Аутентификация PingFederate (SAML)

В платформе Ivanti Neurons в настоящее время есть возможность выбора PingFederate в качестве внешнего поставщика аутентификации для вашего Tenant. ПО PingFederate централизует процедуру входа пользователей, уменьшает количество обращений в службу поддержки, связанных с паролем, и имеет полный контроль над политиками и журналами аудита.

Конфигурация и включение внешней аутентификации

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.
    Появится страница Аутентификация.

  2. В разделе Внешняя аутентификация (SSO) нажмите Конфигурация и включение.
    Отобразится страница Включение внешней аутентификации (SSO).

  3. В раскрывающемся списке Поставщик выберите PingFederate.

  4. В раскрывающемся списке методов входа выберите Saml 2.0.

    Отобразятся настройки конфигурации PingFederateSAML 2.0.
    Рекомендуется оставить эту вкладку открытой для дальнейшего использования во время настройки на консоли PingFederate Admin.

  1. Выполните вход на консоль администратора PingFederate.

  2. В диалоге Applications (Приложения) выберите SPConnections.

  3. Нажмите Create Connection (Создание подключения).

  4. В поле Connection Template (Шаблон подключения) выберите DO NOT USE A TEMPLATE FOR THIS CONNECTION (Не использовать шаблон для этого подключения) и нажмите Next (Далее).

  5. В поле Connection Type (Тип подключения) выберите BROWSER SSO PROFILES (Профили SSO браузера), так как для установки требуется доступ в браузере.

  6. В раскрывающемся списке PROTOCOL (Протокол) выберите SAML 2.0 и нажмите Next (Далее).

  7. В поле Connection Options (Параметры подключения) выберите BROWSER SSO (SSO браузера) и нажмите Next (Далее).

  8. В поле Import Metadata (Импорт метаданных) выберите None (Нет) и нажмите Next (Далее).

  9. В поле General Info (Общая информация) введите следующие значения, доступные на открытой вкладке платформы Ivanti Neurons:

    • PARTNER’S ENTITY ID (CONNECTION ID) (ИД партнера (ИД подключения)): Уникальный идентификатор подключения (ИД элемента).

    • CONNECTION NAME (Имя подключения): Идентификатор языка для этого подключения.

  10. (Необязательно) Укажите несколько идентификаторов виртуальных серверов, используя базовые URL-адреса для упрощенных конфигураций конечных систем партнера и нажмите Next (Далее).

  11. В поле Browser SSO (SSO браузера) нажмите Configure Browser SSO (Конфигурация SSO браузера) для настройки или редактирования конфигурации функции безопасного единого входа в браузере для ресурсов партнера.

    1. В поле SAML Profiles (Профили SAML) выберите SP-Initiated SSO (SSO, открытое SP) для указания типов сообщений, которыми обмениваются поставщики идентификации и услуг, а также методы передачи (привязки), и нажмите Next (Далее).

    2. В поле Assertion Lifetime (Срок утверждения) установите период действия до и после выдачи утверждения SP и нажмите Next (Далее).

    3. В поле Assertion Creation (Создание утверждения) нажмите Configure Assertion Creation (Создание конфигурации утверждения) для настройки утверждений SAML для доступа SSO к сайту вашего SP-партнера.

      1. В поле Identity Mapping (Назначение идентификации) выберите Standard (Стандарт) и нажмите Next (Далее).

      2. В поле Attribute Contract (Контракт атрибута) выберите SAML_SUBJECT и обновите поля Extend the Contract (Продление контракта) следующим набором обязательных атрибутов пользователя, которые сервер отправляет для утверждения:

        • Адрес эл. почты

        • given_name

        • family_name

      3. Нажмите Далее.

      4. В поле Authentication Source Mapping (Назначение источника аутентификации) нажмите Map New Adapter Instance (Назначение нового экземпляра адаптера).

        1. В поле Adapter Instance (Экземпляра адаптера) выберите PingOneIdpAdapter и нажмите Next (Далее).

        2. В поле Mapping Method (Метод назначения) выберите USE ONLY THE ADAPTER CONTRACT VALUES IN THE SAML ASSERTION (Использовать только значения контракта адаптера в утверждении SAML) и нажмите Next (Далее).

        3. В поле Attribute Contract Fulfillment (Выполнение контракта по атрибутам) обновите значение Attribute Contract (Контракт атрибута), как показано далее:

          • SAML_SUBJECT: Источник - Adapter, значение - username

          • email: Источник - Adapter, значение - email

          • family_name: Источник - Adapter, значение - name.family

          • given_name: Источник - Adapter (Адаптер), значение - name.given

        4. Нажмите Далее.

        5. В поле Issuance Criteria (Критерии выдачи) обновите или не заполняйте поля и нажмите Next (Далее).

        6. Проверьте информацию в диалоге Summary (Сводка) и нажмите Done (Готово).

      5. В поле Authentication Source Mapping (Назначение источника аутентификации) нажмите Next (Далее).

      6. Проверьте информацию в диалоге Summary (Сводка) и нажмите Done (Готово).

    4. В поле Assertion Creation (Создание утверждения) нажмите Next (Далее).

    5. В поле Protocol Settings (Настройки протокола) нажмите Configure Protocol Settings (Конфигурация настроек протокола) для настройки утверждений SAML для доступа SSO к сайту вашего SP-партнера.

      1. В поле Assertion Consumer Service URL (URL-адрес службы утверждения клиентов), скопируйте URL-адрес службы утверждения из платформы Neurons и поместите его в поле URL-адреса конечной системы в портале администратора PingFederate.

      2. Выберите POST из раскрывающегося списка привязки (Binding) и нажмите Add (Добавить) > Next (Далее).

      3. В поле Allowable SAML Bindings (Допустимые привязки SAML) выберите POST и нажмите Next (Далее).

      4. В поле Signature Policy (Политика подписи) выберите SIGN RESPONSE AS REQUIRED (Подписывать ответ по необходимости) и нажмите Next (Далее).

      5. В поле Encryption Policy (Политика шифрования) выберите NONE (Нет) и нажмите Next (Далее).

      1. Проверьте информацию в диалоге Summary (Сводка) и нажмите Done (Готово).

    6. В поле Protocol Settings (Настройки протокола) нажмите Next (Далее).

    7. Проверьте информацию в диалоге Summary (Сводка) и нажмите Done (Готово).

  1. В поле Browser SSO (SSO браузера) нажмите Next (Далее).

  2. В поле Credentials (Учетные данные) нажмите Configure Credentials (Конфигурация учетных данных) для установки параметров цифровой подписи.

    1. Выберите сертификат из раскрывающегося списка SIGNING CERTIFICATE (Подписывающий сертификат).

    2. Запишите значения полей SECONDARY SIGNING CERTIFICATE (Вторичный подписывающий сертификат) и SIGNING ALGORITHM (Алгоритм подписания), а затем нажмите Next (Далее).

    3. Проверьте информацию в диалоге Summary (Сводка) и нажмите Save (Сохранить).

  1. В поле Credentials (Учетные данные) нажмите Next (Далее).

  2. Проверьте информацию в диалоге Activation & Summary (Активация и сводка) и нажмите Done (Готово). Отобразится страница SP Connections (Подключения SP).

  3. Нажмите Select Action (Выбор действия) в диалоге Actions (действия) рядом с новым сконфигурированным подключением > Export Metadata (Экспорт метаданных).

  4. В Metadata Signing (Подписание метаданных) выберите сертификат из раскрывающегося списка SIGNING CERTIFICATE (Подписывающий сертификат).

  5. Выберите алгоритм из раскрывающегося списка SIGNING ALGORITHM (Алгоритм подписания) и нажмите Next (Далее).

  6. Выберите Export (Экспорт). Файл метаданных будет загружен.

  7. Перейдите на страницу платформы Ivanti Neurons Включение внешней аутентификации, которая уже открыта и нажмите Выбор файла.

  8. Откройте загруженный файл метаданных и нажмите Загрузить.

  9. Нажмите Продолжить для проверки настроек.

Для проверки настроек подключения вы должны выполнить подключение с использованием ваших учетных данных PingFederate.

  1. На странице Проверка настроек подключения нажмите Проверка настроек. На странице входа вашей организации будет открыта новая вкладка. Введите свои учетные данные PingFederate и выполните вход.

  2. Вернитесь на страницу Проверка настроек подключения и установите параметр для подтверждения успешного входа.
    ПО PingFederate теперь сконфигурировано, но пока не включено. Для включения необходимо преобразовать ваши учетные записи платформы Ivanti Neurons для использования в PingFederate.

  1. Нажмите Продолжить для перехода на страницу Преобразование вашей учетной записи платформы Ivanti Neurons.

  • E2018, ошибка аутентификации: Ошибка аутентификации пользователя в PingFederate. Убедитесь в правильности имени пользователя и пароля, и в наличии разрешений у пользователя для подключения PingFederate SP.

  • E2019, отсутствуют дополнительные требования: Действие проверки завершилось с ошибкой из-за отсутствия дополнительных требований в маркере, полученном в платформе Ivanti Neurons из PingFederate.

  • E2020, не удалось выполнить привязку к учетной записи пользователя Ivanti Neurons: Имя пользователя PingFederate не соответствует имени пользователя платформы Ivanti Neurons. Адрес электронной почты учетной записи пользователя платформы Ivanti Neurons должен быть идентичен адресу электронной почты, который используется для входа в PingFederate.

  1. На странице Преобразование вашей учетной записи платформы Ivanti Neurons нажмите Выйти и включить. Платформа Ivanti Neurons выполнит выход.

  2. Нажмите Вход с PingFederate и укажите ваши учетные данные PingFederate для завершения процесса.

  3. Теперь можно увидеть приложение PingFederate в разделе Admin > Аутентификация со статусом Включено.    

  4. Нажмите Выход для выхода из платформы Neurons.
    Теперь, выполняя повторный вход, вы будете перенаправлены на сайт PingFederate для выбора учетной записи и входа с учетными данными PingFederate.

Конфигурация автоподготовки

Включение автоподготовки автоматически предоставит всем участникам, использующим подключение PingFederate SP, доступ к платформе Ivanti Neurons без необходимости выполнения этого процесса после приглашения. Когда новый участник выполнит вход в первый раз, новая учетная запись платформы Ivanti Neurons будет подготовлена в разделе Ivanti Neurons > Участники. Всем новым автоматически подготовленным участникам будут предоставлены роли управления доступом, которые были заданы во время настройки.

  1. В платформе Ivanti Neurons перейдите в Настройка > Аутентификация.
    Появится страница Метод аутентификации.

  1. В разделе Внешняя аутентификация (SSO) нажмите Действия и выберите Включить автоподготовку.

  1. В раскрывающемся списке Роли по умолчанию выберите роль управления доступом, которую нужно назначить всем новым участникам.
    Для настройки ролей перейдите Ivanti Neurons > Admin > Роли.

  1. Нажмите Включить автоподготовку для подтверждения выбора роли и включения автоподготовки для всех новых участников.

После включения станет доступна возможность редактирования ролей управления доступом по умолчанию и отключения функции автоматической подготовки. Эти изменения будут использоваться только для участников, созданных после выполнения изменений, и не повлияют на уже существующих участников.

Включение функции автоподготовки предоставляет всем пользователям с возможностью регистрации приложений доступ к Ivanti Neurons. Вы можете ограничить доступ для определенных пользователей или групп в приложении аутентификации PingFederate.

(Необязательно) Обновление метаданных (платформа Ivanti Neurons)

  1. В платформе Ivanti Neurons перейдите Admin > Аутентификация.
    Появится страница Аутентификация.

  2. В разделе Внешняя аутентификация нажмите Действия > Обновить метаданные.
    Появится экран обновления метаданных SAML.

  3. В настройках конфигурации PingFederate нажмите Выбор файла.

  4. Откройте загруженный файл метаданных и нажмите Загрузить.

  5. Нажмите Продолжить для проверки настроек.

  6. На странице Проверка новых метаданных SAML нажмите Проверка метаданных SAML.

  7. На странице входа вашей организации будет открыта новая вкладка. Введите свои учетные данные и выполните вход.
    Проверка выполняется автоматически. В случае успешного входа будет открыт экран подтверждения.

  8. Вернитесь на страницу Проверка новых метаданных SAML и установите параметр для подтверждения успешного входа.

  9. Нажмите Продолжить для перехода на страницу Сохранение новых метаданных SAML.

  10. Нажмите Сохранить изменения для завершения процесса.
    Отобразится оповещение, подтверждающее успешное обновление метаданных.

(Необязательно) Удаление метода аутентификации (платформа Ivanti Neurons)

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.
    Появится страница Аутентификация.

  2. В разделе Внешняя аутентификация нажмите Действия > Удаление метода аутентификации.
    Отобразится экран Удаление внешней аутентификации.

  3. Нажмите Выйти и повторить аутентификацию.
    Платформа Ivanti Neurons выполнит выход.

  4. Нажмите Выполнить вход с помощью адреса эл. почты и пароля.

  5. Введите учетные данные и нажмите Вход.

  6. Перейдите Admin > Аутентификация > Внешняя аутентификация, а затем Действия > Удалить метод аутентификации.
    Отобразится экран Удаление внешней аутентификации.

  7. Нажмите Удаление метода аутентификации.
    Существующий метод аутентификации теперь удален.