Аутентификация Google (OIDC)

В платформе Ivanti Neurons в настоящее время есть возможность выбора Google в качестве внешнего поставщика аутентификации для вашего Tenant. ПО Google централизует процедуру входа пользователей, уменьшает количество обращений в службу поддержки, связанных с паролем, и имеет полный контроль над политиками и журналами аудита.

Конфигурация и включение внешней аутентификации

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.
    Появится страница Аутентификация.

  1. В разделе Внешняя аутентификация (SSO) нажмите Конфигурация и включение.
    Отобразится страница Включение внешней аутентификации (SSO).

  1. В раскрывающемся списке Поставщик выберите Google.

  2. В раскрывающемся списке Метод входа выберите Подключение OpenID (OIDC).

    Отобразятся настройки конфигурации Google. Рекомендуется оставить эту вкладку открытой для дальнейшего использования во время настройки на консоли Google Cloud.

  1. Выполните вход на консоль Google.

  2. Выберите и нажмите APIs & Services (API и службы) > Credentials (Учетные данные).

  3. В разделе Credentials (Учетные данные) нажмите CREATE CREDENTIALS (Создание учетных данных) > OAuth client ID (ИД клиента OAuth).

  1. В разделе CreateOAuth client ID (Создать ИД клиента Oauth) нажмите CONFIGURE CONSENT SCREEN (Конфигурация экрана согласия).

  2. В разделе OAuth consent screen (Экран согласия Oauth) выберите для User Type (Тип пользователя) значение Internal (Внутренний) и нажмите CREATE (Создать).
    Отобразится страница Edit app registration (Редактирование регистрации приложения).

  3. В диалоге OAuth consent screen (Экран согласия Oauth) введите значения для следующих полей:

    1. Имя приложения и адрес электронной почты службы поддержки пользователей в App information (Информация приложения).

    2. Адреса электронной почты в Developer contact information (Контактная информация разработчика).

  4. Нажмите SAVE AND CONTINUE (Сохранить и продолжить).

  5. В Scopes (Области действия (выберите ADD OR REMOVE SCOPES (Добавить или удалить области действия).

  6. Выберите следующие области действия и нажмите UPDATE (Обновить).

    • ... /auth/userinfo.email

    • ... /auth/userinfo.profile

    • openid

  1. Нажмите SAVE AND CONTINUE (Сохранить и продолжить).

  2. Проверьте информацию в диалоге Summary (Сводка) и нажмите BACK TO DASHBOARD (Вернуться на информационную панель).

  3. Перейдите APIs & Services (API и службы) > Credentials (Учетные данные) > CREATE CREDENTIALS (Создание учетных данных) > OAuth client ID (ИД клиента OAuth).

  4. Выберите Web application (Веб-приложение) из Application type (Тип аутентификации).

  5. Заполните имя приложения в поле Name (Имя).

  6. В Authorized redirect URIs (Авторизованные URI-перенаправления) нажмите ADD URI (Добавить URI).

  7. Скопируйте URI-адрес перенаправления из платформы Neurons и вставьте его в поле URIs 1.

  8. Нажмите Создать.

    Отобразится подтверждение OAuth client created (Клиент OAuth создан).

  1. Скопируйте значения Client ID (ИД клиента) и Client secret (Секрет клиента) со станицы OAuth client created (Клиент OAuth создан) ) и вставьте в соответствующие поля ИД клиента и Значение секрета клиента платформы Neurons.

  2. В поле Издатель платформы Neurons введите https://accounts.google.com и нажмите Продолжить.

Для проверки настроек подключения вы должны выполнить подключение с использованием ваших учетных данных Google.

  1. На странице Проверка настроек подключения нажмите Проверка настроек.
    Проверка выполняется автоматически. В случае успешного входа будет открыт экран подтверждения.

  1. Вернитесь на страницу Проверка настроек подключения и установите параметр для подтверждения успешного входа.

    ПО Google теперь сконфигурировано, но пока не включено. Для включения необходимо преобразовать ваши учетные записи платформы Ivanti Neurons для использования в Google.

  2. Нажмите Продолжить для перехода на страницу Преобразование вашей учетной записи платформы Ivanti Neurons.

  • E2018, ошибка аутентификации: Ошибка аутентификации пользователя в Google. Убедитесь, что
    Корректно указано имя пользователя и пароля, и имеются разрешения у пользователя для регистрации приложения Google.

  • E2019, отсутствуют дополнительные требования: Действие проверки завершилось с ошибкой из-за отсутствия дополнительных требований в маркере, полученном в платформе Ivanti Neurons из Google.

  • E2020, не удалось выполнить привязку к учетной записи пользователя Ivanti Neurons: Имя пользователя Google не соответствует имени пользователя платформы Ivanti Neurons. Адрес электронной почты учетной записи пользователя платформы Ivanti Neurons должен быть идентичен адресу электронной почты, который используется для входа в Google.

  1. На странице Преобразование вашей учетной записи платформы Ivanti Neurons нажмите Выйти и включить. Платформа Ivanti Neurons выполнит выход.

  2. Нажмите Вход с Google для завершения процесса.

  3. Теперь можно увидеть приложение Google в разделе Admin > Аутентификация со статусом Включено.

  4. Нажмите Выход в платформе Neurons.
    Теперь, выполняя повторный вход, вы будете перенаправлены на сайт Google для выбора учетной записи и входа с учетными данными Google.

Конфигурация автоподготовки

Включение автоподготовки автоматически предоставит всем участникам доступ к платформе Ivanti Neurons во время регистрации приложения Google без необходимости выполнения этого процесса после приглашения. Когда новый участник выполнит вход в первый раз, новая учетная запись платформы Ivanti Neurons будет подготовлена в разделе Ivanti Neurons > Участники. Всем новым автоматически подготовленным участникам будут предоставлены роли управления доступом, которые были заданы во время настройки.

  1. В платформе Ivanti Neurons перейдите в Настройка > Аутентификация.
    Появится страница Метод аутентификации.

  1. В разделе Внешняя аутентификация нажмите Действия и выберите Включить автоподготовку.

  1. В раскрывающемся списке Роли по умолчанию выберите роль управления доступом, которую нужно назначить всем новым участникам.
    Для настройки ролей перейдите Ivanti Neurons > Admin > Роли.

  1. Нажмите Включить автоподготовку для подтверждения выбора роли и включения автоподготовки для всех новых участников.

После включения станет доступна возможность редактирования ролей управления доступом по умолчанию и отключения функции автоматической подготовки. Эти изменения будут использоваться только для участников, созданных после выполнения изменений, и не повлияют на уже существующих участников.

Включение функции автоподготовки предоставляет всем пользователям с возможностью регистрации приложений Google доступ к Ivanti Neurons. Вы можете ограничить доступ для определенных пользователей или групп в приложении аутентификации Google.

(Необязательно) Обновление секрета клиента (платформа Ivanti Neurons)

Если срок действия секрета клиента Google близок к завершению, необходимо установить новый секрет для продолжения использования данного метода аутентификации.

  1. В платформе Ivanti Neurons перейдите в Настройка > Аутентификация.,
    Появится страница Аутентификация.

  1. В разделе внешней аутентификации нажмите Действия > Обновить секрет клиента.,
    Появится страница обновления секрета клиента.

  2. Введите новый секрет клиента, полученный в приложении Google, и вставьте его в поле Значение секрета клиента платформы Ivanti Neurons.

  1. Нажмите Продолжить для проверки секрета клиента.

  1. На странице Проверка нового секрета клиента нажмите Проверка секрета клиента.

  2. На странице входа вашей организации будет открыта новая вкладка. Введите свои учетные данные и выполните вход.
    Проверка выполняется автоматически.

    В случае успешной проверки вернитесь в эту программу и продолжите обновление секретов клиентов.
    В случае ошибки проверьте новый введенный секрет клиента. В случае появления других ошибок см. раздел     Устранение ошибок проверки.

  3. Вернитесь на страницу Проверка нового секрета клиента и установите параметр для подтверждения успешного входа.

  4. Нажмите Продолжить для перехода на страницу Сохранение нового секрета клиента.

  5. Нажмите Сохранить изменения для завершения процесса.
    Отобразится оповещение, подтверждающее успешное обновление секрета клиента.

(Необязательно) Удаление метода аутентификации (платформа Ivanti Neurons)

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.
    Появится страница Аутентификация.

  2. В разделе Внешняя аутентификация нажмите Действия > Удаление метода аутентификации.
    Отобразится экран Удаление внешней аутентификации.

  3. Нажмите Выйти и повторить аутентификацию.
    Платформа Ivanti Neurons выполнит выход.

  4. Нажмите Выполнить вход с помощью адреса эл. почты и пароля.

  5. Введите учетные данные и нажмите Вход.

  6. Перейдите Admin > Аутентификация > Внешняя аутентификация, а затем Действия > Удалить метод аутентификации.
    Отобразится экран Удаление внешней аутентификации.

  7. Нажмите Удаление метода аутентификации.
    Существующий метод аутентификации теперь удален.