Autenticação com PingOne (SAML)

O Ivanti Neurons atualmente oferece a opção de escolher o PingOne como provedor de autenticação externa para o seu locatário. O PingOne centraliza a experiência de logon do usuário final, reduz a ocorrência de chamadas relacionadas a senha para o suporte técnico e gera controle granular sobre políticas e trilhas de auditoria.

Configurar e habilitar a autenticação externa

Etapa 1 - Configurar e habilitar a autenticação externa (Ivanti Neurons Platform)

Na Ivanti Neurons Platform, navegue até Administrador > Autenticação.
A página Autenticação aparece.

Na seção Autenticação Externa (SSO), clique em Configurar e habilitar.
A página Habilitar autenticação externa (SSO) é exibida.

No menu suspenso Provedor, selecione PingOne.
No menu suspenso Método de login, selecione Saml 2.0.

As Definições de Configuração de SAML 2.0 do PingOne aparecem. É recomendável deixar essa aba aberta para consultar quando for configurar os detalhes no console administrativo do PingOne.

Etapa 2 - Configuração do aplicativo PingOne (console administrativo do PingOne)

Faça login no console administrativo do PingOne.
Navegue até Aplicativos > Aplicativos.
Clique em para adicionar um novo aplicativo.
A tela Adicionar aplicativo é exibida.
Em Nome do aplicativo, insira um nome para o aplicativo SAML.
Selecione Aplicativo SAML e clique em Configurar.
Em Configuração SAML, selecione Inserir manualmente.
Insira os valores nos seguintes campos da aba que estava aberta no Ivanti Neurons:
1. URLs do ACS: URL do Serviço do Consumidor de Declaração.
2. ID da entidade: EntityId.
Clique em SALVAR.
Selecione a aba Mapeamentos de Atributos e clique em .
Em Mapeamento de Atributos, clique em Adicionar.
Atualize os Atributos e os Mapeamentos do PingOne da seguinte forma:
1. e-mail: Endereço de e-mail. Selecione Obrigatório > Adicionar.
2. given_name: Nome fornecido. Selecione Obrigatório.
3. family_name: Sobrenome. Selecione Obrigatório > Adicionar.
Clique em SALVAR.
O aplicativo agora está criado no PingOne.
Clique no botão próximo ao nome do aplicativo para habilitá-lo.
Selecione a aba Configuração, copie o URL de Metadados do IDP e cole-o no campo URL do Ponto de Extremidade de Metadados do Provedor de Identidade na Neurons Platform que estava aberta.
Clique em Continuar.

Etapa 3 - Validar as configurações de conexão (Ivanti Neurons Platform)

Você deve se conectar com as credenciais do PingOne para validar as configurações de conexão.

Na página Validar configurações de conexão, clique em Validar configurações.

A validação ocorre automaticamente. Você receberá uma tela de confirmação se o login for bem-sucedido.
Retorne à página Validar configurações de conexão e marque a caixa de seleção para confirmar o login bem-sucedido.

O PingOne agora está configurado, mas não habilitado. Para habilitar, você precisa converter as contas da Ivanti Neurons Platform em PingOne.
Clique em Continuar para prosseguir para a página Converta sua conta da plataforma Ivanti Neurons.

Solução de problemas de validação

E2018 Falha na autenticação: o usuário não conseguiu autenticar com o PingOne. Verifique se o
nome de usuário e a senha estão corretos e se o usuário tem permissões no Registro de Aplicativo do PingOne.
E2019 Faltando declarações opcionais: a etapa de validação falhou porque as declarações opcionais não estavam presentes no token retornado à Ivanti Neurons Platform a partir do PingOne.
E2020 Não é possível vincular à conta de usuário da plataforma Neurons: o login de usuário do PingOne não corresponde ao usuário da plataforma Ivanti Neurons. O endereço de e-mail da conta de usuário da Ivanti Neurons Platform deve corresponder ao endereço de e-mail usado para logar no PingOne.

Etapa 4 - Habilitar contas da Ivanti Neurons Platform (Ivanti Neurons Platform)

Na página Converta sua conta da plataforma Ivanti Neurons, clique em Sair e habilitar.O Ivanti Neurons é desconectado.
Clique em Entrar com PingOne para concluir o processo.
Agora você pode ver o aplicativo PingOne, em Administrador > Autenticação, com o status Habilitado.
Clique em Sair na plataforma Neurons.
Agora, ao fazer login novamente, você será direcionado ao PingOne para escolher a conta e fazer login com as credenciais do PingOne.

Configurar o autoprovisionamento

Habilitar o autoprovisionamento fará com que todos os membros no Registro de Aplicativo do PingOne recebam automaticamente acesso ao Ivanti Neurons, sem que seja necessário passar pelo processo de convite manual. Quando um novo membro fizer login pela primeira vez, uma nova conta da Ivanti Neurons Platform será provisionada em Ivanti Neurons > Membros. Todos os novos membros autoprovisionados receberão as funções de controle de acesso definidas na configuração.

Habilitar autoprovisionamento

Na Ivanti Neurons Platform, navegue até Configuração > Autenticação.
A página Método de autenticação aparece.

Na seção Autenticação Externa (SSO), clique em Ações e selecione Habilitar autoprovisionamento.

No menu suspenso Funções padrão, selecione a função de controle de acesso que você deseja atribuir a todos os novos membros.
Para configurar Funções, acesse Ivanti Neurons > Administrador > Funções.

Clique em Habilitar Autoprovisionamento para confirmar a seleção da função e habilitar o provisionamento automático de todos os novos membros.

Uma vez habilitado, você pode editar as funções padrão de controle de acesso e desabilitar o provisionamento automático. Essas alterações serão aplicadas somente aos membros provisionados após as modificações e não afetarão os membros existentes.

Habilitar o provisionamento automático concede a todos os usuários do Registro de Aplicativo do PingOne acesso ao Ivanti Neurons. Você pode restringir o acesso a determinados usuários ou grupos de dentro do Aplicativo PingOne.

(Opcional) Atualizar metadados (Ivanti Neurons Platform)

Na Ivanti Neurons Platform, navegue até Administrador > Autenticação.
A página Autenticação aparece.
Na seção Autenticação externa, clique em Ações > Atualizar metadados.
A página Atualizar metadados SAML é exibida.
Em Definições de Configuração do PingOne, insira a URL de metadados em URL do ponto de extremidade de metadados do provedor de identidade.
Clique em Continuar para validar os metadados.
Na página Validar novos metadados SAML, clique em Validar metadados SAML.
Uma nova aba é aberta na página de login da sua organização. Insira suas credenciais e faça login.
A validação ocorre automaticamente. Você receberá uma tela de confirmação se o login for bem-sucedido.
Retorne à página Validar novos metadados SAML e marque a caixa de seleção para confirmar o login bem-sucedido.
Clique em Continuar para prosseguir para a página Salvar novos metadados SAML.
Clique em Salvar alterações para concluir o processo.
Uma notificação confirmando a atualização bem-sucedida do segredo do cliente é recebida.

(Opcional) Excluir método de autenticação (Ivanti Neurons Platform)

Na Ivanti Neurons Platform, navegue até Administrador > Autenticação.
A página Autenticação aparece.
Na seção Autenticação externa (SSO), clique em Ações > Excluir método de autenticação.
A tela Excluir autenticação externa é exibida.
Clique em Sair e reautenticar.
O Ivanti Neurons é desconectado.
Clique em Entrar com e-mail e senha.
Insira as credenciais e clique em Entrar.
Navegue até Administrador > Autenticação > Autenticação externa e clique em Ações > Excluir método de autenticação.
A tela Excluir autenticação externa é exibida.
Clique em Excluir método de autenticação.
O método de autenticação existente agora está excluído.