Аутентификация Entra ID

Компоненты Ivanti Neurons в настоящее имеют возможность выбора Entra ID в качестве внешнего поставщика аутентификации для вашего Tenant. Это будет правильным выбором, если нужно централизовать процесс входа конечных пользователей, уменьшить количество обращений в службу поддержки, связанных с паролем, и иметь полный контроль над политиками и журналами аудита.

Для использования Entra ID все участники должны принять запрос Ivanti на доступ к своим базовым данным профиля Azure.

Конфигурация и включение внешней аутентификации

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.
    Появится страница Аутентификация.
  2. В разделе внешней аутентификации (SSO) нажмите Конфигурация и включение.
    Отобразится страница Включение внешней аутентификации (SSO).
  3. В раскрывающемся списке Поставщик выберите Entra ID.
    Отобразится страница Настройки конфигурации Entra ID.

Перед конфигурацией Ivanti Neurons вы должны выполнить некоторые действия в портале Microsoft Azure.

Перед конфигурацией Ivanti Neurons вы должны выполнить следующие действия в портале Microsoft Azure.

Действие A. Создание приложения ПО Entra ID

  1. Выполните вход в ПО Entra ID Admin Center с качестве администратора ПО Office 365.

Если лицо, выполняющее настройку аутентификации на основе единого входа (SSO), не является администратором Azure, администратор Azure должен войти в Azure и утвердить запрос приложений для разрешений User-Read\Signin.

  1. На меню боковой панели нажмите All Services > App Registrations (Все службы > Регистрации приложений).
    Отобразится панель регистрации приложений.
  2. Нажмите Новая регистрации .
  3. Введите соответствующее имя приложения и примите поддерживаемые типы учетных записей по умолчанию: Accounts in this organizational directory only (Только учетные записи в каталоге этой организации).
    Экран приложения регистрации Microsoft Azure
  4. Введите URI-адрес переназначения, какой указан в настройках конфигурации Entra ID для Neurons Platform.
  5. Нажмите Register (Зарегистрировать) в нижней части диалога.
  6. Будет создан и отображен ИД приложения (клиент).

Вам нужно записать для себя ИД приложения (клиент) и ИД каталога (Tenant), так как они потребуются на следующем этапе настройки в Ivanti Neurons.

Действие B. Конфигурация настроек аутентификации

  1. Выберите Authentication (Аутентификация) в меню регистрации приложений (App Registration).
  2. Перейдите в Расширенные настройки.
  3. Введите URL-адрес выхода, какой указан в настройках конфигурации Neurons Platform Entra ID.
  4. Убедитесь, что в разделе неявного предоставления установлен параметр Маркеры ИД.
    На экране неявного предоставления и гибридных потоков отобразятся выбранные маркеры ИД.
  5. Нажмите Сохранить.

Действие C. Создание секрета

  1. Внутри созданного приложения перейдите Регистрация приложений > Сертификаты и секреты.
  2. Создайте Новый секрет клиента.
  3. Добавьте описание.
  4. Выберите срок его действия в соответствии со стандартами вашей компании.
  5. Нажмите Добавить.
  6. Значение будет создано, и вы должны скопировать его в безопасное место, так как это единственный раз, когда его можно просмотреть.

Обязательно скопируйте значение секрета и не копируйте ИД секрета.

Теперь настройка Entra ID завершена, и вы можете вернуться в платформу Ivanti Neurons.

Срок действия секрета ограничен, поэтому ваша компания должна принять меры для его замены до истечения срока, чтобы избежать простоев в работе компонентов Ivanti Neurons. Для получения дополнительной информации см. раздел Обновление секрета клиента.

Действие D - Конфигурация маркера

Настройте конфигурацию маркера для использования автоматической подготовки.

  1. Выберите Конфигурация маркера в меню регистрации приложений.
  2. Выберите Добавить дополнительное требование для открытия боковой панели.
  3. В поле Тип маркера выберите ИД.
  4. В списке требований выберите email, family_name и given_name. Это позволит указывать адреса электронной почты, фамилии и имена новых участников Ivanti Neurons, которые необходимы во время автоматической подготовки.
  5. Нажмите Добавить.

После создания приложения Entra ID (клиент), каталога (Tenant) и секрета вы можете продолжить конфигурацию платформы Ivanti Neurons.

  1. Вернитесь на страницу конфигурации Entra ID (Платформа Ivanti Neurons > Аутентификация > Внешняя аутентификация (SSO) > Конфигурация и включение.

  2. Введите ИД каталога (Tenant) из процедуры регистрации приложения Entra ID.
  3. Введите ИД приложения (клиент) из процедуры регистрации приложения Entra ID.
  4. Введите созданное и сохраненное значение секрета клиента.
  5. Введите дату завершения действия секрета клиента, которая должна соответствовать дате завершения действия, указанной во время создания секрета клиента. Для получения дополнительной информации см. раздел обновления секрета клиента.
  6. Нажмите Продолжить для отображения страницы проверки настроек подключения.

Для проверки настроек подключения вы должны выполнить подключение с помощью ваших учетных данных Entra ID.

  1. На странице проверки настроек подключения нажмите Проверить настройки для открытия страницы входа вашей организации на новой вкладке, где введите ваши учетные данные Entra ID и выполните вход. Если вы уже выполнили вход, учетные данные не потребуются, и проверка выполняется автоматически, поэтому убедитесь, что вы это сделали с нужной для аутентификации учетной записью.
    В случае успешного входа будет открыт экран подтверждения.

    2. Имя пользователя Azure должно точно соответствовать вашему имени пользователя компонентов Ivanti Neurons.

  2. Вернитесь на эту вкладку (Проверка настроек подключения).
  3. Выберите Подтверждаю успешную проверку настроек моего подключения для подтверждения успеха входа.
  4. Нажмите Продолжить для перехода к преобразованию учетных записей платформы Ivanti Neurons.
    Появится страница включения учетных записей платформы Ivanti Neurons.
  • E2018, ошибка аутентификации: Ошибка аутентификации пользователя в Entra ID. Убедитесь в правильности имени пользователя и пароля, и в наличии разрешений у пользователя для регистрации приложения Entra ID.
  • E2019, отсутствуют дополнительные требования: Действие проверки завершилось с ошибкой из-за отсутствия дополнительных требований в маркере, полученном для платформы Ivanti Neurons Platform из Entra ID.
  • E2020, не удалось выполнить привязку к учетной записи пользователя Ivanti Neurons: Имя пользователя для входа в Entra ID не соответствует имени пользователя платформы Ivanti Neurons. Адрес электронной почты учетной записи пользователя платформы Ivanti Neurons должен быть идентичен адресу электронной почты, который используется для входа в Entra ID.

ПО Entra ID теперь сконфигурировано, но пока не включено.

Для включения необходимо преобразовать ваши учетные записи платформы Ivanti Neurons для использования Entra ID.

  1. На странице "Включение учетных записей платформы Ivanti Neurons" нажмите Выйти и включить.
    Появится страница Вход Ivanti Neurons.
  2. Выберите Вход с помощью Entra ID и введите ваши учетные данные Entra ID, после чего будет выполнено преобразование.

    3. Этот же пользователь должен сконфигурировать аутентификацию и вход в Entra ID, выполнить вход и проверить учетные данные в платформе Ivanti Neurons для предотвращения ошибки запрета доступа.

Все участники получат электронные письма, подтверждающие, что учетные записи была преобразованы, и они должны получить доступ к Tenant с учетными данными ПО Entra ID. Если у участника нет учетных данных ПО Entra ID, он не сможет выполнить вход в Ivanti Neurons.

Для внешней аутентификации (SSO) теперь будет отображен статус Включено.

Конфигурация автоподготовки

Включение автоподготовки автоматически предоставит всем участникам доступ к компонентам Ivanti Neurons во время регистрации приложения ПО Entra ID без необходимости выполнения процесса после приглашения. Когда новый участник выполнит вход в первый раз, новая учетная запись платформы Ivanti Neurons будет подготовлена в разделе Ivanti Neurons > Участники. Всем новым автоматически подготовленным участникам будут предоставлены роли управления доступом, которые были заданы во время настройки.

  1. В платформе Ivanti Neurons перейдите в Настройка > Аутентификация.
    Появится страница Метод аутентификации.
  2. В разделе Внешняя аутентификация (SSO) нажмите Действия и выберите Включить автоподготовку.
  3. В раскрывающемся списке Роли по умолчанию выберите роль управления доступом, которую нужно назначить всем новым участникам.
    Для настройки ролей перейдите Ivanti Neurons > Admin> Роли.
  4. Нажмите Включить автоподготовку для подтверждения выбора роли и включения автоподготовки для всех новых участников.

После включения доступны параметры: изменения ролей управления доступом по умолчанию и выключения автоподготовки. Любые изменения ролей или отключение функции автоматической подготовки не повлияют на существующих и автоматически подготовленных участников - это относится только к тем, кто будет подготовлен после внесения изменений.

Для работы функции автоматической подготовки необходимо сконфигурировать необязательные требования в Действие D - Конфигурация маркера.

Важно! После включения функции автоматической подготовки каждый, у кого есть доступ к регистрации приложения Entra ID, получит доступ к Ivanti Neurons. Вы можете ограничить доступ для определенных пользователей или групп в портале ПО Entra ID. Для получения дополнительной информации см. документацию Microsoft Azure.

Обновление секрета клиента

Если срок действия секрета клиента ПО Entra ID близок к завершению, необходимо установить новый секрет для продолжения использования данного метода аутентификации.

  1. В платформе Ivanti Neurons перейдите в Настройка > Аутентификация.
  2. Нажмите Действия и выберите Обновить секрет клиента.
    Появится страница обновления секрета клиента.
  3. Введите новый секрет клиента из вашего приложения ПО Entra ID.
  4. Введите дату для получения напоминания о завершении срока действия секрета клиента. Баннер с напоминанием, который будет отображаться в пользовательском интерфейсе, и напоминание будет отправлено по электронной почте пользователям с ролью администратора за 28 дней до завершения срока действия. Последующие электронные письма с напоминанием будут отправлены за 7 дней до и за день до завершения срока действия.
    Если срок действия секрета клиента настроен для завершения, а новый не установлен, доступ к сервису будет прерван, и вам потребуется обратиться в службу поддержки Ivanti для его восстановления.
  5. Нажмите Продолжить.
    Появится страница проверки секрета клиента.
  6. Нажмите Проверка секрета клиента для открытия страницы входа ПО Entra ID.
    Введите свое имя пользователя и пароль - они будут аналогичны учетным данным для входа в платформу Ivanti Neurons. Новый секрет клиента будет проверен во время выполнения входа. В случае успешной проверки вернитесь в эту программу и продолжите обновление секретов клиентов. В случае неудачи вернитесь и проверьте правильность нового введенного секрета клиента. В случае появления других ошибок см. раздел Устранение ошибок проверки.
  7. После успешной поверки нового секрета клиента установите параметр подтверждения Подтверждаю успешную проверку моего нового секрета клиента и нажмите Продолжить.
  8. Нажмите Сохранение изменений для завершения процесса. Это выполнит обновление секрета клиента и напоминания о завершении срока действия с его немедленным вступлением в силу - дальнейших действий не требуется.