Okta 身份验证 (OIDC)

用户目前可通过 Ivanti Neurons 选择将 Okta 作为租户的外部身份验证提供程序。 Okta 可以提供集中化的最终用户登录体验,减少因密码相关问题而呼叫帮助中心的次数,并对策略和审计跟踪进行精细控制。

配置并启用外部身份验证

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    随即显示身份验证页面。
  2. 在“外部身份验证 (SSO)”部分中,点击配置和启用
    随即显示启用外部身份验证 (SSO) 页面。
  3. 提供程序下拉列表中,选择 Okta
    随即显示 Okta 配置设置。 建议在 Okta 控制台中配置详细信息时,让此标签页保持打开状态,以供后续参考。
  1. 登录 Okta。
  2. 选择应用程序 > 应用程序
    随即显示应用程序仪表板。
  3. 选择浏览应用程序目录
    随即显示浏览应用程序集成目录
  4. 搜索 Ivanti Neurons,然后选择它。
  5. 选择添加集成
    随即显示添加 Ivanti Neurons 页面。
  6. 默认应用程序标签是 Ivanti Neurons,可视需要进行更改。 选择完成
    随即显示分配页面。
  7. 分配页面可用于指定允许访问 Ivanti Neurons 应用程序的用户,可以将访问权限分配给个人或组。
    选择分配给人员分配给组

    务必将其分配给设置集成的人员,他们需要权限才能访问应用程序。

  8. 搜索并选择要为其分配应用的人员或组。
  9. 选择分配
  10. 为所有必要人员或组分配完后,选择完成
  11. 选择登录选项卡。
  12. 选择编辑
  13. 基本 URL 中粘贴从 Ivanti Neurons 平台 > 身份验证页面复制的 URL。
  14. 选择保存。 集成创建成功。
  15. 随即生成并显示客户端 ID客户端密码

    16. 需要记录客户端 ID客户端密码,供之后在 Ivanti Neurons 平台的后续设置步骤使用。

仅支持 SP 启动的 SSO。

  1. 以“管理员”身份登录 Okta
  2. 展开应用程序下拉列表,点击应用程序
  3. 点击浏览应用程序目录
  4. 搜索书签应用程序,从结果列表中选中它,然后点击添加
  5. 输入应用程序标签,其将成为显示名称。 例如,Ivanti Neurons <Company Name> Neurons 租户
  6. 将用于直接链接的 URL 复制到 URL 字段中。 这应该是您尝试连接的 Neurons 租户的 URL。
  7. 单击保存
  8. 分配用户进行测试。

Okta 设置现已完成,可返回 Ivanti Neurons 平台继续设置。

创建 Okta 应用程序后,您可以继续进行 Ivanti Neurons 平台配置。

  1. 返回 Okta 配置设置页面(Ivanti Neurons 平台 > 身份验证 > 外部身份验证 (SSO) > 配置并启用
  2. 在 Okta 右上角的用户配置文件下拉菜单中输入 Okta 域
  3. 身份验证服务器 ID 留空。 如果使用的是自定义身份验证服务器,则只需要指定租户详细信息。 有关详细信息,请参阅 Okta 应用设置 - 自定义身份验证服务器
  4. 输入在 Okta 应用程序集成中生成和保存的客户端 ID
  5. 输入在 Okta 应用程序集成中生成和保存的客户端密码值
  6. 选择继续即会显示“验证连接设置”页面。

需要使用 Okta 凭据进行连接,以验证连接设置。

  1. 验证连接设置页面,点击验证设置,通过新选项卡访问贵组织的登录页面,输入 Okta 凭据并继续登录。 如果您已经登录,则不需要输入凭据,而验证会自动进行,因此,请确保您已登录您要进行身份验证的帐户。
    如果登录成功,您将会收到确认屏幕。

    2. Okta 用户名必须准确匹配您的 Ivanti Neurons 用户名。

  2. 返回到此选项卡(验证连接设置)。
  3. 选中我确认已成功验证连接设置复选框,确认已成功登录。
  4. 点击继续以继续转换 Ivanti Neurons 平台帐户。 随即显示“启用 Ivanti Neurons 平台帐户”页面。
  • E2018 身份验证失败:用户使用 Okta 进行身份验证失败。 检查用户名和密码是否正确,以及用户是否具有 Okta 应用程序注册权限。
  • E2020 无法链接到 Neurons 平台用户帐户:Okta 用户登录与 Ivanti Neurons 平台用户不匹配。 Ivanti Neurons 平台用户帐户电子邮件地址必须匹配登录 Okta 时所使用的电子邮件地址。

Okta 现已配置但未启用。

要进行启用,需要转换 Ivanti Neurons 平台帐户,改为使用 Okta。

  1. 启用 Ivanti Neurons 平台账户页面,点击注销和启用
    随即显示 Ivanti Neurons 登录页面。
  2. 选择使用 Okta 登录并输入 Okta 凭据,然后便可完成转换。
    所有成员将收到确认帐户已转换以及必须使用 Okta 凭据继续访问租户的电子邮件。 如果成员不具备 Okta 凭据,则将无法访问 Ivanti Neurons。

外部身份验证 (SSO) 现在将显示为已启用状态。

  1. 登录 Okta
  2. 在侧栏菜单中,选择应用程序 > 应用程序
    随即显示应用程序仪表板
  3. 选择创建应用程序集成
    随即显示创建新应用程序集成页面。
  4. 选择登录方法 OIDC - OpenID Connect
  5. 选择应用程序类型 Web 应用程序
  6. 点击下一步
    随即显示新 Web 应用程序集成页面。
  7. 应用程序集成名称中为应用程序命名。
  8. 对于授权类型,请选择隐式(混合)。
  9. 输入登录重定向 URI,附加基本 URL(如 Ivanti Neurons 平台 Okta 配置设置中所显示)和 /signin-okta
  10. 输入注销重定向 URI,附加基本 URL(如 Ivanti Neurons 平台 Okta 配置设置中所显示)和 /signout-okta
  11. 分配中,选择所需的访问控制级别。
  12. 选择保存。 应用程序创建成功。
  13. 随即生成并显示客户端 ID客户端密码

    14. 需要记录客户端 ID客户端密码,供之后在 Ivanti Neurons 平台的后续设置步骤使用。

Okta 设置现已完成,可返回 Ivanti Neurons 平台。

配置自动配置

启用自动配置将自动向 Okta 应用程序中的所有成员授予对 Ivanti Neurons 的访问权限,而无需进行手动邀请过程。 新成员首次登录时,将会在 Ivanti Neurons > 成员中配置新 Ivanti Neurons 平台帐户。 自动配置的所有新成员将会被授予设置中所定义的访问控制角色。

  1. 在 Ivanti Neurons 平台中,导航至设置 > 身份验证
    随即显示身份验证方法页面。
  2. 外部身份验证 (SSO) 部分中,点击操作并选择启用自动配置
  3. 默认角色下拉列表中,选择要分配给所有新成员的访问控制角色。
    要设置角色,请转至 Ivanti Neurons > 管理员 > 角色
  4. 点击启用自动配置以确认角色选择,并为所有新成员启用自动配置。

启用后,用户可以编辑默认访问控制角色和禁用自动配置。 这些更改将仅应用于修改后配置的成员,不会影响现有成员。

启用自动配置将授予所有 Okta 应用程序注册用户访问 Ivanti Neurons 的权限。 可以在 Okta 应用程序中将访问权限限制为特定用户或组。

更新客户端密码

如果要更新 Okta 客户端密码,则需要设置新密码,才能继续使用此身份验证方法。

  1. 在 Ivanti Neurons 平台中,导航至设置 > 身份验证
  2. 点击操作,然后选择更新客户端密码
    随即显示更新客户端密码页面。
  3. 从 Okta 应用程序输入新客户端密码。
  4. 点击继续
    随即显示验证客户端密码页面。
  5. 点击验证客户端密码,此操作将打开 Okta 登录页面。
    输入用户名和密码,此凭据将与 Ivanti Neurons 平台的登录凭据相同。 登录时,系统会验证新客户端密码。 如果成功,请返回到此向导,并继续更新客户端密码。 如果不成功,请回来检查您输入的新客户端密码是否准确。 有关其他失败原因,请参阅验证故障排除
  6. 在成功验证新客户端密码之后,请选中我确认已成功验证新客户端密码确认复选框,然后点击继续
  7. 点击保存更改,以完成流程。 此操作会更新客户端密码,立即生效,无需进行任何其他操作。