Аутентификация ADFS (SAML)

1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.

   Появится страница Аутентификация.

2. В разделе внешней аутентификации (SSO) нажмите Конфигурация и включение.

   Отобразится страница Включение внешней аутентификации (SSO).

3. В раскрывающемся списке поставщиков выберите ADFS.

   Откроется страница настроек конфигурации ADFS SAML 2.0. При настройке сведений на консоли ADFS Service Manage рекомендуется оставить эту вкладку открытой для дальнейшего использования.
   

4. В разделе настроек конфигурации ADFS SAML 2.можно выбрать следующие параметры:

   • Включить подписанные запросы: включите этот параметр, чтобы отправлять подписанные цифровым способом запросы внешнему поставщику аутентификации и конфигурировать поставщика так, чтобы он проверял, получены ли подписанные запросы от Tenant Ivanti Neurons. Кроме того, вы можете отключить этот параметр, чтобы прекратить отправку подписанных запросов.

   • Включить зашифрованные утверждения: включите этот параметр для получения зашифрованной информации о пользователе от внешнего поставщика аутентификации, и вы можете настроить Tenant Neurons для расшифровки информации. В качестве альтернативы вы можете отключить этот параметр, чтобы прекратить получение зашифрованной информации о пользователе.

5. Щелкните Применить изменения.
   После внесения изменений вы можете загрузить идентификационную информацию, такую как метаданные и сертификат поставщика услуг, для системы единого входа на основе SAML, как указано ниже:

• Загрузить метаданные SP: щелкните этот параметр, чтобы загрузить метаданные поставщика услуг вместе с сертификатом в формате XML.

• Загрузить только сертификат: щелкните этот параметр, чтобы загрузить только сертификат (в формате .pem).

1. Войдите на консоль ADFS Service Manager.
   Появится информационная панель.

2. На панели управления Service Manager перейдите в Инструменты > AD FS Management.
   Откроется программа управления AD FS.

3. В разделе действий разверните AD FS и выберите параметр Добавить доверие стороны.

   Откроется программа добавления доверия сторон с несколькими действиями для выполнения конфигурации.

4. На этапе Приветствие выберите параметр Претензии претензий и нажмите Начать.

5. В действиие Выбрать источник данных выберите Ввод данных о доверии стороны вручную. Затем нажмите Далее.

6. В действии Указать отображаемое имя введите имя лица доверенной стороны. Затем нажмите Далее.

7. В действии Конфигурация сертификата можно загрузить сертификат шифрования (в формате .cer), загруженный из Ivanti Neurons.
   Чтобы загрузить сертификат шифрования, щелкните Обзор. Это настраивает зашифрованные утверждения для ADFS. Затем нажмите Далее.

   Для получения дополнительной информации о загрузке сертификата см. действия в разделе Настройка и включение внешней аутентификации (платформа Ivanti Neurons).

8. В действии Настройка URL выберите Включить поддержку протокола SAML 2.0 WebSSO и вставьте URL службы из Neurons Platform. Затем нажмите Далее.

   Для получения URL-адреса службы вернитесь в Ivanti Neurons и скопируйте URL-адрес Assertion Consumer Service из раздела настроек конфигурации ADFS SAML 2.0.

9. В действии Конфигурация идентификаторов введите идентификатор доверия стороны и нажмите Добавить. Затем нажмите Далее.

   Для идентификатора доверия стороны вернитесь в Ivanti Neurons и скопируйте идентификатор Entity ID в разделе настроек конфигурации ADFS SAML 2.0.

10. В действии Выберите политику управления доступом выберите политику в разделе Выберите политику управления доступом в зависимости от требований организации. Затем нажмите Далее, чтобы завершить настройку.

    Это закроет программу добавления доверия стороны и создаст ее конфигурацию доверия.

1. В программе управления AD FS выберите папку Надежная сторона.
   Отобращится созданная вами конфигурация доверия стороны.

2. Дважды нажмите созданную конфигурацию доверия стороны и перейдите на вкладку Подпись.

3. Нажмите Добавить, чтобы просмотреть и загрузить сертификат подтверждения подписи.

   Для получения дополнительной информации о загрузке сертификата см. действия в разделе Настройка и включение внешней аутентификации (платформа Ivanti Neurons).

Убедитесь, что конфигурация ADFS включает необходимые требования, применимые к Ivanti Neurons.

1. В программе управления AD FS выберите параметр Редактировать политику выдачи претензий в разделе Действия.

   Программа редактирования политики выдачи претензий для выбранной конфигурации доверия стороны, которую вы создали.

2. Щелкните Добавить правило.

   Откроется программа добавления правил преобразования претензий с действиями конфигурации.

3. В действии Выбор типа правила выберите параметр Отправить атрибуты LDAP как претензии и нажмите Далее.

4. В действии Настройка правила претензии введите имя претензии, выберите хранилище атрибутов и выполните необходимые назначения атрибутов LDAP.

   Убедитесь, что настроены следующие назначения:

   • Адреса электронной почты -> Адрес электронной почты

   • Имя -> Имя

   • Фамилия -> Фамилия

   • Адрес электронной почты-адреса -> Идентификатор имени

5. Затем нажмите Готово.
   Откроется программа редактирования политики выдачи претензий.

6. Щелкните Применить.

После завершения конфигурации ADFS необходимо применить URL-адрес конечной системы метаданных поставщика идентификации в приложении Ivanti Neurons.

1. Определите и скопируйте URL-адрес метаданных вашего поставщика ADFS.

   URL-адрес метаданных IdP вашего поставщика ADFS будет иметь следующий формат:
   https://<adfs-federation-service-name>/FederationMetadata/2007-06/FederationMetadata.xml"

2. Вернитесь в Ivanti Neurons Platform и вставьте URL-адрес в поле URL-адрес конечной системы метаданных поставщика идентификации.
   Это позволит проверить URL-адрес.

3. Нажмите Продолжить.

Для проверки настроек подключения необходимо подключиться к серверу ADFS.

1. На странице Проверка настроек подключения нажмите Проверка настроек.

   Проверка выполняется автоматически. В случае успешного входа будет открыт экран подтверждения.

2. Вернитесь на страницу Проверка настроек подключения и установите параметр для подтверждения успешного входа.

3. Нажмите Продолжить для перехода на страницу Преобразование вашей учетной записи платформы Ivanti Neurons.

ПО ADFS теперь сконфигурировано, но пока не включено.

Для включения необходимо преобразовать ваши учетные записи платформы Ivanti Neurons для использования ADFS.

1. На странице "Включение учетных записей платформы Ivanti Neurons" нажмите Выйти и включить.
   Появится страница Вход Ivanti Neurons.
2. Выберите вход с помощью ADFS и введите ваши учетные данные ADFS, после чего преобразование будет завершено.
   Для подтверждения выполните вход в платформу Neurons, перейдите Admin > Аутентификация и убедитесь, что ADFS - это поставщик внешней аутентификации.
   

Этот же пользователь должен сконфигурировать аутентификацию и вход в ADFS, выполнить вход и проверить учетные данные в платформе Ivanti Neurons для предотвращения ошибки запрета доступа.

Все участники получат электронные письма, подтверждающие, что учетные записи была преобразованы, и они должны получить доступ к Tenant с учетными данными ADFS. Если у участника нет учетных данных ADFS, он не сможет выполнить вход в Ivanti Neurons.

Для внешней аутентификации (SSO) теперь будет отображен статус Включено.

1. В платформе Ivanti Neurons перейдите в Настройка > Аутентификация.

   Появится страница Метод аутентификации.

2. В разделе Внешняя аутентификация нажмите Действия и выберите Включить автоподготовку.

3. В раскрывающемся списке Роли по умолчанию выберите роль управления доступом, которую нужно назначить всем новым участникам.

   Для правильной настройки ролей перейдите Ivanti Neurons > Admin > Роли.

4. Нажмите Включить автоподготовку для подтверждения выбора роли и включения автоподготовки для всех новых участников.