PingFederate 身份验证 (OIDC)

用户目前可通过 Ivanti Neurons 选择将 PingFederate 作为租户的外部身份验证提供程序。 PingFederate 可以提供集中化的最终用户登录体验,减少因密码相关问题而呼叫帮助中心的次数,并对策略和审计跟踪进行精细控制。

配置并启用外部身份验证

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    身份验证页面随即显示。

  2. 外部身份验证 (SSO) 部分中,点击配置和启用
    启用外部身份验证 (SSO) 页面随即显示。

  3. 提供程序下拉列表中,选择 PingFederate

  4. 登录方法下拉列表中,选择 OpenId Connect (OIDC)

    PingFederate 配置设置随即显示。
    建议在 PingFederate 管理员控制台中配置详细信息时,让此标签页保持打开状态,以供后续参考。

  1. 登录 PingFederate 控制台

  2. 应用程序中,选择 OAuth

  3. 点击添加客户端

  4. 客户端中,更新客户端配置和策略信息,具体如下:

    1. 客户端 ID:输入所选的唯一客户端 ID。 复制此客户端 ID 并将其粘贴到已打开的 Ivanti Neurons 标签页的客户端 ID 字段中。

    2. 名称:与客户端 ID 相同。

    3. 客户端身份验证:选择客户端密码

    4. 客户端密码:选择更改密码,然点击生成密码

    5. 复制客户端密码值并将其粘贴到已打开的 Ivanti Neurons 标签页的客户端密码值字段中。

    6. 重定向 URI:从 Neurons 平台复制重定向 URI 并将其粘贴到 PingFederate 管理员门户中的重定向 URI 字段。

    7. 点击添加

    8. 允许的授予类型:选择授权代码隐式

    9. 默认访问令牌管理器:选择 IvantiTestToken

    10. OPENID CONNECT:从 Neurons 平台复制注销 URI 并将其粘贴到 PingFederate 凭据门户上的注销后重定向 URI 字段中,然后点击添加

    11. 单击保存

  5. 系统中,选择服务器 > 协议设置 > 联合信息,复制基本 URL 并将其粘贴到已打开的 Ivanti Neurons 标签页的发行者字段中。

  6. 在 Ivanti Neurons 标签页上点击继续以验证设置。

必须使用 PingFederate 凭据进行连接,以验证连接设置。

  1. 验证连接设置页面上,点击验证设置。 组织的登录页面上随即打开一个新选项卡。 输入 PingFederate 凭据并点击登录

  2. 请求审批页面上,确保已选择以下内容:

    • 访问用户名

    • OPENID 范围

    • 配置文件范围

    • 电子邮件范围

  3. 点击允许

  4. 返回验证连接设置页面,然后选中复选框以确认登录成功。
    PingFederate 凭据现已配置但未启用。 要启用,需要转换 Ivanti Neurons 平台账户,改为使用 PingFederate。

  5. 点击继续以继续在转换 Ivanti Neurons 平台账户页面上执行后续操作。

  • E2018 身份验证失败:用户使用 PingFederate 进行身份验证失败。 检查用户名和密码准确无误,同时用户具有 PingFederate SP 连接权限。

  • E2019 缺失可选声明:由于 PingFederate 返回给 Ivanti Neurons 平台的令牌中不存在附加可选声明,验证步骤失败。

  • E2020 无法链接到 Neurons 平台用户账户:PingFederate 用户登录与 Ivanti Neurons 平台用户不匹配。 Ivanti Neurons 平台用户账户电子邮件地址必须匹配登录 PingFederate 时所使用的电子邮件地址。

  1. 转换 Ivanti Neurons 平台账户页面上,点击注销和启用。 Ivanti Neurons 是否已注销。

  2. 点击使用 PingFederate 登录,然后输入 PingFederate 凭据完成流程。

  3. 用户现在可以在管理员 > 身份验证中查看状态为已启用的 PingFederate 应用程序。    

  4. 在 Neurons 平台上点击注销
    现在,用户重新登录时,系统会将用户路由到     PingFederate 选择帐户并使用 PingFederate 凭据登录。

确保应用程序 > OAuth > 访问令牌映射 > IdP 适配器:PingOneIdpAdapter > 访问令牌映射中的合同履行字段包含 emailgiven_namefamily_name 用户属性。

配置自动配置

启用自动配置将自动向用户入门品牌化应用程序注册中的所有成员授予对 Ivanti Neurons 的访问权限,无需进行手动邀请过程。 新成员首次登录时,将在 Ivanti Neurons > 成员中配置新的 Ivanti Neurons 平台账户。 自动配置的所有新成员都会被授予设置中所定义的访问控制角色。

  1. 在 Ivanti Neurons 平台中,导航至设置 > 身份验证
    身份验证方法页面随即显示。

  1. 外部身份验证 (SSO) 部分中,点击操作并选择启用自动配置

  1. 默认角色下拉列表中,选择要分配给所有新成员的访问控制角色。
    要设置角色,请转至 Ivanti Neurons > 管理员 > 角色

  1. 点击启用自动配置以确认角色选择,并为所有新成员启用自动配置。

启用后,用户可以编辑默认访问控制角色和禁用自动配置。 这些更改将仅应用于修改后配置的成员,不会影响现有成员。

启用自动配置会授予所有 PingFederate 应用程序注册用户访问 Ivanti Neurons 的权限。 用户可以在 PingFederate 应用程序中操作,将访问权限限制为特定用户或组。

(可选)更新客户端密码(Ivanti Neurons 平台)

如果 PingFederate 客户端密码即将过期,那么用户需要设置新密码,才能继续使用此身份验证方法。

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    身份验证页面随即显示。

  2. 在“外部身份验证”部分,点击操作 > 更新客户端密码
    更新客户端密码页面随即显示。

  3. 输入从 PingFederate 应用程序获取的新客户端密码然后粘贴到 Ivanti Neurons 平台的客户端密码值字段中

  4. 点击继续以验证客户端密码

  5. 验证新客户端密码页面上,点击验证客户端密码组织的登录页面上随即打开一个新选项卡。

  6. 输入 PingFederate 凭据并点击登录

  7. 请求审批页面上,确保已选择以下内容:

    1. 访问用户名

    2. OPENID 范围

    3. 配置文件范围

    4. 电子邮件范围

  8. 点击允许

    如果成功,请返回到此向导,并继续更新客户端密码。
    如果失败,请检查输入的新客户端密码是否正确。 有关其他失败原因,请参阅验证故障排除

  9. 返回验证新客户端密码页面,然后选中该复选框以确认登录成功。

  10. 点击继续以继续在保存新客户端密码页面上执行后续操作。

  11. 点击保存更改以完成流程
    随即收到确认已成功更新客户端密码的通知。

(可选)删除身份验证方法(Ivanti Neurons 平台)

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    身份验证页面随即显示。

  2. 外部身份验证部分中,点击操作 > 删除身份验证方法
    删除外部身份验证屏幕随即显示。

  3. 点击注销和重新进行身份验证
    Ivanti Neurons 是否已注销。

  4. 点击使用电子邮件和密码登录

  5. 输入凭据并点击登录

  6. 导航至管理员 > 身份验证 > 外部身份验证,然后点击操作 > 删除身份验证方法
    删除外部身份验证屏幕随即显示。

  7. 点击删除身份验证方法
    现有身份验证方法现已删除。