PingOne 身份验证

用户目前可通过 Ivanti Neurons 选择将 PingOne 作为租户的外部身份验证提供程序。 如果您希望提供集中化的最终用户登录体验,减少因密码相关问题而呼叫帮助中心的次数,并对策略和审计跟踪进行精细控制,那么这是一个很好的选择。

配置并启用外部身份验证

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    随即显示身份验证页面。
  2. 外部身份验证 (SSO) 部分中,点击配置和启用
    随即显示启用外部身份验证 (SSO) 页面。
  3. 提供程序下拉列表中,选择 PingOne
    随即显示 PingOne 配置设置

必须首先在 PingOne 管理员控制台执行一些步骤,才能继续 Ivanti Neurons 配置。

必须首先在 PingOne 管理员控制台执行以下步骤,才能继续 Ivanti Neurons 配置。

  1. 登录 PingOne 管理员控制台
  2. 我的环境 > 管理员中,从侧栏菜单中选择连接
  3. 连接菜单中选择应用程序
    随即显示应用程序页面。
  4. 选择“应用程序”旁的 + 图标,添加新应用程序。
    随即显示新应用程序页面。
  5. 输入应用程序名称,例如 Ivanti Neurons
  6. 应用程序类型部分,选择本机
  7. 选择保存
    随即显示新应用程序页面。
  8. 选择配置选项卡。
  9. 选择编辑
  10. 重定向 URI 中粘贴从“Ivanti Neurons 平台”>“身份验证”页面复制的 URI。
  11. 令牌端点身份验证方法设置为客户端密码投递
  12. 签出 URL 中粘贴从“Ivanti Neurons 平台”>“身份验证”页面复制的 URL。
  13. 选择保存
  14. 选择资源选项卡。
  15. 选择编辑
  16. 添加两个新范围:电子邮件范围和配置文件范围。
  17. 选择保存
  18. 将“新应用程序”切换开关设置为启用,让用户可以访问应用程序。
  19. 启用后,选择配置选项卡,将生成所有路径。 需要复制以下路径,以输入到“Ivanti Neurons 平台外部身份验证配置”中:
    • 发行者
    • 客户端 ID(展开“常规”部分)
    • 客户端密码(展开“常规”部分)

    20. 需要记录或复制发行者客户端 ID客户端密码,供之后在 Ivanti Neurons 平台的后续设置步骤中使用。

PingOne 设置现已完成,可返回 Ivanti Neurons 平台继续设置。

创建 PingOne 应用程序后,您可以继续进行 Ivanti Neurons 平台配置。

  1. 返回 PingOne 配置设置页面(Ivanti Neurons 平台 > 身份验证 > 外部身份验证 (SSO) > 配置并启用
  2. 输入从 PingOne 生成并复制/保存的发行者路径。
  3. 输入从 PingOne 生成并复制/保存的客户端 ID
  4. 输入从 PingOne 生成并复制/保存的客户端密码值
  5. 选择继续即会显示“验证连接设置”页面。

需要使用 PingOne 凭据进行连接,以验证连接设置。

  1. 验证连接设置页面,点击验证设置,通过新选项卡访问贵组织的登录页面,输入 PingOne 凭据并继续登录。 如果您已经登录,则不需要输入凭据,而验证会自动进行,因此,请确保您已登录您要进行身份验证的帐户。
    如果登录成功,您将会收到确认屏幕。

    2. PingOne 用户名必须准确匹配您的 Ivanti Neurons 用户名。

  2. 返回到此选项卡(验证连接设置)。
  3. 选中我确认已成功验证连接设置复选框,确认已成功登录。
  4. 点击继续以继续转换 Ivanti Neurons 平台帐户。 随即显示“启用 Ivanti Neurons 平台帐户”页面。
  • E2018 身份验证失败:用户使用 PingOne 进行身份验证失败。 检查用户名和密码是否正确,以及用户是否具有 PingOne 权限。
  • E2020 无法链接到 Neurons 平台用户帐户:PingOne 用户登录与 Ivanti Neurons 平台用户不匹配。 Ivanti Neurons 平台用户帐户电子邮件地址必须匹配登录 PingOne 时所使用的电子邮件地址。

PingOne 现已配置但未启用。

要进行启用,需要转换 Ivanti Neurons 平台帐户,改为使用 PingOne。

  1. 在“启用 Ivanti Neurons 平台账户”页面,点击注销和启用
    随即显示 Ivanti Neurons 登录页面。
  2. 选择使用 PingOne 登录并输入 PingOne 凭据,然后便可完成转换。
    所有成员将收到确认帐户已转换以及必须使用 PingOne 凭据继续访问租户的电子邮件。 如果成员不具备 PingOne 凭据,则将无法访问 Ivanti Neurons。

外部身份验证 (SSO) 现在将显示为已启用状态。

配置自动配置

启用自动配置将自动向 PingOne 应用程序中的所有成员授予对 Ivanti Neurons 的访问权限,而无需进行手动邀请过程。 新成员首次登录时,将会在 Ivanti Neurons > 成员中配置新 Ivanti Neurons 平台帐户。 自动配置的所有新成员将会被授予设置中所定义的访问控制角色。

  1. 在 Ivanti Neurons 平台中,导航至设置 > 身份验证
    随即显示身份验证方法页面。
  2. 外部身份验证 (SSO) 部分中,点击操作并选择启用自动配置
  3. 默认角色下拉列表中,选择要分配给所有新成员的访问控制角色。
    要设置角色,请转至 Ivanti Neurons > 管理员 > 角色
  4. 点击启用自动配置以确认角色选择,并为所有新成员启用自动配置。

启用后,以下选项将变为可用:编辑默认访问控制角色和禁用自动配置。 任何角色编辑或自动配置禁用将不会影响任何现有自动配置成员,而是仅适用于作出更改后配置的成员。

在启用自动配置之后,有权访问 PingOne 应用程序的任何人都将有权访问 Ivanti Neurons。 可以在 PingOne 应用程序中将访问权限限制为特定用户或组。 有关更多详细信息,请参阅 PingOne 文档。

更新客户端密码

如果要更新 PingOne 客户端密码,则需要设置新密码,才能继续使用此身份验证方法。

  1. 在 Ivanti Neurons 平台中,导航至设置 > 身份验证
  2. 点击操作,然后选择更新客户端密码
    随即显示更新客户端密码页面。
  3. 从 PingOne 应用程序输入新客户端密码
  4. 点击继续
    随即显示验证客户端密码页面。
  5. 点击验证客户端密码,此操作将打开 PingOne 登录页面。
    输入用户名和密码,此凭据将与 Ivanti Neurons 平台的登录凭据相同。 登录时,系统会验证新客户端密码。 如果成功,请返回到此向导,并继续更新客户端密码。 如果不成功,请回来检查您输入的新客户端密码是否准确。 有关其他失败原因,请参阅验证故障排除
  6. 在成功验证新客户端密码之后,请选中我确认已成功验证新客户端密码确认复选框,然后点击继续
  7. 点击保存更改,以完成流程。 此操作会更新客户端密码,立即生效,无需进行任何其他操作。