Аутентификация PingFederate (OIDC)

В платформе Ivanti Neurons в настоящее время есть возможность выбора PingFederate в качестве внешнего поставщика аутентификации для вашего Tenant. ПО PingFederate централизует процедуру входа пользователей, уменьшает количество обращений в службу поддержки, связанных с паролем, и имеет полный контроль над политиками и журналами аудита.

Конфигурация и включение внешней аутентификации

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.
    Появится страница Аутентификация.

  2. В разделе Внешняя аутентификация (SSO) нажмите Конфигурация и включение.
    Отобразится страница Включение внешней аутентификации (SSO).

  3. В раскрывающемся списке Поставщик выберите PingFederate.

  4. В раскрывающемся списке Метод входа выберите Подключение OpenID (OIDC).

    Отобразятся настройки конфигурации PingFederate.
    Рекомендуется оставить эту вкладку открытой для дальнейшего использования во время настройки на консоли PingFederate Admin.

  1. Войдите на консоль PingFederate .

  2. В Applications (Приложения) выберите OAuth.

  3. Нажмите Add Client (Добавить клиент).

  4. В разделе Client (Клиент) обновите конфигурацию клиента и информацию о политике:

    1. CLIENT ID (ИД клиента): Введите уникальный идентификатор клиента. Скопируйте этот идентификатор клиента в поле ИД клиента на открытой вкладке платформы Ivanti Neurons.

    2. NAME (ИМЯ): Аналогично CLIENT ID (ИД клиента).

    3. CLIENT AUTHENTICATION (Аутентификация клиента): Выберите CLIENT SECRET (Секрет клиента).

    4. CLIENT SECRET (Секрет клиента): Выберите CHANGE SECRET (Изменить секрет) и нажмите Generate Secret (Создать секрет).

    5. Скопируйте значение CLIENT SECRET (Секрет клиента) в поле Значение секрета клиента на открытой вкладке платформы Ivanti Neurons.

    6. REDIRECT URIS (URI-адреса перенаправления): Скопируйте URI-адрес перенаправления из платформы Neurons и вставьте его в поле URI-адресов портала PingFederate.

    7. Нажмите Добавить.

    8. ALLOWED GRANT TYPES (Разрешенные типы грантов): Выберите Authorization Code (Код авторизации) и Implicit (Скрытый).

    9. DEFAULT ACCESS TOKEN MANAGER (Менеджер маркеров доступа по умолчанию): Выберите IvantiTestToken.

    10. OPENID CONNECT (Подключение OPENID): Скопируйте URI-адрес выхода из платформы Neurons и вставьте его в поле URI-адресов перенаправления после выхода портала учетных данных PingFederate Admin и нажмите Add (Добавить).

    11. Нажмите Сохранить.

  5. В диалоге SYSTEM (Система) выберите Server (Сервер) > Protocol Settings (Настройки продукта) > Federation Info (Информация объединения), скопируйте BASE URL (Базовый URL-адрес) в поле Выдавший на открытой вкладке платформы Ivanti Neurons.

  6. Нажмите Продолжить на вкладке платформы Ivanti Neurons для проверки настроек.

Для проверки настроек подключения вы должны выполнить подключение с использованием ваших учетных данных PingFederate.

  1. На странице Проверка настроек подключения нажмите Проверка настроек. На странице входа вашей организации будет открыта новая вкладка. Введите свои учетные данные PingFederate и нажмите Вход.

  2. На странице Запрос для утверждения убедитесь в установке следующего:

    • ДОСТУП К ВАШЕМУ ИМЕНИ ПОЛЬЗОВАТЕЛЯ

    • ОБЛАСТЬ ДЕЙСТВИЯ OPENID

    • ОБЛАСТЬ ДЕЙСТВИЯ ПРОФИЛЯ

    • ОБЛАСТЬ ДЕЙСТВИЯ ЭЛЕКТРОННОЙ ПОЧТЫ

  3. Нажмите Разрешить.

  4. Вернитесь на страницу Проверка настроек подключения и установите параметр для подтверждения успешного входа.
    Учетные данные PingFederate настроены, но не включены. Для включения необходимо преобразовать ваши учетные записи платформы Ivanti Neurons для использования в PingFederate.

  5. Нажмите Продолжить для перехода на страницу Преобразование вашей учетной записи платформы Ivanti Neurons.

  • E2018, ошибка аутентификации: Ошибка аутентификации пользователя в PingFederate. Убедитесь в правильности имени пользователя и пароля, и в наличии разрешений у пользователя для подключения PingFederate SP..

  • E2019, отсутствуют дополнительные требования: Действие проверки завершилось с ошибкой из-за отсутствия дополнительных требований в маркере, полученном в платформе Ivanti Neurons из PingFederate.

  • E2020, не удалось выполнить привязку к учетной записи пользователя Ivanti Neurons: Имя пользователя PingFederate не соответствует имени пользователя платформы Ivanti Neurons. Адрес электронной почты учетной записи пользователя платформы Ivanti Neurons должен быть идентичен адресу электронной почты, который используется для входа в PingFederate.

  1. На странице Преобразование вашей учетной записи платформы Ivanti Neurons нажмите Выйти и включить. Платформа Ivanti Neurons выполнит выход.

  2. Нажмите Вход с PingFederate и укажите ваши учетные данные PingFederate для завершения процесса.

  3. Теперь можно увидеть приложение PingFederate в разделе Admin > Аутентификация со статусом Включено.    

  4. Нажмите Выход в платформе Neurons.
    Теперь после входа вы будете перенаправлены в     PingFederate для выбора учетной записи и входа с учетными данными PingFederate .

Убедитесь, что поле Contract Fulfillment (Выполнение контракта) в Applications (Приложения) > OAuth > Access Token Mappings (Назначение маркеров доступа) > IdP Adapter: PingOneIdpAdapte > Access Token Mapping (Назначение маркера доступа) содержит атрибуты пользователя - email, given_name и family_name.

Конфигурация автоподготовки

Включение автоподготовки автоматически предоставит всем участникам доступ к платформе Ivanti Neurons во время регистрации приложения подготовки пользователей без необходимости выполнения этого процесса после приглашения. Когда новый участник выполнит вход в первый раз, новая учетная запись платформы Ivanti Neurons будет подготовлена в разделе Ivanti Neurons > Участники. Всем новым автоматически подготовленным участникам будут предоставлены роли управления доступом, которые были заданы во время настройки.

  1. В платформе Ivanti Neurons перейдите в Настройка > Аутентификация.
    Появится страница Метод аутентификации.

  1. В разделе Внешняя аутентификация (SSO) нажмите Действия и выберите Включить автоподготовку.

  1. В раскрывающемся списке Роли по умолчанию выберите роль управления доступом, которую нужно назначить всем новым участникам.
    Для настройки ролей перейдите Ivanti Neurons > Admin > Роли.

  1. Нажмите Включить автоподготовку для подтверждения выбора роли и включения автоподготовки для всех новых участников.

После включения станет доступна возможность редактирования ролей управления доступом по умолчанию и отключения функции автоматической подготовки. Эти изменения будут использоваться только для участников, созданных после выполнения изменений, и не повлияют на уже существующих участников.

Включение функции автоподготовки предоставляет всем пользователям с возможностью регистрации приложений доступ к Ivanti Neurons. Вы можете ограничить доступ для определенных пользователей или групп в приложении аутентификации PingFederate.

(Необязательно) Обновление секрета клиента (платформа Ivanti Neurons)

Если срок действия секрета клиента PingFederate близок к завершению, необходимо установить новый секрет для продолжения использования данного метода аутентификации.

  1. В платформе Ivanti Neurons перейдите Admin > Аутентификация.,
    Появится страница Аутентификация.

  2. В разделе внешней аутентификации нажмите Действия > Обновить секрет клиента.,
    Появится страница обновления секрета клиента.

  3. Введите новый секрет клиента, полученный в приложении PingFederate, и вставьте его в поле Значение секрета клиента платформы Ivanti Neurons.

  4. Нажмите Продолжить для проверки секрета клиента.

  5. На странице Проверка нового секрета клиента нажмите Проверка секрета клиента.На странице входа вашей организации будет открыта новая вкладка.

  6. Введите свои учетные данные PingFederate и нажмите Вход.

  7. На странице Запрос для утверждения убедитесь в установке следующего:

    1. ДОСТУП К ВАШЕМУ ИМЕНИ ПОЛЬЗОВАТЕЛЯ

    2. ОБЛАСТЬ ДЕЙСТВИЯ OPENID

    3. ОБЛАСТЬ ДЕЙСТВИЯ ПРОФИЛЯ

    4. ОБЛАСТЬ ДЕЙСТВИЯ ЭЛЕКТРОННОЙ ПОЧТЫ

  8. Нажмите Разрешить.

    В случае успешной проверки вернитесь в эту программу и продолжите обновление секретов клиентов.
    В случае ошибки проверьте новый введенный секрет клиента. В случае появления других ошибок см. раздел Устранение ошибок проверки.

  9. Вернитесь на страницу Проверка нового секрета клиента и установите параметр для подтверждения успешного входа.

  10. Нажмите Продолжить для перехода на страницу Сохранение нового секрета клиента.

  11. Нажмите Сохранить изменения для завершения процесса.
    Отобразится оповещение, подтверждающее успешное обновление секрета клиента.

(Необязательно) Удаление метода аутентификации (платформа Ivanti Neurons)

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.
    Появится страница Аутентификация.

  2. В разделе Внешняя аутентификация нажмите Действия > Удаление метода аутентификации.
    Отобразится экран Удаление внешней аутентификации.

  3. Нажмите Выйти и повторить аутентификацию.
    Платформа Ivanti Neurons выполнит выход.

  4. Нажмите Выполнить вход с помощью адреса эл. почты и пароля.

  5. Введите учетные данные и нажмите Вход.

  6. Перейдите Admin > Аутентификация > Внешняя аутентификация, а затем Действия > Удалить метод аутентификации.
    Отобразится экран Удаление внешней аутентификации.

  7. Нажмите Удаление метода аутентификации.
    Существующий метод аутентификации теперь удален.