PingOne 身份验证 (SAML)

用户目前可通过 Ivanti Neurons 选择将 PingOne 作为租户的外部身份验证提供程序。 PingOne 可以提供集中化的最终用户登录体验,减少因密码相关问题而呼叫帮助中心的次数,并对策略和审计跟踪进行精细控制。

配置和启用外部身份验证

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    身份验证页面随即显示。

  1. 外部身份验证 (SSO) 部分中,点击配置和启用
    启用外部身份验证 (SSO) 页面随即显示。

  1. 提供程序下拉列表中,选择 PingOne

  2. 登录方法下拉列表中,选择 SAML 2.0

    PingOne Saml 2.0 配置设置随即显示。 建议在 PingOne 管理员控制台中配置详细信息时,让此标签页保持打开状态,以供后续参考。

  1. 登录 PingOne 管理员控制台。

  2. 导航至应用程序 > 应用程序

  3. 点击 以添加新应用程序。
    添加应用程序屏幕随即显示。

  4. 应用程序名称中,输入 SAML 应用程序的名称。

  5. 选择 SAML 应用程序,点击配置

  6. SAML 配置中,选择 手动输入

  7. 在打开的 Ivanti Neurons 标签页中,输入以下字段的值:

    1. ACS URL断言消费者服务 URL

    2. 实体 IDEntityId

  8. 点击保存

  9. 选择属性映射选项卡并点击

  10. 属性映射中,点击添加

  11. 更新属性PingOne 映射,具体如下:

    1. email电子邮件地址。 选择必填 > 添加

    2. given_name名字。 选择必填

    3. family_name姓氏。 选择必填 > 添加

  12. 点击保存
    应用程序现至此已在 PingOne 中创建。

  13. 点击应用程序名称旁边的按钮,启动应用程序。

  14. 选择配置选项卡,复制 IDP 元数据 URL,然后将其粘贴到已打开的 Neurons 平台的身份提供程序元数据端点 URL 字段中。

  15. 点击继续

必须使用 PingOne 凭据进行连接,以验证连接设置。

  1. 验证连接设置页面上,点击验证设置

    验证会自动进行。 如果登录成功,系统会显示确认屏幕。

  2. 返回验证连接设置页面,然后选中复选框以确认登录成功。

    PingOne 现已配置但未启用。 要启用,需要转换 Ivanti Neurons 平台账户,改为使用 PingOne。

  3. 点击继续以继续在转换 Ivanti Neurons 平台账户页面上执行后续操作。

  • E2018 身份验证失败:用户使用 PingOne 进行身份验证失败。 检查
    用户名和密码准确无误,同时用户具有 PingOne 应用程序注册权限。

  • E2019 缺失可选声明:由于 PingOne 返回给 Ivanti Neurons 平台的令牌中不存在附加可选声明,验证步骤失败。

  • E2020 无法链接到 Neurons 平台用户账户:PingOne 用户登录与 Ivanti Neurons 平台用户不匹配。 Ivanti Neurons 平台用户账户电子邮件地址必须匹配登录 PingOne 时所使用的电子邮件地址。

  1. 转换 Ivanti Neurons 平台账户页面上,点击注销和启用。 Ivanti Neurons 是否已注销。

  2. 点击使用 PingOne 登录完成流程。

  3. 用户现在可以在管理员 > 身份验证中查看状态为已启用的 PingOne 应用程序。

  4. 在 Neurons 平台上点击注销
    现在,当用户重新登录时,系统会将用户路由到 PingOne 以选择账户并使用 PingOne 凭据登录。

配置自动配置

启用自动配置将自动向 PingOne 应用程序注册中的所有成员授予对 Ivanti Neurons 的访问权限,无需进行手动邀请过程。 新成员首次登录时,将在 Ivanti Neurons > 成员中配置新的 Ivanti Neurons 平台账户。 自动配置的所有新成员都会被授予设置中所定义的访问控制角色。

  1. 在 Ivanti Neurons 平台中,导航至设置 > 身份验证
    身份验证方法页面随即显示。

  1. 外部身份验证部分中,点击操作并选择启用自动配置

  1. 默认角色下拉列表中,选择要分配给所有新成员的访问控制角色。
    要设置角色,请转至 Ivanti Neurons > 管理员 > 角色

  1. 点击启用自动配置以确认角色选择,并为所有新成员启用自动配置。

启用后,用户可以编辑默认访问控制角色和禁用自动配置。 这些更改将仅应用于修改后配置的成员,不会影响现有成员。

启用自动配置将授予所有 PingOne 应用程序注册用户访问 Ivanti Neurons 的权限。 可以在 PingOne 应用程序中将访问权限限制为特定用户或组。

(可选)更新元数据(Ivanti Neurons 平台)

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    身份验证页面随即显示。

  2. 外部身份验证部分中,点击操作 > 更新元数据
    更新 SAML 元数据页面随即显示。

  3. PingOne 配置设置身份提供程序元数据端点 URL 中输入元数据 URL。

  4. 点击继续以验证元数据。

  5. 验证新的 SAML 元数据页面上,点击 验证 SAML 元数据

  6. 组织的登录页面上随即打开一个新选项卡。 输入凭据并登录。
    验证会自动进行。 如果登录成功,系统会显示确认屏幕。

  7. 返回验证新 SAML 元数据页面,然后选中该复选框以确认登录成功。

  8. 点击继续以继续在保存新 SAML 元数据页面上执行后续操作。

  9. 点击保存更改以完成流程
    随即收到确认已成功更新客户端密码的通知。

(可选)删除身份验证方法(Ivanti Neurons 平台)

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    身份验证页面随即显示。

  2. 外部身份验证 (SSO) 部分中,点击操作 > 删除身份验证方法
    删除外部身份验证屏幕随即显示。

  3. 点击注销和重新进行身份验证
    Ivanti Neurons 是否已注销。

  4. 点击使用电子邮件和密码登录

  5. 输入凭据并点击登录

  6. 导航至管理员 > 身份验证 > 外部身份验证,然后点击操作 > 删除身份验证方法
    删除外部身份验证屏幕随即显示。

  7. 点击删除身份验证方法
    现有身份验证方法现已删除。