Entra ID 身份验证 (SAML)

Entra ID 是可供租户使用的其中一个外部身份验证提供程序。 如果用户想执行以下操作,这是一个不错的选择:

  • 提供集中化的最终用户登录体验。

  • 减少因密码相关问题而呼叫帮助中心的次数。

  • 对策略和审计跟踪进行精细控制。

以下是建立 Entra ID - SAML 协议的步骤:

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    随即显示身份验证页面。
  2. 外部身份验证 (SSO) 部分中,点击配置和启用
    启用外部身份验证页面随即显示。
  3. 提供程序下拉列表中,选择 Entra ID
  4. 登录方法下拉列表中,选择 SAML
    随即显示 Entra ID 配置设置。 设置 Entra ID 时需要用到这些信息,因此请让此标签页在浏览器中保持打开状态。 在以下说明中,以“Neurons”或“Neurons 标签页”指代。

必须首先在 Microsoft Azure 门户执行一些步骤,才能继续 Ivanti Neurons 配置。

在新的浏览器标签页中,转到用户的 Entra ID 租户:

  1. 转到企业应用程序

  2. 选择新建应用程序

  3. 选择创建自己的应用程序

    1. 输入名称。

    2. 选择选项:“集成在库(非库)中找不到的任何其他应用程序”。

    3. 点击创建,等待 Entra ID 完成操作。

打开新创建的应用程序:

  1. 转到单点登录

  2. 选择 SAML

请参阅步骤 4,提供 Neurons(UEM 租户)提供的详细信息,并在 Entra ID 和 Neurons 之间建立连接。

需要在 Ivanti Neurons 平台和 Entra ID 之间复制信息,才能建立安全握手。 准备好一直在使用的两个标签页,然后按照以下说明进行切换使用。

在 Entra ID 中,选择基本 SAML 配置磁贴中的编辑。 右侧随即显示一个窗口。

  • Neurons 中的EntityID 将复制到 Entra ID 中的标识符。 点击添加标识符显示“Entra ID”>“编辑”窗口中的文本框。

  • Neurons 中的断言消费者服务 URL 将复制到 Entra ID 中的 回复 URL。 再次点击添加回复 URL 以显示文本框。

  • 单击保存

出现要测试的文本框时,选择拒绝选项,因为所有条目将一起验证。

此操作将设置应用程序。

在 Entra ID 租户中,SAML 证书会提供应用程序联合元数据 URL。 复制并切换到 Neruons,然后粘贴到:

  • 身份提供程序 (IDP) 元数据端点 URL

  • 点击继续

安全握手至此设置完成。

定义如何将用户添加到 Entra ID

返回 Entra ID。 在左侧菜单的属性下,执行以下操作以定义用户添加方式:

  • 验证所需的分配是否已根据用户的需求设置妥当:

    • :管理员选择租户的哪些用户可以登录。 如果需要分配,则管理员必须明确选择可以登录的用户。 此操作在用户和组 > 添加用户名下完成。

    • :租户中的任何用户均可使用 Entra ID 登录。

  • 单击保存

返回 Neurons

您需要连接 Entra ID 凭据来验证连接设置。

  1. 在“验证连接设置”页面,点击验证设置,通过新选项卡访问贵组织的登录页面。 这是 Azure 门户。 输入 Entra ID 凭据并继续登录。 如果用户已经登录,则不需要输入凭据,验证会自动进行,因此,请确保已登录要进行身份验证的账户。
    如果登录成功,您将会收到确认屏幕。

    2. Azure 用户名必须准确匹配您的 Ivanti Neurons 用户名。

  2. 关闭确认屏幕,然后返回一直在使用的 Ivanti Neurons 平台中的“验证连接设置”标签页。
  3. 选中我确认已成功验证连接设置复选框,确认已成功登录。
  4. 点击继续

安全握手至此已建立、验证且正常工作。

  • E2018 身份验证失败:用户使用 Entra ID 进行身份验证失败。 检查用户名和密码是否正确,以及用户是否具有 Entra ID 应用程序注册权限。
  • E2019 缺失可选声明:由于 Entra ID 返回给 Ivanti Neurons 平台的令牌中不存在附加可选声明,验证步骤失败。
  • E2020 无法链接到 Neurons 平台用户帐户:Entra ID 用户登录与 Ivanti Neurons 平台用户不匹配。 Ivanti Neurons 平台用户帐户电子邮件地址必须匹配登录 Entra ID 时所使用的电子邮件地址。

Entra ID 现已配置但未启用。

要进行启用,需要转换 Ivanti Neurons 平台帐户,改为使用 Entra ID。

  1. 启用 Ivanti Neurons 平台账户页面,点击注销和启用
    随即显示 Ivanti Neurons 登录页面。
  2. 选择使用 Entra ID 登录并输入 Entra ID 凭据,然后便可完成转换。
    要进行验证,请登录 Neurons,转到管理员 > 身份验证,然后查看 Entra ID 是否为外部身份验证提供程序。

    3. 同一用户必须在 Ivanti Neurons 中配置 Entra ID 身份验证,然后登录并验证凭据,以避免“访问拒绝”错误。

所有成员将收到确认帐户已转换以及必须使用 Entra ID 凭据继续访问租户的电子邮件。 如果成员不具备 Entra ID 凭据,则将无法访问 Ivanti Neurons。

外部身份验证 (SSO) 现在将显示为已启用状态。

配置自动配置

启用自动配置将自动向 Entra ID 应用程序注册中的所有成员授予对 Ivanti Neurons 的访问权限,而无需进行手动邀请过程。 新成员首次登录时,将会在 Ivanti Neurons > 成员中配置新 Ivanti Neurons 平台帐户。 自动配置的所有新成员将会被授予设置中所定义的访问控制角色。

  1. 在 Ivanti Neurons 平台中,导航至设置 > 身份验证

    随即显示身份验证方法页面。
  2. 外部身份验证 (SSO) 部分中,点击操作并选择启用自动配置
  3. 默认角色下拉列表中,选择要分配给所有新成员的访问控制角色。

    要设置角色,请转至 Ivanti Neurons > 管理员 > 角色
  4. 点击启用自动配置以确认角色选择,并为所有新成员启用自动配置。

启用后,以下选项将变为可用:编辑默认访问控制角色和禁用自动配置。 任何角色编辑或自动配置禁用将不会影响任何现有自动配置成员,而是仅适用于作出更改后配置的成员。

重要事项:在启用自动配置之后,有权访问 Entra ID 应用程序注册的任何人都将有权访问 Ivanti Neurons。 您可以从 Entra ID 门户中将访问权限限制为特定用户或组。 有关更多详细信息,请参阅 Microsoft Azure 文档