Google 身份验证 (OIDC)

用户目前可通过 Ivanti Neurons 选择将 Google 作为租户的外部身份验证提供程序。 Google 可以提供集中化的最终用户登录体验,减少因密码相关问题而呼叫帮助中心的次数,并对策略和审计跟踪进行精细控制。

配置和启用外部身份验证

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    身份验证页面随即显示。

  1. 外部身份验证 (SSO) 部分中,点击配置和启用
    启用外部身份验证 (SSO) 页面随即显示。

  1. 提供程序下拉列表中,选择 Google

  2. 登录方法下拉列表中,选择 OpenId Connect (OIDC)

    Google 配置设置随即显示。 建议在 Google Cloud 控制台中配置详细信息时,让此标签页保持打开状态,以供后续参考。

  1. 登录 Google Cloud 控制台。

  2. 选择 ,然后点击 API 和服务 > 凭据

  3. 凭据中,点击 创建凭据 >OAuth 客户端 ID

  1. 创建 OAuth 客户端 ID 中,点击配置同意屏幕

  2. OAuth 同意屏幕中,将用户类型选为内部,然后点击创建
    编辑应用程序注册页面随即显示。

  3. OAuth 同意屏幕中,输入以下字段:

    1. 应用程序信息中的应用程序名称和用户支持电子邮件。

    2. 开发人员联系信息中的电子邮件地址。

  4. 点击保存并继续

  5. 范围中,点击添加或删除范围

  6. 选择以下范围,然后点击更新

    • ... /auth/userinfo.email

    • ... /auth/userinfo.profile

    • openid

  1. 点击保存并继续

  2. 检查摘要中的详细信息,然后点击返回仪表板

  3. 导航至 API 和服务 > 凭据> 创建凭据 > OAuth 客户端 ID

  4. 应用程序类型中选择 Web 应用程序

  5. 名称字段中输入应用程序名称。

  6. 授权重定向 URI 中,点击添加 URI

  7. 从 Neurons 平台复制 重定向 URI,然后将其粘贴到 URI 1 字段中。

  8. 点击创建

    OAuth 客户端已创建确认屏幕随即显示。

  1. 复制 OAuth 客户端已创建信息页面中的客户端 ID客户端密码值,并将其粘贴到 Neurons 平台相应的客户端 ID客户端密码值字段中。

  2. 在 Neurons 平台的发行者字段中,输入 https://accounts.google.com,然后点击 继续

必须使用 Google 凭据进行连接,以验证连接设置。

  1. 验证连接设置页面上,点击验证设置
    验证会自动进行。 如果登录成功,系统会显示确认屏幕。

  1. 返回验证连接设置页面,然后选中复选框以确认登录成功。

    Google 现已配置但未启用。 要启用,需要转换 Ivanti Neurons 平台账户,改为使用 Google。

  2. 点击继续以继续在转换 Ivanti Neurons 平台账户页面上执行后续操作。

  • E2018 身份验证失败:用户使用 Google 进行身份验证失败。 检查
    用户名和密码准确无误,同时用户具有 Google 应用程序注册权限。

  • E2019 缺失可选声明:由于 Google 返回给 Ivanti Neurons 平台的令牌中不存在附加可选声明,验证步骤失败。

  • E2020 无法链接到 Neurons 平台用户账户:Google 用户登录与 Ivanti Neurons 平台用户不匹配。 Ivanti Neurons 平台用户账户电子邮件地址必须匹配登录 Google 时所使用的电子邮件地址。

  1. 转换 Ivanti Neurons 平台账户页面上,点击注销和启用。 Ivanti Neurons 是否已注销。

  2. 点击使用 Google 登录完成流程。

  3. 用户现在可以在管理员 > 身份验证中查看状态为已启用的 Google 应用程序。

  4. 在 Neurons 平台上点击注销
    现在,当用户重新登录时,系统会将用户路由到 Google 以选择账户并使用 Google 凭据登录。

配置自动配置

启用自动配置将自动向 Google 应用程序注册中的所有成员授予对 Ivanti Neurons 的访问权限,无需进行手动邀请过程。 新成员首次登录时,将在 Ivanti Neurons > 成员中配置新的 Ivanti Neurons 平台账户。 自动配置的所有新成员都会被授予设置中所定义的访问控制角色。

  1. 在 Ivanti Neurons 平台中,导航至设置 > 身份验证
    身份验证方法页面随即显示。

  1. 外部身份验证部分中,点击操作并选择启用自动配置

  1. 默认角色下拉列表中,选择要分配给所有新成员的访问控制角色。
    要设置角色,请转至 Ivanti Neurons > 管理员 > 角色

  1. 点击启用自动配置以确认角色选择,并为所有新成员启用自动配置。

启用后,用户可以编辑默认访问控制角色和禁用自动配置。 这些更改将仅应用于修改后配置的成员,不会影响现有成员。

启用自动配置将授予所有 Google 应用程序注册用户访问 Ivanti Neurons 的权限。 用户可以在 Google 应用程序中操作,将访问权限限制为特定用户或组。

(可选)更新客户端密码(Ivanti Neurons 平台)

如果 Google 客户端密码即将过期,那么用户需要设置新密码,才能继续使用此身份验证方法。

  1. 在 Ivanti Neurons 平台中,导航至设置 > 身份验证
    身份验证页面随即显示。

  1. 在“外部身份验证”部分,点击操作 > 更新客户端密码
    更新客户端密码页面随即显示。

  2. 输入从 Google 应用程序获取的新客户端密码,然后粘贴到 Ivanti Neurons 平台的客户端密码值字段中

  1. 点击继续以验证客户端密码

  1. 验证新客户端密码页面上,点击验证客户端密码

  2. 组织的登录页面上随即打开一个新选项卡。 输入凭据并登录。
    验证会自动进行。

    如果成功,请返回到此向导,并继续更新客户端密码。
    如果失败,请检查输入的新客户端密码是否正确。 有关其他失败原因,请参阅     验证故障排除

  3. 返回验证新客户端密码页面,然后选中该复选框以确认登录成功。

  4. 点击继续以继续在保存新客户端密码页面上执行后续操作。

  5. 点击保存更改以完成流程
    随即收到确认已成功更新客户端密码的通知。

(可选)删除身份验证方法(Ivanti Neurons 平台)

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    身份验证页面随即显示。

  2. 外部身份验证部分中,点击操作 > 删除身份验证方法
    删除外部身份验证屏幕随即显示。

  3. 点击注销和重新进行身份验证
    Ivanti Neurons 是否已注销。

  4. 点击使用电子邮件和密码登录

  5. 输入凭据并点击登录

  6. 导航至管理员 > 身份验证 > 外部身份验证,然后点击操作 > 删除身份验证方法
    删除外部身份验证屏幕随即显示。

  7. 点击删除身份验证方法
    现有身份验证方法现已删除。