Аутентификация Okta (OIDC)

В платформе Ivanti Neurons в настоящее время есть возможность выбора Okta в качестве внешнего поставщика аутентификации для вашего Tenant. ПО Okta централизует процедуру входа пользователей, уменьшает количество обращений в службу поддержки, связанных с паролем, и имеет полный контроль над политиками и журналами аудита.

Конфигурация и включение внешней аутентификации

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.
    Появится страница Аутентификация.
  2. В разделе внешней аутентификации (SSO) нажмите Конфигурация и включение.
    Отобразится страница Включение внешней аутентификации (SSO).
  3. В раскрывающемся списке Поставщик выберите Okta.
    Отобразится страница Настройки конфигурации Okta. Рекомендуется оставить эту вкладку открытой для дальнейшего использования во время настройки на консоли Okta.
  1. Выполните вход в Okta.
  2. Выберите Приложения > Приложения.
    Отобразится информационная панель Приложения.
  3. Выберите Обзор каталога приложений.
    Появится Обзор каталога интеграции приложений.
  4. Найдите и выберите Ivanti Neurons.
  5. Выберите Добавить интеграцию.
    Появится страница добавления Ivanti Neurons.
  6. По умолчанию установлено Приложение - измените, если необходимо. Выберите Готово.
    Отобразится страница Назначения.
  7. На странице Назначения вы можете указать и разрешить доступ к приложению Ivanti Neurons отдельным лицам или группам.
    Выберите Назначить людям или Назначить группе.

    Не забудьте сделать назначение лицу, выполняющему настройку интеграции, так как ему потребуются разрешения для доступа к приложению.

  8. Найдите и выберите пользователей или группу, которым вы хотите открыть доступ к приложению.
  9. Выберите Назначить.
  10. После назначения всем нужным лицам или группе выберите Готово.
  11. Откройте вкладку Вход.
  12. Выберите Правка.
  13. В поле Базовый URL-адрес вставьте URL-адрес, скопированный на странице платформы Ivanti Neurons > Аутентификация.
  14. Выберите Сохранить. Интеграция будет создана.
  15. Будут созданы и отображены значения ИД клиента (Client ID) и Секрет клиента (Client Secret).

    16. Вам необходимо записать информацию домена, ИД клиента и секрет клиента, готовые к использованию в следующем действии настройки в платформе Ivanti Neurons.

Имейте в виду, что поддерживаются только SP, начатые SSO.

  1. Выполните вход в ПО Okta в качестве администратора.
  2. Откройте раскрывающийся список Приложения и нажмите Приложения.
  3. Нажмите Обзор каталога приложений.
  4. Найдите функцию создания закладки приложения, выберите ее в списке результатов и нажмите Добавить.
  5. Введите название приложения, которое будет представлять его имя. Например, Ivanti Neurons,Tenant, <Company Name> для Neurons.
  6. Скопируйте URL-адрес в поле URL-адрес. Это должен быть URL-адрес Tenant для Neurons, к которому вы пытаетесь подключиться.
  7. Нажмите Сохранить.
  8. Назначьте пользователей для теста.

Теперь настройка Okta завершена, и вы можете вернуться в платформу Ivanti для продолжения конфигурации.

После создания приложения Okta вы можете продолжить конфигурацию платформы Ivanti Neurons.

  1. Вернитесь на страницу настроек конфигурации Okta (Платформа Ivanti Neurons > Аутентификация > Внешняя аутентификация (SSO) > Конфигурация и включение.
  2. Выберите Домен Okta из раскрывающегося списка профиля пользователя, расположенного в правом верхнем углу интеграции приложения Okta.
  3. Не заполняйте поле ИД сервера аутентификации. Нужно указать информацию Tenant только, если вы используете собственный сервер авторизации. Для получения дополнительной информации см. Настройка приложения Okta - Особый сервер авторизации.
  4. Введите ИД клиента, который был создан и сохранен во время интеграции приложения Okta.
  5. Введите созданное и сохраненное значение секрета клиента.
  6. Выберите Продолжить для отображения страницы проверки настроек подключения.

Для проверки настроек подключения вы должны выполнить подключение с использованием ваших учетных данных Okta.

  1. На странице проверки настроек подключения нажмите Проверить настройки для открытия страницы входа вашей организации на новой вкладке и введите ваши учетные данные Okta для входа. Если вы уже выполнили вход, учетные данные не потребуются, и проверка выполняется автоматически, поэтому убедитесь, что вы это сделали с нужной для аутентификации учетной записью.
    В случае успешного входа будет открыт экран подтверждения.

    2. Имя пользователя Okta должно точно соответствовать вашему имени пользователя платформы Ivanti Neurons.

  2. Вернитесь на эту вкладку (Проверка настроек подключения).
  3. Выберите Подтверждаю успешную проверку настроек моего подключения для подтверждения успеха входа.
  4. Нажмите Продолжить для перехода к преобразованию учетных записей платформы Ivanti Neurons. Отобразится страница включения учетных записей платформы Ivanti Neurons.
  • E2018, ошибка аутентификации: Ошибка аутентификации пользователя в Okta. Убедитесь в правильности имени пользователя и пароля, и в наличии разрешений у пользователя для регистрации приложения Okta.
  • E2020, не удалось выполнить привязку к учетной записи пользователя Ivanti Neurons: Имя пользователя для входа в Okta не соответствует имени пользователя платформы Ivanti Neurons. Адрес электронной почты учетной записи пользователя платформы Ivanti Neurons должен быть идентичен адресу электронной почты, который используется для входа в Okta.

ПО Okta теперь сконфигурировано, но пока не включено.

Для включения необходимо преобразовать ваши учетные записи платформы Ivanti Neurons для использования Okta.

  1. На странице "Включение учетных записей платформы Ivanti Neurons" нажмите Выйти и включить.
    Появится страница Вход Ivanti Neurons.
  2. Выберите Вход с помощью Okta и введите ваши учетные данные Okta, после чего будет выполнено преобразование.
    Все участники получат электронные письма, подтверждающие, что учетные записи была преобразованы, и они должны получить доступ к Tenant с учетными данными Okta. Если у участника нет учетных данных Okta, он не сможет выполнить вход в Ivanti Neurons.

Для внешней аутентификации (SSO) теперь будет отображен статус Включено.

  1. Выполните вход в приложение Okta.
  2. В боковом меню выберите Приложения > Приложения.
    Отобразится информационная панель Приложения.
  3. Выберите Создание интеграции приложения.
    Появится страница Создание интеграции нового приложения.
  4. Выберите метод входа, OIDC - Подключение OpenID.
  5. Выберите Веб-приложение для типа приложения.
  6. Нажмите Далее.
    Появится страница Интеграция нового веб-приложения.
  7. Укажите имя приложения в поле Имя интеграции приложения.
  8. Для типа доступа выберите Неявный (гибридный).
  9. Введите URI-адрес входа, добавьте базовый URI-адрес (как показано в настройках конфигурации Okta для платформы Ivanti) и /signin-okta.
  10. Введите URI-адрес выхода, добавьте базовый URL-адрес (как показано в настройках конфигурации Okta для платформы Ivanti) и /signout-okta.
  11. В элементе Назначения выберите нужный уровень управления доступом.
  12. Выберите Сохранить. Приложение будет создано.
  13. Будут созданы и отображены значения ИД клиента (Client ID) и Секрет клиента (Client Secret).

    14. Вам необходимо записать информацию домена, ИД клиента и секрет клиента, готовые к использованию в следующем действии настройки в платформе Ivanti Neurons.

Теперь настройка Okta завершена, и вы можете вернуться в платформу Ivanti Neurons.

Конфигурация автоподготовки

Включение автоподготовки автоматически предоставит всем участникам доступ к компонентам Ivanti Neurons во время регистрации приложения Okta без необходимости выполнения этого процесса после приглашения. Когда новый участник выполнит вход в первый раз, новая учетная запись платформы Ivanti Neurons будет подготовлена в разделе Ivanti Neurons > Участники. Всем новым автоматически подготовленным участникам будут предоставлены роли управления доступом, которые были заданы во время настройки.

  1. В платформе Ivanti Neurons перейдите в Настройка > Аутентификация.
    Появится страница Метод аутентификации.
  2. В разделе Внешняя аутентификация (SSO) нажмите Действия и выберите Включить автоподготовку.
  3. В раскрывающемся списке Роли по умолчанию выберите роль управления доступом, которую нужно назначить всем новым участникам.
    Для настройки ролей перейдите Ivanti Neurons > Admin > Роли.
  4. Нажмите Включить автоподготовку для подтверждения выбора роли и включения автоподготовки для всех новых участников.

После включения станет доступна возможность редактирования ролей управления доступом по умолчанию и отключения функции автоматической подготовки. Эти изменения будут использоваться только для участников, созданных после выполнения изменений, и не повлияют на уже существующих участников.

Включение функции автоподготовки предоставляет всем пользователям с возможностью регистрации приложения Okta доступ к Ivanti Neurons. Вы можете ограничить доступ для определенных пользователей или групп в приложении Okta.

Обновление секрета клиента

Если вам нужно обновить секрет клиента Okta, вы должны создать новый секрет для продолжения использования данного метода аутентификации.

  1. В платформе Ivanti Neurons перейдите в Настройка > Аутентификация.
  2. Нажмите Действия и выберите Обновить секрет клиента.
    Появится страница обновления секрета клиента.
  3. Введите новый секрет клиента из вашего приложения Okta.
  4. Нажмите Продолжить.
    Появится страница проверки секрета клиента.
  5. Нажмите Проверка секрета клиента для открытия страницы входа Okta.
    Введите свое имя пользователя и пароль - они будут аналогичны учетным данным для входа в платформу Ivanti Neurons. Новый секрет клиента будет проверен во время выполнения входа. В случае успешной проверки вернитесь в эту программу и продолжите обновление секретов клиентов. В случае неудачи вернитесь и проверьте правильность нового введенного секрета клиента. В случае появления других ошибок см. раздел Устранение ошибок проверки.
  6. После успешной поверки нового секрета клиента установите параметр подтверждения Подтверждаю успешную проверку моего нового секрета клиента и нажмите Продолжить.
  7. Нажмите Сохранение изменений для завершения процесса. Это выполнит обновление секрета клиента с его немедленным вступлением в силу - дальнейших действий не требуется.