no Entra ID.

O Entra ID agora está configurado, mas não habilitado.

Para habilitar, você precisa converter as contas da Ivanti Neurons Platform para usar o Entra ID.

  1. Na página Habilitar contas da Ivanti Neurons Platform, clique em Sair e habilitar.
    A página Login do Ivanti Neurons é exibida.
  2. Selecione Entrar com Entra ID e insira suas credenciais do Entra ID; a conversão será então concluída.
    Para verificar, faça login no Neurons, vá para Administrador > Autenticação e veja se o Entra ID é o provedor de autenticação externo.

    3. O mesmo usuário deve configurar a autenticação do Entra ID e entrar e validar as credenciais no Ivanti Neurons para evitar erro de acesso negado.

Todos os membros receberão um e-mail para confirmar que a conta foi convertida e que eles devem acessar o locatário com as credenciais do Entra ID daqui em diante. Se o membro não tiver credenciais do Entra ID, não conseguirá acessar o Ivanti Neurons.

A Autenticação Externa (SSO) agora será exibida com o status Ativado.

Configurar o autoprovisionamento

Habilitar o autoprovisionamento fará com que todos os membros no Registro de Aplicativo do Entra ID recebam automaticamente acesso ao Ivanti Neurons, sem que seja necessário passar pelo processo de convite manual. Quando um novo membro fizer login pela primeira vez, uma nova conta da Ivanti Neurons Platform será provisionada em Ivanti Neurons > Membros. Todos os novos membros autoprovisionados receberão as funções de controle de acesso definidas na configuração.

  1. Na Ivanti Neurons Platform, navegue até Configuração > Autenticação.

    A página Método de autenticação aparece.
  2. Na seção Autenticação Externa (SSO), clique em Ações e selecione Habilitar autoprovisionamento.
  3. No menu suspenso Funções padrão, selecione a função de controle de acesso que você deseja atribuir a todos os novos membros.

    Para configurar as funções, acesse Ivanti Neurons > Administrador > Funções.
  4. Clique em Habilitar Autoprovisionamento para confirmar a seleção da função e habilitar o provisionamento automático de todos os novos membros.

Uma vez habilitado, as opções para Editar as funções padrão de controle de acesso e Desabilitar o autoprovisionamento tornam-se disponíveis. A edição de funções ou a desabilitação do autoprovisionamento não afetará membros que já estejam autoprovisionados, aplicando-se apenas àqueles que venham a ser provisionados após a conclusão das alterações.

Importante: depois que o provisionamento automático for habilitado, todos que tenham acesso ao Registro de Aplicativo do Entra ID terão acesso ao Ivanti Neurons. Você pode restringir o acesso a determinados usuários ou grupos de dentro do Portal do Entra ID. Consulte a documentação do Microsoft Azure para obter mais detalhes.