Entra ID 身份验证

用户目前可通过 Ivanti Neurons 选择将 Entra ID 作为租户的外部身份验证提供程序。 如果您希望提供集中化的最终用户登录体验,减少因密码相关问题而呼叫帮助中心的次数,并对策略和审计跟踪进行精细控制,那么这是一个很好的选择。

要使用 Entra ID,所有成员必须接受 Ivanti 访问其基本 Azure 配置文件数据的请求。

配置并启用外部身份验证

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    随即显示身份验证页面。
  2. 外部身份验证 (SSO) 部分中,点击配置和启用
    随即显示启用外部身份验证 (SSO) 页面。
  3. 提供程序下拉列表中,选择 Entra ID
    随即显示 Entra ID 配置设置

必须首先在 Microsoft Azure 门户执行一些步骤,才能继续 Ivanti Neurons 配置。

必须首先在 Microsoft Azure 门户执行以下步骤,才能继续 Ivanti Neurons 配置。

步骤 A - 创建 Entra ID 应用程序

  1. 以 Office 365 管理员身份登录 Entra ID 管理员中心

如果设置 SSO 的人员不是 Azure 管理员,Azure 管理员需要登录 Azure 并批准用户读取/登录权限应用请求。

  1. 在侧栏菜单中,单击所有服务 > 应用注册
    随即显示应用程序注册仪表板
  2. 点击新注册
  3. 为应用程序输入一个合适的名称,并接受默认支持的帐户类型:仅此组织目录中的帐户
    Microsoft Azure“注册应用程序”屏幕
  4. 输入 Neurons 平台 Entra ID 配置设置中显示的重定向 URI
  5. 单击对话框底部的注册
  6. 将会生成并显示应用程序(客户端)ID

需要记录此应用程序(客户端)ID目录(租户)ID,因为 Ivanti Neurons 的下个设置阶段会需要此信息。

步骤 B - 配置身份验证设置

  1. 从应用程序注册菜单中选择身份验证
  2. 导航至高级设置
  3. 输入 Neurons 平台 Entra ID 配置设置中显示的注销 URL
  4. 隐式授权部分,确保选中 ID 令牌复选框。
    隐式授权和混合流屏幕显示所选 ID 令牌
  5. 单击保存

步骤 C - 创建密码

  1. 在创建的应用程序中,导航至应用程序注册 > 凭据和密钥
  2. 创建新客户端密钥
  3. 添加说明。
  4. 根据公司标准选择过期时间。
  5. 点击添加
  6. 创建值后,必须将其复制到安全的地方,因为只有在此处可以查看密钥。

确保复制的是密码值而不是密码 ID

Entra ID 设置现已完成,可返回 Ivanti Neurons 平台。

密钥使用时间是有限的,因此您的公司应采取适当措施,确保在过期前进行更换,以避免任何 Ivanti Neurons 平台中断。 了解如何更新客户端密码

步骤 D - 令牌配置

请设置令牌配置以便使用自动配置。

  1. 从应用程序注册菜单中选择令牌配置
  2. 选择添加可选声明以打开侧面板。
  3. 对于令牌类型,选择 ID
  4. 声明列表中,选择 emailfamily_namegiven_name。 这样便可获取 Ivanti Neurons 平台新成员的电子邮件、姓氏和名字,使用自动配置时要求进行此操作。
  5. 点击添加

创建 Entra ID 应用程序(客户端)、目录(租户)和密钥后,您可以继续进行 Ivanti Neurons 平台配置。

  1. 返回 Entra ID 配置设置页面(Ivanti Neurons 平台 > 身份验证 > 外部身份验证 (SSO) > 配置并启用)。

  2. 输入 Entra ID 应用程序注册时的目录(租户)ID
  3. 输入 Entra ID 应用程序注册时的应用程序(客户端)ID
  4. 输入生成并保存的客户端密码值
  5. 输入客户端密码过期日期,此日期应该与在创建客户端密码时指定的过期日期相匹配。 有关更多详细信息,请参阅“更新客户端密码”。
  6. 点击继续即会显示“验证连接设置”页面。

您需要连接 Entra ID 凭据来验证连接设置。

  1. 在“验证连接设置”页面,点击验证设置,通过新选项卡访问贵组织的登录页面,输入 Entra ID 凭据并继续登录。 如果您已经登录,则不需要输入凭据,而验证会自动进行,因此,请确保您已登录您要进行身份验证的帐户。
    如果登录成功,您将会收到确认屏幕。

    2. Azure 用户名必须准确匹配您的 Ivanti Neurons 用户名。

  2. 返回到此选项卡(验证连接设置)。
  3. 选中我确认已成功验证连接设置复选框,确认已成功登录。
  4. 点击继续以继续转换 Ivanti Neurons 平台帐户。
    随即显示启用 Ivanti Neurons 平台账户页面。
  • E2018 身份验证失败:用户使用 Entra ID 进行身份验证失败。 检查用户名和密码是否正确,以及用户是否具有 Entra ID 应用程序注册权限。
  • E2019 缺失可选声明:由于 Entra ID 返回给 Ivanti Neurons 平台的令牌中不存在附加可选声明,验证步骤失败。
  • E2020 无法链接到 Neurons 平台用户帐户:Entra ID 用户登录与 Ivanti Neurons 平台用户不匹配。 Ivanti Neurons 平台用户帐户电子邮件地址必须匹配登录 Entra ID 时所使用的电子邮件地址。

Entra ID 现已配置但未启用。

要进行启用,需要转换 Ivanti Neurons 平台帐户,改为使用 Entra ID。

  1. 启用 Ivanti Neurons 平台账户页面,点击注销和启用
    随即显示 Ivanti Neurons 登录页面。
  2. 选择使用 Entra ID 登录并输入 Entra ID 凭据,然后便可完成转换。

    3. 同一用户必须在 Ivanti Neurons 中配置 Entra ID 身份验证,然后登录并验证凭据,以避免“访问拒绝”错误。

所有成员将收到确认帐户已转换以及必须使用 Entra ID 凭据继续访问租户的电子邮件。 如果成员不具备 Entra ID 凭据,则将无法访问 Ivanti Neurons。

外部身份验证 (SSO) 现在将显示为已启用状态。

配置自动配置

启用自动配置将自动向 Entra ID 应用程序注册中的所有成员授予对 Ivanti Neurons 的访问权限,而无需进行手动邀请过程。 新成员首次登录时,将会在 Ivanti Neurons > 成员中配置新 Ivanti Neurons 平台帐户。 自动配置的所有新成员将会被授予设置中所定义的访问控制角色。

  1. 在 Ivanti Neurons 平台中,导航至设置 > 身份验证
    随即显示身份验证方法页面。
  2. 外部身份验证 (SSO) 部分中,点击操作并选择启用自动配置
  3. 默认角色下拉列表中,选择要分配给所有新成员的访问控制角色。
    要设置角色,请转至 Ivanti Neurons > 管理员 > 角色
  4. 点击启用自动配置以确认角色选择,并为所有新成员启用自动配置。

启用后,以下选项将变为可用:编辑默认访问控制角色和禁用自动配置。 任何角色编辑或自动配置禁用将不会影响任何现有自动配置成员,而是仅适用于作出更改后配置的成员。

您必须通过步骤 D - 令牌配置配置可选声明,以使自动配置生效。

重要事项:在启用自动配置之后,有权访问 Entra ID 应用程序注册的任何人都将有权访问 Ivanti Neurons。 您可以从 Entra ID 门户中将访问权限限制为特定用户或组。 有关更多详细信息,请参阅 Microsoft Azure 文档

更新客户端密码

如果 Entra ID 客户端密码即将过期,那么您需要设置新密码,才能继续使用此身份验证方法。

  1. 在 Ivanti Neurons 平台中,导航至设置 > 身份验证
  2. 点击操作,然后选择更新客户端密码
    随即显示更新客户端密码页面。
  3. 从 Entra ID 应用程序输入新客户端密码
  4. 输入日期,以便在客户端密码即将过期时接收提醒。 在到期日期之前 28 天,将在 UI 中显示提醒横幅,并向具有管理员角色的用户发送电子邮件提醒。 在到期日期之前 7 天和 1 天,将再次发送电子邮件提醒。
    如果客户端密码过期,并且未设置新密码,则对服务的访问权限将被终止,需要联系 Ivanti 支持部门重新获取访问权限。
  5. 点击继续
    随即显示验证客户端密码页面。
  6. 点击验证客户端密码,此操作将打开 Entra ID 登录页面。
    输入用户名和密码,此凭据将与 Ivanti Neurons 平台的登录凭据相同。 登录时,系统会验证新客户端密码。 如果成功,请返回到此向导,并继续更新客户端密码。 如果不成功,请回来检查您输入的新客户端密码是否准确。 有关其他失败原因,请参阅验证故障排除
  7. 在成功验证新客户端密码之后,请选中我确认已成功验证新客户端密码确认复选框,然后点击继续
  8. 点击保存更改,以完成流程。 此操作会更新客户端密码和过期提醒,立即生效,您无需进行任何其他操作。