PingFederate 身份验证 (SAML)

1. 在 Ivanti Neurons 平台中，导航至管理员 > 身份验证。
   身份验证页面随即显示。

2. 在外部身份验证 (SSO) 部分中，点击配置和启用。
   启用外部身份验证 (SSO) 页面随即显示。

3. 从提供程序下拉列表中，选择 PingFederate。

4. 从登录方法下拉列表中，选择 Saml 2.0。

   PingFederateSAML 2.0 配置设置出现。
   建议在 PingFederate 管理员控制台中配置详细信息时，让此标签页保持打开状态，以供后续参考。

1. 登录 PingFederate 管理员控制台。

2. 在应用程序中，选择 SP 连接。

3. 点击创建连接。

4. 在连接模板中，选择不要对此连接使用模板，然后点击下一步。

5. 在连接类型中，选择浏览器 SSO 配置文件，因为此设置需要浏览器访问权限。

6. 在协议下拉列表中，选择 SAML 2.0，然后点击下一步。

7. 在连接选项中，选择浏览器 SSO，然后点击下一步。

8. 在导入元数据中，选择无，然后点击下一步。

9. 在常规信息中，输入已打开的 Ivanti Neurons 标签页中的以下详细信息：

   • 合作伙伴实体 ID（连接 ID）：唯一的连接标识符（实体 ID）。

   • 连接名称：此连接的语言标识符。

10. （可选）使用基本 URL 指定多个虚拟服务器 ID 以简化合作伙伴端点配置，然后点击下一步。

11. 在浏览器 SSO中，点击配置浏览器 SSO 以设置或编辑基于浏览器的合作伙伴资源安全 SSO 配置。

    1. 在 SAML 配置文件中，选择 SP 发起的 SSO 以指定身份提供程序和服务提供程序之间交换的消息类型以及传输方法（绑定），然后点击下一步。

    2. 在断言生命周期中，设置向 SP 发出断言之前和之后的有效时间范围，然后点击下一步。

    3. 在断言创建中，点击配置断言创建，以设置通过 SSO 访问 SP 合作伙伴站点的 SAML 断言。

    1. 在身份映射中，选择标准，然后点击下一步。

    2. 在属性合同中，选择 SAML_SUBJECT，然后使用服务器将在断言中发送的以下必需用户属性集更新扩展合同字段：

       • 电子邮件

       • given_name

       • family_name

    3. 点击下一步。

    4. 在身份验证源映射中，点击映射新适配器实例。

       1. 在适配器实例中，选择 PingOneIdpAdapter，然后点击下一步。

       2. 在映射方法中，选择在 SAML 断言中仅使用适配器合同值，然后点击下一步。

       3. 在属性合同履行中，更新属性合同，具体如下：

          • SAML_SUBJECT：源 - 适配器，值 - username

          • email：源 - 适配器，值 - email

          • family_name：源 - 适配器，值 - name.family

          • given_name：源 - 适配器，值 - name.given

       4. 点击下一步。

       5. 在发行标准中，根据需要更新字段或将其留空，然后点击下一步。

       6. 检查摘要中的详细信息，然后点击完成。

    5. 在身份验证源映射中，点击下一步。

    6. 检查摘要中的详细信息，然后点击完成。

    4. 在断言创建中，点击下一步。

    5. 在协议设置中，点击配置协议设置，以设置通过 SSO 访问 SP 合作伙伴站点的 SAML 断言。

    1. 在断言消费者服务 URL 中，从 Neurons 平台复制断言客户服务 URL 并将其粘贴到 PingFederate 管理员门户的“端点 URL”字段中。

    2. 从“绑定”下拉菜单中选择 POST，然后点击添加 > 下一步。

    3. 在允许的 SAML 绑定中，选择 POST，然后点击下一步。

    4. 在签名策略中，选择根据需要签名响应，然后点击下一步。

    5. 在加密策略中，选择无，然后点击下一步。

    6. 检查摘要中的详细信息，然后点击完成。

    6. 在协议设置中，点击下一步。

    7. 检查摘要中的详细信息，然后点击完成。

12. 在浏览器 SSO中，点击下一步。

13. 在凭据中，点击配置凭据以设置“数字签名”设置。

    1. 从签名证书下拉列表中选择证书。

    2. 保留辅助签名证书和签名算法的字段值，然后点击下一步。

    3. 检查摘要中的详细信息，然后点击保存。

14. 在凭据中，点击下一步。

15. 检查激活和摘要中的详细信息，然后点击完成。 SP 连接页面随即显示。

16. 针对配置的新连接，点击操作下的选择操作 > 导出元数据。

17. 在元数据签名中，从签名证书下拉列表中选择证书。

18. 从签名算法下拉列表中选择算法，然后点击下一步。

19. 选择导出。 元数据文件至此下载完成。

20. 导航到已打开的 Ivanti Neurons 平台的启用外部身份验证页面，然后点击选择文件。

21. 打开下载的元数据文件，然后点击上传。

22. 点击继续以验证设置。

必须使用 PingFederate 凭据进行连接，以验证连接设置。

1. 在验证连接设置页面上，点击验证设置。 组织的登录页面上随即打开一个新选项卡。 输入 PingFederate 凭据并登录。

2. 返回验证连接设置页面，然后选中复选框以确认登录成功。
   PingFederate 现已配置但未启用。 要启用，需要转换 Ivanti Neurons 平台账户，改为使用 PingFederate。

3. 点击继续以继续在转换 Ivanti Neurons 平台账户页面上执行后续操作。

• E2018 身份验证失败：用户使用 PingFederate 进行身份验证失败。 检查用户名和密码准确无误，同时用户具有 PingFederate SP 连接权限。

• E2019 缺失可选声明：由于 PingFederate 返回给 Ivanti Neurons 平台的令牌中不存在附加可选声明，验证步骤失败。

• E2020 无法链接到 Neurons 平台用户账户：PingFederate 用户登录与 Ivanti Neurons 平台用户不匹配。 Ivanti Neurons 平台用户账户电子邮件地址必须匹配登录 PingFederate 时所使用的电子邮件地址。

1. 在转换 Ivanti Neurons 平台账户页面上，点击注销和启用。 Ivanti Neurons 是否已注销。

2. 点击使用 PingFederate 登录，然后输入 PingFederate 凭据完成流程。

3. 用户现在可以在管理员 > 身份验证中查看状态为已启用的 PingFederate 应用程序。    

4. 在 Neurons 平台上点击注销。
   现在，用户重新登录时，系统会将用户路由到 PingFederate 以选择账户并使用 PingFederate 凭据登录。

1. 在 Ivanti Neurons 平台中，导航至设置 > 身份验证。
   身份验证方法页面随即显示。

2. 在外部身份验证 (SSO) 部分中，点击操作并选择启用自动配置。

3. 从默认角色下拉列表中，选择要分配给所有新成员的访问控制角色。
   要设置角色，请转至 Ivanti Neurons > 管理员 > 角色。

4. 点击启用自动配置以确认角色选择，并为所有新成员启用自动配置。