Аутентификация Entra ID (SAML)

Entra ID - один из вариантов выбора поставщика внешней аутентификации для вашего Tenant. Это должный выбор, если вы хотите сделать следующее:

  • Централизовать процесс входа конечных пользователей.

  • Сократить количество звонков в службу поддержки по поводу паролей.

  • Обеспечить подробный контроль над политиками и журналами аудита.

Выполните следующие действия для установки Entra ID - протокол SAML:

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.
    Появится страница Аутентификация.
  2. В разделе внешней аутентификации (SSO) нажмите Конфигурация и включение.
    Отобразится страница Включение внешней аутентификации.
  3. В раскрывающемся списке Поставщик выберите Entra ID.
  4. В раскрывающемся списке Метод входа выберите SAML
    Отобразится страница Настройки конфигурации Entra ID. Это вам понадобится во время настройки ПО Entra ID - оставьте эту вкладку открытой в браузере. Далее это будет называться "Neurons"  или "Вкладка Neurons".

Перед конфигурацией Ivanti Neurons вы должны выполнить некоторые действия в портале Microsoft Azure.

На новой вкладке браузера откройте ваш Tenant для Entra ID:

  1. Перейдите к Корпоративное приложение

  2. Выберите Новое приложение

  3. Выберите Создать ваше приложение.

    1. Введите имя.

    2. Выберите параметр: "Интегрировать другие приложения, которых нет в галерее (не галерея)".

    3. Нажмите Создать и дождитесь Entra ID для завершения.

Откройте новое созданное приложение:

  1. Перейдите в Single Sign-on

  2. Выберите SAML.

См. действие 4 для указания данных, полученных из платформы Neurons, Tenant UEM и установки соединения между Entra ID и Neurons.

Для установления безопасного подключения необходимо скопировать информацию между платформой Ivanti Neurons и Entra ID. Сделайте доступными обе, ранее используемые вкладки, и переключайтесь между ними, следуя инструкциям.

В EntraID выберите Правка (Edit) после нажатия плитки Базовая конфигурация SAML (Basic SAML Configuration). С правой стороны появится окно.

  • Информация поля EntityID в Neurons будет скопирована в поле Идентификатор (Identifier) в Entra ID. Нажмите Добавить идентификатор (Add Identifier) для отображения в окне "Entra ID > Правка".

  • Информация URL-адрес службы обработки утверждений из ПО Neurons будет скопирована в поле URL-адрес ответа (Reply URL) в Entra ID. Нажмите Добавить URL-адрес ответа (Add reply URL) для отображения в текстовом поле.

  • Нажмите Сохранить.

После появления текстового поля для проверки выберите параметр отклонения, поскольку все элементы будут проверяться одновременно.

Это выполнит настройку приложения.

В разделе сертификатов SAML в Tenant для Entra ID указывается URL-адрес метаданных объединения приложений (App Federation Metadata URL). Скопируйте его и перейдите в Neurons для вставки в поле:

  • URL-адрес конечной системы (IDP) метаданных поставщика удостоверений

  • Нажмите Продолжить.

Безопасное подключение установлено.

Добавление пользователей в Entra ID

Вернитесь в Entra ID. В меню с левой стороны в разделе Свойства (Properties) выполните действия для процесса добавления пользователей:

  • Убедитесь в корректности настройки параметра Требуемые назначения (Assignment Required):

    • Да: используется для выбора администратором пользователей Tenant, имеющих возможность входа. Если назначение необходимо, администратору придется выбрать пользователей, которые могут выполнять вход. Это выполняется в диалоге Пользователи и группы (Users and Groups) > Добавление имени пользователя (Add User Name).

    • Нет: Любой пользователь Tenant может выполнять вход с помощью Entra ID.

  • Нажмите Сохранить.

Вернитесь в Neurons.

Для проверки настроек подключения вы должны выполнить подключение с помощью ваших учетных данных Entra ID.

  1. На странице проверки настроек подключения нажмите Проверить настройки для открытия страницы входа вашей организации на новой вкладке. Это портал Azure. Введите ваши учетные данные Entra ID и выполните вход. Если вы уже выполнили вход, учетные данные не потребуются, и проверка выполняется автоматически, поэтому убедитесь, что вы это сделали с нужной для аутентификации учетной записью.
    В случае успешного входа будет открыт экран подтверждения.

    2. Имя пользователя Azure должно точно соответствовать вашему имени пользователя компонентов Ivanti Neurons.

  2. Закройте экран подтверждения и вернитесь на вкладку проверки настроек подключения платформы Ivanti Neurons, где вы были ранее.
  3. Установите параметр Подтверждаю успешную проверку настроек моего подключения для подтверждения успешного входа.
  4. Нажмите Продолжить.

Безопасное подключение установлено, проверено и работает.

  • E2018, ошибка аутентификации: Ошибка аутентификации пользователя в Entra ID. Убедитесь в правильности имени пользователя и пароля, и в наличии разрешений у пользователя для регистрации приложения Entra ID.
  • E2019, отсутствуют дополнительные требования: Действие проверки завершилось с ошибкой из-за отсутствия дополнительных требований в маркере, полученном для платформы Ivanti Neurons Platform из Entra ID.
  • E2020, не удалось выполнить привязку к учетной записи пользователя Ivanti Neurons: Имя пользователя для входа в Entra ID не соответствует имени пользователя платформы Ivanti Neurons. Адрес электронной почты учетной записи пользователя платформы Ivanti Neurons должен быть идентичен адресу электронной почты, который используется для входа в Entra ID.

ПО Entra ID теперь сконфигурировано, но пока не включено.

Для включения необходимо преобразовать ваши учетные записи платформы Ivanti Neurons для использования Entra ID.

  1. На странице "Включение учетных записей платформы Ivanti Neurons" нажмите Выйти и включить.
    Появится страница Вход Ivanti Neurons.
  2. Выберите Вход с помощью Entra ID и введите ваши учетные данные Entra ID, после чего будет выполнено преобразование.
    Для подтверждения выполните вход в платформу Neurons, перейдите Admin > Аутентификация и убедитесь, что Entra ID - это поставщик внешней аутентификации.

    3. Этот же пользователь должен сконфигурировать аутентификацию и вход в Entra ID, выполнить вход и проверить учетные данные в платформе Ivanti Neurons для предотвращения ошибки запрета доступа.

Все участники получат электронные письма, подтверждающие, что учетные записи была преобразованы, и они должны получить доступ к Tenant с учетными данными ПО Entra ID. Если у участника нет учетных данных ПО Entra ID, он не сможет выполнить вход в Ivanti Neurons.

Для внешней аутентификации (SSO) теперь будет отображен статус Включено.

Конфигурация автоподготовки

Включение автоподготовки автоматически предоставит всем участникам доступ к компонентам Ivanti Neurons во время регистрации приложения ПО Entra ID без необходимости выполнения процесса после приглашения. Когда новый участник выполнит вход в первый раз, новая учетная запись платформы Ivanti Neurons будет подготовлена в разделе Ivanti Neurons > Участники. Всем новым автоматически подготовленным участникам будут предоставлены роли управления доступом, которые были заданы во время настройки.

  1. В платформе Ivanti Neurons перейдите в Настройка > Аутентификация.

    Появится страница Метод аутентификации.
  2. В разделе Внешняя аутентификация (SSO) нажмите Действия и выберите Включить автоподготовку.
  3. В раскрывающемся списке Роли по умолчанию выберите роль управления доступом, которую нужно назначить всем новым участникам.

    Для настройки ролей перейдите Ivanti Neurons > Admin> Роли.
  4. Нажмите Включить автоподготовку для подтверждения выбора роли и включения автоподготовки для всех новых участников.

После включения доступны параметры: изменения ролей управления доступом по умолчанию и выключения автоподготовки. Любые изменения ролей или отключение функции автоматической подготовки не повлияют на существующих и автоматически подготовленных участников - это относится только к тем, кто будет подготовлен после внесения изменений.

Важно! После включения функции автоматической подготовки каждый, у кого есть доступ к регистрации приложения Entra ID, получит доступ к Ivanti Neurons. Вы можете ограничить доступ для определенных пользователей или групп в портале ПО Entra ID. Для получения дополнительной информации см. документацию Microsoft Azure.