其他 IdP 身份验证 (SAML)

用户可通过 Ivanti Neurons 选择将 IdP(身份提供者)作为租户的外部身份验证提供者。 除了现有的身份验证方法外,您还可以将其他 IdP 身份验证用作单点登录 (SSO) 系统,使用户能够使用安全令牌通过一次登录安全地访问不同域中的应用程序和资源。 这简化了用户体验,通过减少密码重复使用提高了安全性,并简化了组织的身份管理。

其他 IdP 身份验证仅支持基于 SAML 的登录方法。

配置和启用外部身份验证

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证

    随即显示身份验证页面。

  2. 外部身份验证 (SSO) 部分中,点击配置和启用

    启用外部身份验证 (SSO) 页面随即显示。

  3. 从提供者下拉列表中选择 其他 IdP

    其他 IdP SAML 2.0 配置设置随即显示。 建议在身分提供者控制台中配置详细信息时,让此标签页保持打开状态,以供后续参考。

  4. 在“其他 IdP SAML 2.0 配置设置”部分,您可以选择以下选项:

    • 启用签名请求:启用此选项可将数字签名请求发送到外部身份验证提供者,并配置提供者以验证签名请求是否来自 Ivanti Neurons 租户。 或者,您可以禁用此选项以停止发送已签名的请求。

    • 启用加密断言:启用此选项以从外部身份验证提供者接收加密的用户信息,您可以配置 Neurons 租户来解密信息。 或者,您可以禁用此选项以停止接收加密的用户信息。

  5. 点击应用更改
    应用更改后,您可以下载基于 SAML 的 SSO 系统的身份信息,例如服务提供者元数据和证书,如下所示:

    • 下载 SP 元数据:点击此选项可下载服务提供者元数据以及 XML 格式的证书。

    • 仅下载证书:点击此选项仅下载证书(.pem 格式)。

  1. 登录 IdP 提供者控制台。

  2. 创建新的基于 SAML 的配置,使您可以将 SSO 系统与 IvantiNeurons 集成。

  3. 如果需要,输入服务提供者详细信息,例如实体 ID断言消费者服务 URL。 您可以在 Ivanti Neurons 的 SSO 配置页面上找到此信息。

    有关下载证书的更多信息,请参阅 配置和启用外部身份验证(Ivanti Neurons 平台)部分的步骤。

  4. 然后,在 IdP 提供者控制台的相关部分上传您从 Ivanti Neurons 下载的证书(格式为 .cer),以启用已签名的请求和/或加密的断言。 签名请求和加密声明应使用相同的证书。

  5. 从身份提供者门户下载 SAML 元数据文件(XML 格式)。

要上传从身份提供者下载的元数据文件,请按照以下步骤操作:

  2. 返回 Ivanti Neurons。

  3. 其他 IdP SAML 2.0 配置设置部分,点击选择文件

  4. 浏览下载的 SAML 元数据文件(XML 格式),然后点击上传

  5. 然后点击继续以继续。

您必须使用您的 IdP 进行连接以验证您的连接设置。

  1. 验证连接设置页面上,点击验证设置

    验证会自动进行。 如果登录成功,系统会显示确认屏幕。

    确保 IdP 控制台中启用的启用已签名请求和/或加密的断言选项与 Neurons 租户匹配。 如果启用的选项不匹配,验证将失败。

  2. 返回验证连接设置页面,然后选中复选框以确认登录。

    现在已配置 IdP。

  3. 点击继续以继续在转换 Ivanti Neurons 平台账户页面上执行后续操作。

其他 IdP 现已配置但未启用。

要进行启用,需要转换 Ivanti Neurons 平台帐户,改为使用其他 IdP。

  1. 启用 Ivanti Neurons 平台账户页面,点击注销和启用
    随即显示 Ivanti Neurons 登录页面。
  2. 选择使用其他 IdP 登录并输入 IdP 凭据,然后便可完成转换。
    要进行验证,请登录 Neurons,转到管理员 > 身份验证,然后查看其他 IdP 是否为外部身份验证提供程序。

    3. 同一用户必须在 Ivanti Neurons 中配置其他 IdP 身份验证,然后登录并验证凭据,以避免“访问拒绝”错误。

所有成员将收到确认帐户已转换以及必须使用其他 IdP 凭据继续访问租户的电子邮件。 如果成员不具备其他 IdP 凭据,则将无法访问 Ivanti Neurons。

外部身份验证 (SSO) 现在将显示为已启用状态。

配置自动配置

启用自动配置将自动向其他 IdP 中的所有成员授予对 Ivanti Neurons 的访问权限,而无需进行手动邀请过程。 新成员首次登录时,将会在 Ivanti Neurons > 成员中配置新 Ivanti Neurons 平台帐户。 自动配置的所有新成员都会被授予设置中所定义的访问控制角色。

  1. 在 Ivanti Neurons 平台中,导航至设置 > 身份验证

    随即显示身份验证方法页面。

  2. 外部身份验证部分中,点击操作并选择启用自动配置

  3. 默认角色下拉列表中,选择要分配给所有新成员的访问控制角色。

    要设置角色,请转至 Ivanti Neurons > 管理员 > 角色

  4. 点击启用自动配置以确认角色选择,并为所有新成员启用自动配置。

启用后,用户可以编辑默认访问控制角色和禁用自动配置。 这些更改将仅应用于修改后配置的成员,不会影响现有成员。

(可选)更新 IdP 元数据(Ivanti Neurons 平台)

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    随即显示身份验证页面。

  2. 外部身份验证部分中,点击操作 > 更新 IdP 元数据
    更新 SAML 元数据屏幕随即显示。

  3. 其他 IdP 配置设置中,点击选择文件

  4. 打开下载的元数据文件,然后点击上传

  5. 点击继续以验证设置。

  6. 验证新的 SAML 元数据页面上,点击验证 SAML 元数据

  7. 组织的登录页面上随即打开一个新选项卡。 输入凭据并登录。
    验证会自动进行。 如果登录成功,系统会显示确认屏幕。

  8. 返回验证新 SAML 元数据页面,然后选中该复选框以确认登录成功。

  9. 点击继续以继续在保存新 SAML 元数据页面上执行后续操作。

  10. 点击保存更改以完成流程
    随即收到确认已成功更新元数据的通知。

(可选)更新提供者设置(Ivanti Neurons 平台)

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证

    随即显示身份验证页面。

  2. 外部身份验证部分中,点击操作 > 更新提供者设置

    出现更新 SAML 提供程序页面。

  3. 其他 Id P配置设置中,您可以选择以下选项:

    • 启用签名请求:启用此选项可将数字签名请求发送到外部身份验证提供者,并配置提供者以验证签名请求是否来自 Ivanti Neurons 租户。 或者,您可以禁用此选项以停止发送已签名的请求。

    • 启用加密断言:启用此选项以从外部身份验证提供者接收加密的用户信息,您可以配置 Neurons 租户来解密信息。 或者,您可以禁用此选项以停止接收加密的用户信息。

  4. 点击应用更改

    现在,您可以根据需要下载更新的服务提供者元数据文件和证书。

  5. 点击继续以验证元数据。

  6. 验证 SAML 提供者设置页面上,点击验证设置

  7. 组织的登录页面上随即打开一个新选项卡。 输入凭据并登录。

    验证会自动进行。 如果登录成功,系统会显示确认屏幕。

  8. 返回验证新提供者设置页面,然后选中复选框以确认登录成功。

  9. 点击继续以继续。

  10. 点击保存更改以完成流程。

    随即收到确认已成功更新的通知。

(可选)更新证书(Ivanti Neurons 平台)

您可以使用此选项更新过期的证书或在证书即将过期时更新。

续订功能旨在于低使用情况时间内使用。 一旦 Neurons 更新证书,它立即开始使用它。 这将导致身份提供程序的身份验证事件失败,直到 IdP 更新以预期新证书。 请相应地进行规划,并确保在您的 IdP 软件中进行协调更改。

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证
    随即显示身份验证页面。

  2. 外部身份验证部分中,点击操作 > 更新证书
    出现更新证书屏幕。

  3. 点击继续
    出现更新选项卡。

  4. 更新选项卡上,您可以下载服务提供者元数据和证书。

    下载加密证书后,请确保在验证之前将新证书上传到身份提供者控制台。

  5. 点击继续转到验证新证书页面。

  6. 点击验证证书
    验证会自动进行。 如果登录成功,系统会显示确认屏幕。

  7. 返回验证连接设置页面,然后选中复选框以确认登录。

  8. 点击继续
    此时将显示保存新证书页面。

  9. 点击保存更改

(可选)下载 SP 元数据或证书(Ivanti Neurons 平台)

如果由于问题或错误而必须重新进行其他 IdP 的外部身份验证设置,则需要证书或 SP 元数据。 这些操作可从 Ivanti Neurons 的操作下拉列表下载,如下所示:

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证

    随即显示身份验证页面。

  2. 外部身份验证 (SSO) 部分中,点击操作。 从下拉列表中,您可以点击以下内容:

    • 下载 SP 元数据:点击此选项可下载服务提供者元数据以及 XML 格式的证书。

    • 仅下载证书:点击此选项仅下载证书(.pem 格式)。

    SP 元数据文件将具有上次保存的提供者配置设置版本,并且证书将是上次活动证书。

(可选)删除身份验证方法(Ivanti Neurons 平台)

  1. 在 Ivanti Neurons 平台中,导航至管理员 > 身份验证

    随即显示身份验证页面。

  2. 外部身份验证 (SSO) 部分中,点击操作 > 删除身份验证方法

    删除外部身份验证屏幕随即显示。

  3. 点击注销和重新进行身份验证

    Ivanti Neurons 是否已注销。

  4. 点击使用电子邮件和密码登录

  5. 输入凭据并点击登录

  6. 导航至管理员 > 身份验证 > 外部身份验证,然后点击操作 > 删除身份验证方法

    删除外部身份验证屏幕随即显示。

  7. 点击删除身份验证方法

    现有身份验证方法现已删除。