ADFS 身份验证 (SAML)

用户目前可通过 Ivanti Neurons 选择将 ADFS (Active Directory Federation Services) 作为租户的外部身份验证提供者。 ADFS 身份验证是一个单点登录 (SSO)系统,使用户能够使用安全令牌通过一次登录安全地访问不同域中的应用程序和资源。 这简化了用户体验,通过减少密码重复使用提高了安全性,并简化了组织的身份管理。

ADFS 身份验证仅支持基于 SAML 的登录方法。

配置和启用外部身份验证

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证

    随即显示身份验证页面。

  2. 外部身份验证 (SSO) 部分中,点击配置和启用

    启用外部身份验证 (SSO) 页面随即显示。

  3. 从提供者下拉列表中,选择 ADFS

    出现 ADFS SAML 2.0 配置设置页面。 建议在 ADFS Service Manager 控制台中配置详细信息时,让此标签页保持打开状态,以供后续参考。

  4. 在 ADFS SAML 2.0 配置设置部分,您可以选择以下选项:

    • 启用签名请求:启用此选项可将数字签名请求发送到外部身份验证提供者,并配置提供者以验证签名请求是否来自 Ivanti Neurons 租户。 或者,您可以禁用此选项以停止发送已签名的请求。

    • 启用加密断言:启用此选项以从外部身份验证提供者接收加密的用户信息,您可以配置 Neurons 租户来解密信息。 或者,您可以禁用此选项以停止接收加密的用户信息。

  5. 点击应用更改
    应用更改后,您可以下载基于 SAML 的 SSO 系统的身份信息,例如服务提供者元数据和证书,如下所示:

    • 下载 SP 元数据:点击此选项可下载服务提供者元数据以及 XML 格式的证书。

    • 仅下载证书:点击此选项仅下载证书(.pem 格式)。

  1. 登录 ADFS Service Manager 控制台。
    仪表板出现。

  2. 从 Service Manager 的仪表板,转至 工具 > AD FS 管理
    此时将显示 AD FS 管理向导。

  3. 在操作部分,展开 AD FS 并选择 添加依赖方信任选项。

    随即显示 添加依赖方信任向导,其中包含执行配置的多个步骤。

  4. 欢迎步骤中,选择声明感知选项,然后点击开始

  5. 选择数据源步骤中,选择手动输入有关依赖方信任的数据。 然后,点击下一步

  6. 指定显示名称步骤,输入依赖方信任的名称。 然后,点击下一步

  7. 配置证书步骤中,您可以上传从 Ivanti Neurons 下载的加密证书(.cer 格式)。
    要上传加密证书,请点击浏览。 这将配置 ADFS 的加密的断言。 然后,点击下一步

    有关下载证书的更多信息,请参阅 配置和启用外部身份验证(Ivanti Neurons 平台)部分的步骤。

  1. 配置 URL 步骤中,选择启用对 SAML 2.0 WebSSO 协议选项的支持,然后从 Neurons 平台 复制粘贴服务 URL。 然后,点击下一步

    对于服务 URL,请返回 Ivanti Neurons 并从 ADFS SAML 2.0 配置设置部分复制 断言消费者服务 URL

  2. 配置标识符步骤中,输入依赖方信任标识符,然后点击 添加。 然后,点击下一步

    对于依赖方信任标识符,请返回 Ivanti Neurons,并在 ADFS SAML 2.0 配置设置部分 下复制 Entity ID

  1. 选择访问控制策略步骤中,根据您的组织要求,在选择访问控制策略部分下选择策略。 然后,点击下一步完成设置。

    这将关闭添加依赖方信任向导并创建依赖方信任配置。

  1. AD FS 管理向导上,选择依赖方信任文件夹。
    这将显示您创建的依赖方信任配置。

  2. 双击您创建的依赖方信任配置,然后导航到签名选项卡。

  3. 点击添加以浏览并上传签名验证证书。

    有关下载证书的更多信息,请参阅 配置和启用外部身份验证(Ivanti Neurons 平台)部分的步骤。

确保 ADFS 配置包括适用于 Ivanti Neurons 的所需声明。

  1. AD FS 管理向导中,点击操作部分下的编辑声明发放策略选项。

    针对您创建的选定依赖方信任配置的编辑声明发放策略向导。

  2. 点击添加规则

    随即显示添加转换声明规则向导,其中包含配置步骤。

  3. 选择规则类型步骤,选择发送 LDAP 属性作为声明选项,然后点击下一步

  4. 配置声明规则步骤中,输入声明名称,选择属性存储,并执行 LDAP 属性所需的映射。

    确保配置了以下映射:

    • 电子邮件地址 -> 电子邮件地址

    • 名字 -> 名字

    • 姓氏 -> 姓氏

    • 电子邮件地址 -> 姓名 ID

  5. 然后,点击完成
    将显示编辑声明签发政策向导。

  6. 点击应用

ADFS 配置完成后,您必须在 Ivanti Neurons 应用程序中应用身份提供者元数据端点 URL。

  1. 识别并复制 ADFS 提供者的元数据 URL。

    ADFS 提供者的 IdP 元数据 URL 将采用以下格式:
    https://<adfs-federation-service-name>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. 返回 Ivanti Neurons 平台 并将 URL 粘贴到身份提供者元数据端点 URL 字段中。
    这将验证 URL。

  3. 点击继续以继续。

必须使用 ADFS 服务器进行连接,以验证连接设置。

  1. 验证连接设置页面上,点击验证设置

    验证会自动进行。 如果登录成功,系统会显示确认屏幕。

  2. 返回验证连接设置页面,然后选中复选框以确认登录成功。

  3. 点击继续以继续在转换 Ivanti Neurons 平台账户页面上执行后续操作。

ADFS 现已配置但未启用。

要进行启用,需要转换 Ivanti Neurons 平台帐户,改为使用 ADFS。

  1. 启用 Ivanti Neurons 平台账户页面,点击注销和启用
    随即显示 Ivanti Neurons 登录页面。
  2. 选择使用 ADFS 登录并输入 ADFS 凭据,然后便可完成转换。
    要进行验证,请登录 Neurons,转到管理员 > 身份验证,然后查看 ADFS 是否为外部身份验证提供程序。

    3. 同一用户必须在 Ivanti Neurons 中配置 ADFS 身份验证,然后登录并验证凭据,以避免“访问拒绝”错误。

所有成员将收到确认帐户已转换以及必须使用 ADFS 凭据继续访问租户的电子邮件。 如果成员不具备 ADFS 凭据,则将无法访问 Ivanti Neurons。

外部身份验证 (SSO) 现在将显示为已启用状态。

配置自动配置

启用自动配置将自动向 ADFS 注册中的所有成员授予对 Ivanti Neurons 的访问权限,而无需进行手动邀请过程。 新成员首次登录时,将会在 Ivanti Neurons > 成员中配置新 Ivanti Neurons 平台帐户。 自动配置的所有新成员都会被授予设置中所定义的访问控制角色。

  1. 在 Ivanti Neurons 平台中,导航至设置 > 身份验证

    随即显示身份验证方法页面。

  2. 外部身份验证部分中,点击操作并选择启用自动配置

  3. 默认角色下拉列表中,选择要分配给所有新成员的访问控制角色。

    要设置角色,请转至 Ivanti Neurons > 管理员 > 角色

  4. 点击启用自动配置以确认角色选择,并为所有新成员启用自动配置。

启用后,用户可以编辑默认访问控制角色和禁用自动配置。 这些更改将仅应用于修改后配置的成员,不会影响现有成员。

(可选)更新提供者设置(Ivanti Neurons 平台)

此操作允许您选择是使用已签名的请求、加密的断言,还是同时使用两者。

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证

    随即显示身份验证页面。

  2. 外部身份验证部分中,点击操作 > 更新提供者设置

    出现更新 SAML 提供程序页面。

  3. ADFS 配置设置 中,您可以选择以下选项:

    • 启用签名请求:启用此选项可将数字签名请求发送到外部身份验证提供者,并配置提供者以验证签名请求是否来自 Ivanti Neurons 租户。 或者,您可以禁用此选项以停止发送已签名的请求。

    • 启用加密断言:启用此选项以从外部身份验证提供者接收加密的用户信息,您可以配置 Neurons 租户来解密信息。 或者,您可以禁用此选项以停止接收加密的用户信息。

  4. 点击应用更改

    现在,您可以根据需要下载更新的服务提供者元数据文件和证书。

    下载更新的加密证书后,请确保新证书已上传至 ADFS 系统管理器。 要上传证书,请参阅ADFS 设置(服务器管理器控制台)部分。

  5. 点击继续以验证元数据。

  6. 验证 SAML 提供者设置页面上,点击验证设置

  7. 组织的登录页面上随即打开一个新选项卡。 输入凭据并登录。

    验证会自动进行。 如果登录成功,系统会显示确认屏幕。

  8. 返回验证新提供者设置页面,然后选中复选框以确认登录成功。

  9. 点击继续以继续。

  10. 点击保存更改以完成流程。

    随即收到确认已成功更新客户端密码的通知。

(可选)更新证书(Ivanti Neurons 平台)

您可以使用此选项更新过期的证书或在证书即将过期时更新。

续订功能旨在于低使用情况时间内使用。 一旦 Neurons 更新证书,它立即开始使用它。 这将导致身份提供程序的身份验证事件失败,直到 IdP 更新以预期新证书。 请相应地进行规划,并确保在您的 IdP 软件中进行协调更改。

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    随即显示身份验证页面。

  2. 外部身份验证部分中,点击操作 > 更新证书
    出现更新证书屏幕。

  3. 点击继续
    出现更新选项卡。

  4. 更新选项卡上,您可以下载服务提供者元数据和证书。

    下载加密证书后,请确保在验证之前将新证书上传到身份提供者控制台。

  5. 点击继续转到验证新证书页面。

  6. 点击验证证书
    验证会自动进行。 如果登录成功,系统会显示确认屏幕。

  7. 返回验证连接设置页面,然后选中复选框以确认登录。

  8. 点击继续
    此时将显示保存新证书页面。

  9. 点击保存更改

(可选)下载 SP 元数据或证书(Ivanti Neurons 平台)

如果由于问题或错误而必须重新进行 ADFS 的外部身份验证设置,则需要证书或 SP 元数据。 这些操作可从 Ivanti Neurons 的操作下拉列表下载,如下所示:

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证

    随即显示身份验证页面。

  2. 外部身份验证 (SSO) 部分中,点击操作。 从下拉列表中,您可以点击以下内容:

    • 下载 SP 元数据:点击此选项可下载服务提供者元数据以及 XML 格式的证书。

    • 仅下载证书:点击此选项仅下载证书(.pem 格式)。

    SP 元数据文件将具有上次保存的提供者配置设置版本,并且证书将是上次活动证书。

(可选)删除身份验证方法(Ivanti Neurons 平台)

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证

    随即显示身份验证页面。

  2. 外部身份验证 (SSO) 部分中,点击操作 > 删除身份验证方法

    删除外部身份验证屏幕随即显示。

  3. 点击注销和重新进行身份验证

    Ivanti Neurons 是否已注销。

  4. 点击使用电子邮件和密码登录

  5. 输入凭据并点击登录

  6. 导航至管理员 > 身份验证 > 外部身份验证,然后点击操作 > 删除身份验证方法

    删除外部身份验证屏幕随即显示。

  7. 点击删除身份验证方法

    现有身份验证方法现已删除。