Другая аутентификация (SAML)

Ivanti Neurons имеет возможность выбора другой аутентифкации (провайдер идентификации) в качестве внешнего поставщика аутентификации для вашего Tenant. В дополнение к существующим методам аутентификации вы можете использовать другие аутентификации Iв качестве систем единого входа (SSO), которые позволяют пользователям безопасно получать доступ к приложениям и ресурсам в разных доменах с помощью единого входа с использованием маркеров безопасности. Это упрощает работу пользователей, повышает безопасность за счет сокращения повторного использования паролей и упрощает управление идентификационными данными организаций.

Другая аутентификация поддерживает только метод входа на основе SAML.

Конфигурация и включение внешней аутентификации

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.

    Появится страница Аутентификация.

  2. В разделе внешней аутентификации (SSO) нажмите Конфигурация и включение.

    Отобразится страница Включение внешней аутентификации (SSO).

  3. В раскрывающемся списке поставщиков выберите Другая аутентификация.

    Появятся другие настройки конфигурации другой аутентифкации SAML 2.0. Рекомендуется оставить эту вкладку открытой для дальнейшего использования во время настройки информации на консоли поставщика идентификации.

  4. В разделе настроек конфигурации другой аутентификации SAML 2.0» можно выбрать следующие параметры:

    • Включить подписанные запросы: включите этот параметр, чтобы отправлять подписанные цифровым способом запросы внешнему поставщику аутентификации и конфигурировать поставщика так, чтобы он проверял, получены ли подписанные запросы от Tenant Ivanti Neurons. Кроме того, вы можете отключить этот параметр, чтобы прекратить отправку подписанных запросов.

    • Включить зашифрованные утверждения: включите этот параметр для получения зашифрованной информации о пользователе от внешнего поставщика аутентификации, и вы можете настроить Tenant Neurons для расшифровки информации. В качестве альтернативы вы можете отключить этот параметр, чтобы прекратить получение зашифрованной информации о пользователе.

  5. Щелкните Применить изменения.
    После внесения изменений вы можете загрузить идентификационную информацию, такую как метаданные и сертификат поставщика услуг, для системы единого входа на основе SAML, как указано ниже:

    • Загрузить метаданные SP: щелкните этот параметр, чтобы загрузить метаданные поставщика услуг вместе с сертификатом в формате XML.

    • Загрузить только сертификат: щелкните этот параметр, чтобы загрузить только сертификат (в формате .pem).

  1. Войдите на консоль поставщика IdP.

  2. Создайте новую конфигурацию на основе SAML, которая позволит вам интегрировать систему SSO с Ivanti Neurons.

  3. При необходимости введите сведения о поставщике услуг, такие как Entity ID и URL-адрес службы утверждения. Эту информацию можно найти на странице конфигурации SSO в Ivanti Neurons.

    Для получения дополнительной информации о загрузке сертификата см. действия в разделе Настройка и включение внешней аутентификации (платформа Ivanti Neurons).

  4. Затем загрузите сертификат, загруженный из Ivanti Neurons (в формате .cer), в соответствующий раздел на консоли поставщика аутентифкации, чтобы включить подписанные запросы и/или зашифрованные утверждения. Один и тот же сертификат должен использоваться как для подписанных запросов, так и для зашифрованных утверждений.

  5. Загрузите файл метаданных SAML (в формате XML) с портала поставщика аутентификации.

Чтобы загрузить загруженный файл метаданных от поставщика идентификации, выполните следующие действия:

  2. Вернитесь в Ivanti Neurons.

  3. В разделе Настройки конфигурации другой аутентификации SAML 2.0 щелкните Выбрать файл.

  4. Найдите загруженный файл метаданных SAML (в формате XML) и нажмите Загрузить.

  5. Затем нажмите Продолжить.

Для проверки настроек подключения необходимо подключиться к поставщику.

  1. На странице Проверка настроек подключения нажмите Проверка настроек.

    Проверка выполняется автоматически. В случае успешного входа будет открыт экран подтверждения.

    Убедитесь, что параметр Включить подписанные запросы и/или зашифрованные утверждения, включенный на консоли поставщика, соответствует Tenant Neurons. Если активированные параметры не совпадают, проверка завершится с ошибкой.

  2. Вернитесь на страницу Проверка настроек подключения и установите параметр для подтверждения входа.

    Теперь другая аутентификация сконфигурирована.

  3. Нажмите Продолжить для перехода на страницу Преобразование вашей учетной записи платформы Ivanti Neurons.

Другая аутентификация сконфигурирована, но не включена.

Для включения необходимо преобразовать ваши учетные записи платформы Ivanti Neurons для использования другого типа аутентификации.

  1. На странице "Включение учетных записей платформы Ivanti Neurons" нажмите Выйти и включить.
    Появится страница Вход Ivanti Neurons.
  2. Выберите Войти с другим IdP и введите свои учетные данные поставщика, после чего преобразование будет завершено.
    Для подтверждения выполните вход в платформу Neurons, перейдите Admin > Аутентификация и убедитесь, что Другой тип аутентификации - это поставщик внешней аутентификации.

    3. Этот же пользователь должен сконфигурировать, выполнить вход в программу другого типа аутентификации и проверить учетные данные в платформе Ivanti Neurons для предотвращения ошибки запрета доступа.

Все участники получат электронные письма, подтверждающие, что учетные записи была преобразованы, и они должны получить доступ к Tenant с учетными данными другого типа аутентификации. Если у участника нет учетных данных другого типа аутентификации, он не сможет выполнить вход в Ivanti Neurons.

Для внешней аутентификации (SSO) теперь будет отображен статус Включено.

Конфигурация автоподготовки

Включение автоподготовки автоматически предоставит всем участникам доступ к платформе Ivanti Neurons во время регистрации приложения другого типа аутентификации без необходимости выполнения этого процесса после приглашения. Когда новый участник выполнит вход в первый раз, новая учетная запись платформы Ivanti Neurons будет подготовлена в разделе Ivanti Neurons > Участники. Всем новым автоматически подготовленным участникам будут предоставлены роли управления доступом, которые были заданы во время настройки.

  1. В платформе Ivanti Neurons перейдите в Настройка > Аутентификация.

    Появится страница Метод аутентификации.

  2. В разделе Внешняя аутентификация нажмите Действия и выберите Включить автоподготовку.

  3. В раскрывающемся списке Роли по умолчанию выберите роль управления доступом, которую нужно назначить всем новым участникам.

    Для правильной настройки ролей перейдите Ivanti Neurons > Admin > Роли.

  4. Нажмите Включить автоподготовку для подтверждения выбора роли и включения автоподготовки для всех новых участников.

После включения станет доступна возможность редактирования ролей управления доступом по умолчанию и отключения функции автоматической подготовки. Эти изменения будут использоваться только для участников, созданных после выполнения изменений, и не повлияют на уже существующих участников.

(Необязательно)Обновление метаданных типа аутентификации (платформа Ivanti Neurons)

  1. В платформе Ivanti Neurons перейдите Admin > Аутентификация.
    Появится страница Аутентификация.

  2. В разделе Внешняя аутентификация нажмите Действия >Обновить метаданные типа аутентификации.
    Появится экран обновления метаданных SAML.

  3. В настройках конфигурации другой аутентифкации щелкните Выбрать файл.

  4. Откройте загруженный файл метаданных и нажмите Загрузить.

  5. Нажмите Продолжить для проверки настроек.

  6. На странице Проверка новых метаданных SAML нажмите Проверка метаданных SAML.

  7. На странице входа вашей организации будет открыта новая вкладка. Введите свои учетные данные и выполните вход.
    Проверка выполняется автоматически. В случае успешного входа будет открыт экран подтверждения.

  8. Вернитесь на страницу Проверка новых метаданных SAML и установите параметр для подтверждения успешного входа.

  9. Нажмите Продолжить для перехода на страницу Сохранение новых метаданных SAML.

  10. Нажмите Сохранить изменения для завершения процесса.
    Отобразится оповещение, подтверждающее успешное обновление метаданных.

(Необязательно) Обновление настроек поставщика (платформа Ivanti Neurons)

  1. В платформе Ivanti Neurons перейдите Admin > Аутентификация.

    Появится страница Аутентификация.

  2. В разделе Внешняя аутентификация выберите Действия > Обновить настройку поставщика.

    Появится страница Обновить поставщика SAML.

  3. В настройках конфигурации другой аутентификации можно выбрать следующие параметры:

    • Включить подписанные запросы: включите этот параметр, чтобы отправить подписанные цифровым способом запросы внешнему поставщику аутентификации и настроить поставщика для проверки того, получены ли подписанные запросы от Tenant Ivanti Neurons. Кроме того, вы можете отключить этот параметр, чтобы прекратить отправку подписанных запросов.

    • Включить зашифрованные утверждения: включите этот параметр, чтобы получить зашифрованную информацию о пользователе от внешнего поставщика аутентификации, и вы можете настроить Tenant Neurons на расшифровку информации. В качестве альтернативы вы можете отключить этот параметр, чтобы прекратить получение зашифрованной информации о пользователе.

  4. Щелкните Применить изменения.

    Теперь вы можете загрузить обновленный файл метаданных и сертификат поставщика услуг в соответствии с вашими требованиями.

  5. Нажмите Продолжить для проверки метаданных.

  6. На странице Проверка настроек поставщика SAML нажмите Проверить настройку.

  7. На странице входа вашей организации будет открыта новая вкладка. Введите свои учетные данные и выполните вход.

    Проверка выполняется автоматически. В случае успешного входа будет открыт экран подтверждения.

  8. Вернитесь на страницу Проверка настроек нового поставщика и установите флажок, чтобы подтвердить успешный вход.

  9. Нажмите Продолжить.

  10. Нажмите Сохранить изменения для завершения процесса.

    Отобразится оповещение, подтверждающее успешное обновление.

(Необязательно) Обновление сертификата (платформа Ivanti Neurons)

Этот параметр можно использовать для обновления сертификата с истекшим сроком действия или в случае приближения завершения срока действия сертификата.

Функция обновления предназначена для использования в часы низкой нагрузки. После обновления сертификата Neurons начинает использовать его немедленно. Это приведет к ошибке проверки у поставщика идентификации, пока он не будет обновлен для ожидания нового сертификата. Спланируйте соответствующим образом и убедитесь, что в вашем программном обеспечении другой аутентификации происходят скоординированные изменения.

  1. В платформе Ivanti Neurons перейдите Admin > Аутентификация.
    Появится страница Аутентификация.

  2. В разделе Внешняя аутентификация нажмите Действия > Обновить сертификат.
    Появится экран Обновить сертификат.

  3. Нажмите Продолжить.
    Появится вкладка Обновить.

  4. На вкладке Обновить можно загрузить метаданные и сертификат поставщика услуг.

    После загрузки зашифрованного сертификата перед проверкой убедитесь, что новый сертификат загружен на консоль поставщика идентификации.

  5. Нажмите Продолжить, чтобы перейти на страницу Проверка нового сертификата.

  6. Щелкните Проверить сертификат.
    Проверка выполняется автоматически. В случае успешного входа будет открыт экран подтверждения.

  7. Вернитесь на страницу Проверка настроек подключения и установите параметр для подтверждения входа.

  8. Нажмите Продолжить.
    Откроется страница Сохранить новый сертификат.

  9. Щелкните Сохранить изменения.

(Необязательно) Загрузка метаданных или сертификата SP (платформа Ivanti Neurons)

Если настройка внешней аутентификации для другого поставщика должна быть повторно выполнена из-за проблем или ошибок, для нее потребуется либо сертификат, либо метаданные SP. Их можно загрузить из выпадающего списка действий с Ivanti Neurons, как показано ниже:

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.

    Появится страница Аутентификация.

  2. В разделе Внешняя аутентификация (SSO) щелкните Действия. В раскрывающемся списке можно щелкнуть следующие кнопки:

    • Загрузить метаданные SP: щелкните этот параметр, чтобы загрузить метаданные поставщика услуг вместе с сертификатом в формате XML.

    • Загрузить только сертификат: щелкните этот параметр, чтобы загрузить только сертификат (в формате .pem).

    Файл метаданных SP будет иметь последнюю сохраненную версию настроек конфигурации поставщика, а сертификат будет последним активным сертификатом.

(Необязательно) Удаление метода аутентификации (платформа Ivanti Neurons)

  1. В платформе Ivanti Neurons перейдите в Admin > Аутентификация.

    Появится страница Аутентификация.

  2. В разделе Внешняя аутентификация (SSO) нажмите Действия > Удаление метода аутентификации.

    Отобразится экран Удаление внешней аутентификации.

  3. Нажмите Выйти и повторить аутентификацию.

    Платформа Ivanti Neurons выполнит выход.

  4. Нажмите Выполнить вход с помощью адреса эл. почты и пароля.

  5. Введите учетные данные и нажмите Вход.

  6. Перейдите Admin > Аутентификация > Внешняя аутентификация, а затем Действия > Удалить метод аутентификации.

    Отобразится экран Удаление внешней аутентификации.

  7. Нажмите Удаление метода аутентификации.

    Существующий метод аутентификации теперь удален.