Autenticação com Outro IdP (SAML)

O Ivanti Neurons atualmente oferece a opção de selecionar outro IdP (Identity Provider ou Provedor de Identidade) como provedor de autenticação externa para o seu locatário. Além dos métodos de autenticação existentes, você pode usar a autenticação por outro IdP como sistema de logon único (SSO), que permite aos usuários acessar aplicativos e recursos em diferentes domínios de forma segura, com um único login baseado em tokens de segurança. Isso simplifica a experiência do usuário, melhora a segurança ao reduzir a reutilização de senhas e simplifica o gerenciamento de identidade para as organizações.

A autenticação com outro IdP aceita apenas o método de login baseado em SAML.

Configurar e habilitar a autenticação externa

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.

    A página Autenticação aparece.

  2. Na seção Autenticação Externa (SSO), clique em Configurar e habilitar.

    A página Habilitar autenticação externa (SSO) é exibida.

  3. No menu suspenso Provedor, selecione Outro IdP.

    Aparecem as Definições de Configuração de SAML 2.0 do Outro IdP. É recomendável deixar essa aba aberta para consultar quando for configurar os detalhes no console do provedor de identidade.

  4. Na seção Definições de Configuração SAML 2.0 do Outro IdP, você pode selecionar as seguintes opções:

    • Habilitar solicitações assinadas: habilite esta opção para enviar solicitações assinadas digitalmente a um provedor de autenticação externo e configure o provedor para confirmar se as solicitações assinadas são provenientes do locatário do Ivanti Neurons. Alternativamente, você pode desabilitar a opção para interromper o envio de solicitações assinadas.

    • Habilitar declarações criptografadas: habilite esta opção para receber informações de usuário criptografadas do provedor de autenticação externo. Você pode configurar o locatário do Neurons para descriptografar as informações. Alternativamente, você pode desabilitar a opção para parar de receber informações de usuário criptografadas.

  5. Clique em Aplicar alterações.
    Após aplicar as alterações, você poderá baixar as informações de identidade, tais como metadados do provedor de serviços e certificado, para um sistema SSO baseado em SAML, conforme mostrado abaixo:

    • Baixar metadados SP: clique para baixar os metadados do provedor de serviços junto com o certificado em formato XML.

    • Baixar somente certificado: clique nesta opção para baixar apenas o certificado (em formato .pem).

  1. Faça login no console do provedor de identidade (IdP).

  2. Crie uma nova configuração baseada em SAML que permita integrar o sistema SSO com o Ivanti Neurons.

  3. Quando necessário, insira os detalhes do provedor de serviços, como ID da Entidade e URL do Serviço do Consumidor de Declaração. Você pode encontrar essas informações na página de configuração SSO do Ivanti Neurons.

    Para obter mais informações sobre como baixar o certificado, consulte as etapas na seção Configurar e habilitar a autenticação externa (plataforma Ivanti Neurons).

  4. Em seguida, carregue o certificado que você baixou do Ivanti Neurons (no formato .cer) na seção pertinente no console do provedor IdP para habilitar Solicitações Assinadas e/ou Declarações Criptografadas. O mesmo certificado deve ser usado tanto para solicitações assinadas quanto para declarações criptografadas.

  5. Baixe o arquivo de metadados SAML (em formato XML) do portal do provedor de identidade.

Para carregar o arquivo de metadados baixado do provedor de identidade, siga estas etapas:

  2. Volte ao Ivanti Neurons.

  3. Na seção Definições de Configuração SAML 2.0 do Outro IdP, clique em Selecionar arquivo.

  4. Procure o arquivo de metadados SAML (em formato XML) baixado e clique em Carregar.

  5. Em seguida, clique em Continuar para prosseguir.

Você precisa se conectar ao seu IdP para validar as configurações de conexão.

  1. Na página Validar configurações de conexão, clique em Validar configurações.

    A validação ocorre automaticamente. Você receberá uma tela de confirmação se o login for bem-sucedido.

    Certifique-se de que a opção Habilitar solicitações assinadas e/ou Declarações criptografadas habilitada no console do IdP corresponda ao locatário do Neurons. Se as opções habilitadas não coincidirem, ocorrerá falha na validação.

  2. Retorne à página Validar configurações de conexão e marque a caixa de seleção para confirmar o login.

    O IdP agora está configurado.

  3. Clique em Continuar para prosseguir para a página Converta sua conta da plataforma Ivanti Neurons.

O Outro IdP agora está configurado, mas não habilitado.

Para habilitar, você precisa converter as contas da Plataforma Ivanti Neurons para usar o Outro IdP.

  1. Na página Habilitar contas da Plataforma Ivanti Neurons, clique em Sair e habilitar.
    A página Login do Ivanti Neurons é exibida.
  2. Selecione Entrar com outro IdP e insira as credenciais do IdP; a conversão será então concluída.
    Para verificar, faça login no Neurons, vá para Administrador > Autenticação e veja se Outro IdP é o provedor de autenticação externo.

    3. O mesmo usuário deve configurar a autenticação com Outro IdP e entrar e validar as credenciais no Ivanti Neurons para evitar erro de acesso negado.

Todos os membros receberão um e-mail para confirmar que a conta foi convertida e que eles devem acessar o locatário com as credenciais do Outro IdP daqui em diante. Se o membro não tiver credenciais do Outro IdP, não conseguirá acessar o Ivanti Neurons.

A Autenticação Externa (SSO) agora será exibida com o status Ativado.

Configurar o autoprovisionamento

Habilitar o autoprovisionamento fará com que todos os membros no Outro IdP recebam automaticamente acesso ao Ivanti Neurons, sem que seja necessário passar pelo processo de convite manual. Quando um novo membro fizer login pela primeira vez, uma nova conta da Plataforma Ivanti Neurons será provisionada em Ivanti Neurons > Membros. Todos os novos membros autoprovisionados receberão as funções de controle de acesso definidas na configuração.

  1. Na Plataforma Ivanti Neurons, navegue até Configuração > Autenticação.

    A página Método de autenticação aparece.

  2. Na seção Autenticação Externa, clique em Ações e selecione Habilitar autoprovisionamento.

  3. No menu suspenso Funções padrão, selecione a função de controle de acesso que você deseja atribuir a todos os novos membros.

    Para configurar Funções, acesse Ivanti Neurons > Administrador > Funções.

  4. Clique em Habilitar Autoprovisionamento para confirmar a seleção da função e habilitar o provisionamento automático de todos os novos membros.

Uma vez habilitado, você pode editar as funções padrão de controle de acesso e desabilitar o provisionamento automático. Essas alterações serão aplicadas somente aos membros provisionados após as modificações e não afetarão os membros existentes.

(Opcional) Atualizar metadados do IdP (Plataforma Ivanti Neurons)

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.
    A página Autenticação aparece.

  2. Na seção Autenticação externa, clique em Ações > Atualizar metadados do IdP.
    A tela Atualizar metadados SAML é exibida.

  3. Em Definições de Configuração do Outro IdP, clique em Selecionar arquivo.

  4. Abra o arquivo de metadados baixado e clique em Carregar.

  5. Clique em Continuar para validar as configurações.

  6. Na página Validar novos metadados SAML, clique em Validar metadados SAML.

  7. Uma nova aba é aberta na página de login da sua organização. Insira suas credenciais e faça login.
    A validação ocorre automaticamente. Você receberá uma tela de confirmação se o login for bem-sucedido.

  8. Retorne à página Validar novos metadados SAML e marque a caixa de seleção para confirmar o login bem-sucedido.

  9. Clique em Continuar para prosseguir para a página Salvar novos metadados SAML.

  10. Clique em Salvar alterações para concluir o processo.
    Uma notificação confirmando a atualização bem-sucedida dos metadados é recebida.

(Opcional) Atualizar configurações do provedor (plataforma Ivanti Neurons)

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.

    A página Autenticação aparece.

  2. Na seção Autenticação externa, clique em Ações > Atualizar configurações do provedor.

    A página Atualizar provedor SAML é exibida.

  3. Em Definições de Configuração do Outro IdP, você pode selecionar o seguinte:

    • Habilitar solicitações assinadas: habilite esta opção para enviar solicitações assinadas digitalmente a um provedor de autenticação externo e configure o provedor para confirmar se as solicitações assinadas são provenientes do locatário do Ivanti Neurons. Alternativamente, você pode desabilitar a opção para interromper o envio de solicitações assinadas.

    • Habilitar declarações criptografadas: habilite esta opção para receber informações de usuário criptografadas do provedor de autenticação externo. Você pode configurar o locatário do Neurons para descriptografar as informações. Alternativamente, você pode desabilitar a opção para parar de receber informações de usuário criptografadas.

  4. Clique em Aplicar alterações.

    Agora você pode baixar o arquivo de metadados e o certificado atualizados do provedor de serviços, de acordo com suas necessidades.

  5. Clique em Continuar para validar os metadados.

  6. Na página Validar configuração do provedor SAML, clique em Validar configuração.

  7. Uma nova aba é aberta na página de login da sua organização. Insira suas credenciais e faça login.

    A validação ocorre automaticamente. Você receberá uma tela de confirmação se o login for bem-sucedido.

  8. Retorne à página Validar nova configuração de provedor e marque a caixa de seleção para confirmar o login bem-sucedido.

  9. Clique em Continuar para prosseguir.

  10. Clique em Salvar alterações para concluir o processo.

    Uma notificação confirmando a atualização é recebida.

(Opcional) Atualizar certificado (Plataforma Ivanti Neurons)

Você pode usar esta opção para atualizar o certificado expirado ou quando um certificado estiver prestes a expirar.

A função de renovação deve ser usada durante os horários de menor utilização. Assim que a Neurons renova o certificado, começa a usá-lo imediatamente. Isso causará falhas na autenticação no Provedor de Identidade até que o IdP seja atualizado para esperar o novo certificado. Planeje adequadamente e garanta que as alterações correspondentes sejam realizadas no seu software de IdP.

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.
    A página Autenticação aparece.

  2. Na seção Autenticação externa, clique em Ações >Atualizar certificado.
    A tela Atualizar Certificado aparece.

  3. Clique em Continuar.
    A aba Atualizar aparece.

  4. Na aba Atualizar, você pode baixar os metadados e o certificado do provedor de serviços.

    Após baixar o certificado criptografado, certifique-se de carregá-lo no console do provedor de identidade antes de validá-lo.

  5. Clique em Continuar para ir à página Validar Novo Certificado.

  6. Clique em Validar Certificado.
    A validação ocorre automaticamente. Você receberá uma tela de confirmação se o login for bem-sucedido.

  7. Retorne à página Validar configurações de conexão e marque a caixa de seleção para confirmar o login.

  8. Clique em Continuar.
    A página Salvar Novo Certificado é exibida.

  9. Clique em Salvar alterações.

(Opcional) Baixar metadados ou certificado do SP (Plataforma Ivanti Neurons)

Caso a configuração de autenticação externa para outro IdP precise ser refeita devido a problemas ou erros, ela exigirá o certificado ou os metadados do SP. Eles podem ser baixados a partir da lista suspensa de ações no Ivanti Neurons, conforme abaixo:

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.

    A página Autenticação aparece.

  2. Na seção Autenticação Externa (SSO), clique em Ações. No menu suspenso, você pode clicar em:

    • Baixar metadados SP: clique para baixar os metadados do provedor de serviços junto com o certificado em formato XML.

    • Baixar somente certificado: clique nesta opção para baixar apenas o certificado (em formato .pem).

    O arquivo de metadados do SP conterá a última versão salva das configurações do provedor, e o certificado será o último certificado ativo.

(Opcional) Excluir método de autenticação (Plataforma Ivanti Neurons)

  1. Na Plataforma Ivanti Neurons, navegue até Administrador > Autenticação.

    A página Autenticação aparece.

  2. Na seção Autenticação externa (SSO), clique em Ações > Excluir método de autenticação.

    A tela Excluir autenticação externa é exibida.

  3. Clique em Sair e reautenticar.

    O Ivanti Neurons é desconectado.

  4. Clique em Entrar com e-mail e senha.

  5. Insira as credenciais e clique em Entrar.

  6. Navegue até Administrador > Autenticação > Autenticação externa e clique em Ações > Excluir método de autenticação.

    A tela Excluir autenticação externa é exibida.

  7. Clique em Excluir método de autenticação.

    O método de autenticação existente agora está excluído.