Аутентификация PingOne (SAML)

В платформе Ivanti Neurons в настоящее время есть возможность выбора PingOne в качестве внешнего поставщика аутентификации для вашего Tenant. ПО PingOne централизует процедуру входа пользователей, уменьшает количество обращений в службу поддержки, связанных с паролем, и имеет полный контроль над политиками и журналами аудита.

Конфигурация и включение внешней аутентификации

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.
    Появится страница Аутентификация.

  1. В разделе Внешняя аутентификация (SSO) нажмите Конфигурация и включение.
    Отобразится страница Включение внешней аутентификации (SSO).

  1. В раскрывающемся списке Поставщик выберите PingOne.

  2. В раскрывающемся списке методов входа выберите Saml 2.0.

    Отобразятся настройки конфигурации PingOne Saml 2.0. Рекомендуется оставить эту вкладку открытой для дальнейшего использования во время настройки на консоли PingOne Admin.

  1. Выполните вход на консоль PingOneAdmin.

  2. Перейдите Приложения (Applications) > Приложения (Applications).

  3. Нажмите для добавления нового приложения.
    Отобразится экран Добавить приложение (Add Application).

  4. В поле Имя приложения (Application Name) введите имя приложения SAML.

  5. Выберите Приложение SAML (SAML Application) и нажмите Конфигурация (Configure).

  6. В поле Конфигурация SAML (SAML Configuration) выберите Ввод вручную (Manually Enter).

  7. Введите значения в следующие поля из открытой вкладки платформы Ivanti Neurons:

    1. URL-адреса ACS (ACS URL): URL-адрес службы обработки утверждений.

    2. ИД элемента (Entity ID): EntityId.

  8. Нажмите Сохранить.

  9. Откройте вкладку Назначения атрибутов (Attribute Mappings) и нажмите .

  10. В Назначение атрибута (Attribute Mapping) нажмите Добавить (Add).

  11. Обновите значения Атрибуты (Attributes) и Назначения PingOne (PingOne Mappings), а именно:

    1. email: Адрес эл. почты. Выберите Требуется (Required) > Добавить (Add).

    2. given_name: Имя: Выберите Требуется (Required).

    3. family_name: Фамилия. Выберите Требуется (Required) > Добавить (Add).

  12. Нажмите Сохранить.
    Приложение создано в PingOne.

  13. Нажмите кнопку рядом с названием приложения для его активации.

  14. Откройте вкладку Конфигурация (Configuration), скопируйте URL-адрес метаданных IDP и вставьте его в поле URL-адрес конечной системы метаданных поставщика идентификации в открытом приложении платформы Neurons.

  15. Нажмите Продолжить.

Для проверки настроек подключения вы должны выполнить подключение с использованием ваших учетных данных PingOne.

  1. На странице Проверка настроек подключения нажмите Проверка настроек.

    Проверка выполняется автоматически. В случае успешного входа будет открыт экран подтверждения.

  2. Вернитесь на страницу Проверка настроек подключения и установите параметр для подтверждения успешного входа.

    ПО PingOne теперь сконфигурировано, но пока не включено. Для включения необходимо преобразовать ваши учетные записи платформы Ivanti Neurons для использования в PingOne.

  3. Нажмите Продолжить для перехода на страницу Преобразование вашей учетной записи платформы Ivanti Neurons.

  • E2018, ошибка аутентификации: Ошибка аутентификации пользователя в PingOne. Убедитесь, что
    Выполнена проверка правильности имени пользователя и пароля, и имеются разрешения у пользователя для регистрации приложения PingOne.

  • E2019, отсутствуют дополнительные требования: Действие проверки завершилось с ошибкой из-за отсутствия дополнительных требований в маркере, полученном в платформе Ivanti Neurons из PingOne.

  • E2020, не удалось выполнить привязку к учетной записи пользователя Ivanti Neurons: Имя пользователя для входа в PingOne не соответствует имени пользователя платформы Ivanti Neurons. Адрес электронной почты учетной записи пользователя платформы Ivanti Neurons должен быть идентичен адресу электронной почты, который используется для входа в PingOne.

  1. На странице Преобразование вашей учетной записи платформы Ivanti Neurons нажмите Выйти и включить. Платформа Ivanti Neurons выполнит выход.

  2. Нажмите Вход с помощью PingOne для завершения процесса.

  3. Теперь можно увидеть приложение PingOne в разделе Admin > Аутентификация со статусом Включено.

  4. Нажмите Выход для выхода из платформы Neurons.
    Теперь, выполняя повторный вход, вы будете перенаправлены на сайт PingOne для выбора учетной записи и входа с учетными данными PingOne.

Конфигурация автоподготовки

Включение автоподготовки автоматически предоставит всем участникам доступ к платформе Ivanti Neurons во время регистрации приложения PingOne без необходимости выполнения этого процесса после приглашения. Когда новый участник выполнит вход в первый раз, новая учетная запись платформы Ivanti Neurons будет подготовлена в разделе Ivanti Neurons > Участники. Всем новым автоматически подготовленным участникам будут предоставлены роли управления доступом, которые были заданы во время настройки.

  1. В платформе Ivanti Neurons перейдите в Настройка > Аутентификация.
    Появится страница Метод аутентификации.

  1. В разделе Внешняя аутентификация нажмите Действия и выберите Включить автоподготовку.

  1. В раскрывающемся списке Роли по умолчанию выберите роль управления доступом, которую нужно назначить всем новым участникам.
    Для настройки ролей перейдите Ivanti Neurons > Admin > Роли.

  1. Нажмите Включить автоподготовку для подтверждения выбора роли и включения автоподготовки для всех новых участников.

После включения станет доступна возможность редактирования ролей управления доступом по умолчанию и отключения функции автоматической подготовки. Эти изменения будут использоваться только для участников, созданных после выполнения изменений, и не повлияют на уже существующих участников.

Включение функции автоподготовки предоставляет всем пользователям с возможностью регистрации приложения PingOne доступ к Ivanti Neurons. Вы можете ограничить доступ для определенных пользователей или групп в приложении PingOne.

(Необязательно) Обновление метаданных (платформа Ivanti Neurons)

  1. В платформе Ivanti Neurons перейдите Admin > Аутентификация.
    Появится страница Аутентификация.

  2. В разделе Внешняя аутентификация нажмите Действия > Обновить метаданные.
    Появится страница обновления метаданных SAML.

  3. В диалоге Настройки конфигурации PingOne введите URL-адрес метаданных в URL-адрес конечной системы метаданных поставщика идентификации.

  4. Нажмите Продолжить для проверки метаданных.

  5. На странице Проверка новых метаданных SAML нажмите Проверка метаданных SAML.

  6. На странице входа вашей организации будет открыта новая вкладка. Введите свои учетные данные и выполните вход.
    Проверка выполняется автоматически. В случае успешного входа будет открыт экран подтверждения.

  7. Вернитесь на страницу Проверка новых метаданных SAML и установите параметр для подтверждения успешного входа.

  8. Нажмите Продолжить для перехода на страницу Сохранение новых метаданных SAML.

  9. Нажмите Сохранить изменения для завершения процесса.
    Отобразится оповещение, подтверждающее успешное обновление секрета клиента.

(Необязательно) Удаление метода аутентификации (платформа Ivanti Neurons)

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.
    Появится страница Аутентификация.

  2. В разделе Внешняя аутентификация (SSO) нажмите Действия > Удаление метода аутентификации.
    Отобразится экран Удаление внешней аутентификации.

  3. Нажмите Выйти и повторить аутентификацию.
    Платформа Ivanti Neurons выполнит выход.

  4. Нажмите Выполнить вход с помощью адреса эл. почты и пароля.

  5. Введите учетные данные и нажмите Вход.

  6. Перейдите Admin > Аутентификация > Внешняя аутентификация, а затем Действия > Удалить метод аутентификации.
    Отобразится экран Удаление внешней аутентификации.

  7. Нажмите Удаление метода аутентификации.
    Существующий метод аутентификации теперь удален.