ADFS 驗證 (SAML)

Ivanti Neurons 目前可讓您為租用戶選擇 ADFS (Active Directory Federation Services) 做為外部驗證提供者。 ADFS 驗證是單一登入 (SSO) 系統,讓使用者能夠使用安全性權杖,透過單一登入安全地存取不同網域之間的應用程式和資源。 這簡化了使用者體驗,透過減少密碼重複使用來提高安全性,並簡化了組織的身分管理。

ADFS 驗證僅支援基於 SAML 的登入方法。

設定和啟用外部驗證

  1. 在 Ivanti Neurons 平台中,導覽至管理員 > 驗證

    驗證頁面隨即顯示。

  2. 外部驗證 (SSO) 區段中,按一下設定並啟用

    啟用外部驗證 (SSO) 頁面隨即顯示。

  3. 從「提供者」下拉式清單中,選取 ADFS

    隨即顯示 ADFS SAML 2.0 組態設定頁面。 建議在 ADFS Service Manager 主控台中設定詳細資訊時,讓此索引標籤保持開啟狀態,以供未來參考。

  4. 在 ADFS SAML 2.0 組態設定區段中,您可以選擇下列選項:

    • 啟用簽名要求: 啟用此選項可將數位簽署要求傳送至外部驗證提供者,並設定提供者以驗證已簽署的要求是否來自 Ivanti Neurons 租用戶。 或者,您可以停用此選項以停止傳送簽署的要求。

    • 啟用加密斷言: 啟用此選項可從外部驗證提供者接收加密的使用者資訊,您可以設定 Neurons 租用戶解密資訊。 或者您可以停用此選項,停止接收加密的使用者資訊。

  5. 按一下套用變更
    套用變更後,您可以下載 SAML SSO 系統的身分資訊,例如服務提供者中繼資料和憑證,如下所示:

    • 下載 SP 中繼資料: 按一下此選項下載 XML 格式的服務提供者中繼資料以及憑證。

    • 僅下載憑證: 按一下此選項僅下載憑證 (.pem 格式)。

  1. 登入 ADFS Service Manager 控制台。
    儀表板隨即顯示。

  2. 從 Service Manager 的儀表板,導覽至工具 > AD FS 管理
    AD FS 管理精靈隨即顯示。

  3. 在動作區段中,展開 AD FS 並選取新增相關方信任選項。

    新增相關方信任精靈將出現,其中包含執行組態的多個步驟。

  4. 歡迎步驟中,選取宣告認知選項,然後按一下開始

  5. 選取資料來源步驟中,選擇手動輸入有關依賴方信任的資料。 然後,按一下下一步

  6. 指定顯示名稱步驟中,輸入依賴方信任的名稱。 然後,按一下下一步

  7. 設定憑證步驟中,您可以上傳從 Ivanti Neurons 下載的加密憑證 (.cer 格式)。
    若要上傳加密憑證,請按一下瀏覽。 這會設定 ADFS 的加密宣告。 然後,按一下下一步

    如需下載憑證資訊,請參閱設定和啟用外部驗證 (Ivanti Neurons 平台) 區段中的步驟。

  1. 設定 URL 步驟中,選取啟用對 SAML 2.0 WebSSO 通訊協定選項的支援,並從 Neurons 平台 複製貼上服務 URL。 然後,按一下下一步

    如需服務 URL,請返回 Ivanti Neurons,並從 ADFS SAML 2.0 組態設定區段複製斷言消費者服務 URL

  2. 設定識別碼 驟中,輸入依賴方信任識別碼,然後按一下新增。 然後,按一下下一步

    如需依賴方信任識別碼,請返回 Ivanti Neurons,並在 ADFS SAML 2.0 組態設定區段下複製實體 ID

  1. 選擇存取控制原則步驟中,根據您的組織需求在選擇存取控制原則區段原則下選擇原則。 然後,按一下下一步以完成設定。

    這會關閉新增依賴方信任精靈並建立依賴方信任組態。

  1. AD FS 管理精靈上,選取 Relying Party Trusts 資料夾。
    這會顯示您建立的依賴方信任組態。

  2. 按兩下您建立的依賴方信任組態,然後瀏覽到簽章索引標籤。

  3. 按一下新增以瀏覽並上傳簽章驗證憑證。

    如需下載憑證資訊,請參閱設定和啟用外部驗證 (Ivanti Neurons 平台) 區段中的步驟。

確保 ADFS 組態包含適用於 Ivanti Neurons 的必要宣告。

  1. AD FS 管理精靈中,按一下動作區段下的編輯宣告簽發原則選項。

    您建立之所選依賴方信任組態的編輯宣告簽發原則精靈。

  2. 按一下新增規則

    新增轉換宣告規則精靈將與組態步驟一起顯示。

  3. 選擇規則類型步驟中,選擇將 LDAP 屬性作為宣告傳送選項,然後按一下下一步

  4. 設定宣告規則步驟中,輸入宣告名稱、選取屬性儲存,並執行 LDAP 屬性的所需對應。

    確保已設定下列對應:

    • 電子郵件地址 -> 電子郵件地址

    • 名字 -> 名字

    • 姓氏 -> 姓氏

    • 電子郵件地址 -> 名稱 ID

  5. 然後,按一下完成
    隨即顯示編輯宣告簽發原則精靈。

  6. 按一下套用

ADFS 組態完成後,您必須在 Ivanti Neurons 應用程式中套用身分提供者中繼資料端點 URL。

  1. 識別並複製 ADFS 供應者的中繼資料 URL。

    ADFS 提供者的 IdP 中繼資料 URL 將採用以下格式:
    https://<adfs-federation-service-name>/FederationMetadata/2007-06/FederationMetadata.xml"

  2. 返回 Ivanti Neurons 平台 並在身分提供者中繼資料端點 URL 欄位貼上 URL。
    這將驗證 URL。

  3. 按一下繼續以繼續。

您必須使用 ADFS 伺服器連線才能驗證您的連線設定。

  1. 驗證連線設定頁面中,按一下驗證設定

    驗證將自動進行。 在登入成功後,您將會看見確認畫面。

  2. 返回驗證連線設定頁面,然後選取核取方塊以確認登入成功。

  3. 按一下繼續以繼續在轉換您的 Ivanti Neurons 平台帳戶頁面上執行動作。

ADFS 目前已完成設定,但尚未啟用。

若要啟用,您必須轉換 Ivanti Neurons 平台帳戶,改為使用 ADFS。

  1. 啟用 Ivanti Neurons 平台帳戶頁面上,按一下登出並啟用
    Ivanti Neurons 登入頁面隨即顯示。
  2. 選取使用 ADFS 登入並輸入您的 ADFS 憑證,接著轉換就會完成。
    若要驗證,請登入 Neurons,前往管理員 > 驗證,並確認 ADFS 是外部驗證提供者。

    3. 相同的使用者必須在 Ivanti Neurons 中設定 ADFS 驗證並登入與驗證憑證,以避免「存取遭拒」錯誤。

所有成員都會收到確認帳戶已轉換且他們必須透過 ADFS 憑證繼續存取租用戶的電子郵件。 若成員沒有 ADFS 憑證,他們將無法存取 Ivanti Neurons。

外部驗證 (SSO) 現在將會顯示為已啟用狀態。

設定自動佈建

啟用自動佈建,將會對 ADFS 註冊內的所有成員自動授予 Ivanti Neurons 的存取權限,且不需要經過手動邀請程序。 當新成員第一次登入時,將會在 Ivanti Neurons > 成員中佈建新的 Ivanti Neurons 平台帳戶。 所有自動佈建的新成員都會取得設定中定義的存取控制角色。

  1. 在 Ivanti Neurons 平台中,瀏覽至設定 > 驗證

    驗證方法頁面隨即顯示。

  2. 外部驗證區段中,按一下動作並選取啟用自動佈建

  3. 預設角色下拉式清單中選取您要指派給所有新成員的存取控制角色。

    若要設定角色,請前往 Ivanti Neurons > 管理員 > 角色

  4. 按一下啟用自動佈建確認角色選取,並且為所有新成員啟用自動佈建。

啟用後,您可以編輯預設存取控制角色並停用自動佈建。 這些變更僅適用於修改後佈建的成員,不會影響現有成員。

(選用) 更新提供者設定 (Ivanti Neurons 平台)

此動作可讓您選擇是使用簽署的要求還是加密斷言,或者兩者都使用。

  1. 在 Ivanti Neurons 平台中,導覽至管理員 > 驗證

    驗證頁面隨即顯示。

  2. 外部驗證區段中,按一下動作 > 更新提供者設定

    更新 SAML 提供者頁面隨即出現。

  3. ADFS 組態設定中,您可以選擇下列項目:

    • 啟用簽名要求: 啟用此選項可將數位簽署要求傳送至外部驗證提供者,並設定提供者以驗證已簽署的要求是否來自 Ivanti Neurons 租用戶。 或者,您可以停用此選項以停止傳送簽署的要求。

    • 啟用加密斷言: 啟用此選項可從外部驗證提供者接收加密的使用者資訊,您可以設定 Neurons 租用戶解密資訊。 或者您可以停用此選項,停止接收加密的使用者資訊。

  4. 按一下套用變更

    現在,您可以根據您的需求下載更新的服務提供者中繼資料檔案和憑證。

    下載更新的加密憑證後,請確保將新憑證上傳到 ADFS 系統管理員。 要上傳憑證,請參閱 ADFS 設定 (伺服器管理員控制台) 區段。

  5. 按一下繼續驗證中繼資料。

  6. 驗證 SAML 提供者設定頁面上,按一下驗證設定

  7. 新索引標籤隨即會在貴組織的登入頁面上開啟。 輸入您的認證並登入。

    驗證將自動進行。 在登入成功後,您將會看見確認畫面。

  8. 返回驗證新提供者設定頁面,然後選取核取方塊以確認登入成功。

  9. 按一下繼續以繼續。

  10. 按一下儲存變更以完成此程序。

    隨即收到確認用戶端密碼更新成功的通知。

(選用) 更新憑證 (Ivanti Neurons 平台)

您可以使用此選項更新過期憑證或在憑證即將到期時進行。

更新功能適用於低使用時間期間使用。 Neurons 更新憑證後,它會立即開始使用新憑證。 這將導致身分識別提供者發生驗證事件失敗,直到更新 IdP 以預期新憑證為止。 請據此規劃,並確保協調的變更在您的 IdP 軟體中發生。

  1. 在 Ivanti Neurons 平台中,導覽至管理員 > 驗證
    驗證頁面隨即顯示。

  2. 外部驗證區段中,按一下動作 > 更新憑證
    更新憑證 畫面隨即出現。

  3. 按一下繼續
    更新索引標籤隨即出現。

  4. 更新索引標籤上,您可以下載服務提供者中繼資料和憑證。

    下載加密憑證後,請確認新憑證已上傳到身分識別提供者控制台,然後再進行驗證。

  5. 按一下繼續以前往驗證新憑證頁面。

  6. 按一下驗證憑證
    驗證將自動進行。 在登入成功後,您將會看見確認畫面。

  7. 返回驗證連線設定頁面,然後選取核取方塊以確認登入。

  8. 按一下繼續
    儲存新憑證頁面隨即出現。

  9. 按一下儲存變更

(選用) 下載 SP 中繼資料或憑證 (Ivanti Neurons 平台)

如果因為問題或錯誤而必須重新設定 ADFS 的外部驗證設定,它將需要憑證或 SP 中繼資料。 這些可從 Ivanti Neurons 的動作下拉式清單下載,如下所示:

  1. 在 Ivanti Neurons 平台中,導覽至管理員 > 驗證

    驗證頁面隨即顯示。

  2. 外部驗證 (SSO) 區段中,按一下動作。 從下拉式清單中,您可以按一下下列項目:

    • 下載 SP 中繼資料: 按一下此選項下載 XML 格式的服務提供者中繼資料以及憑證。

    • 僅下載憑證: 按一下此選項僅下載憑證 (.pem 格式)。

    SP 中繼資料檔案會有上次儲存版本的提供者組態設定,而憑證將是上次使用中的憑證。

(選用) 刪除驗證方式 (Ivanti Neurons 平台)

  1. 在 Ivanti Neurons 平台中,導覽至管理員 > 驗證

    驗證頁面隨即顯示。

  2. 外部驗證 (SSO) 區段中,按一下動作 > 刪除驗證方式

    刪除外部驗證畫面隨即顯示。

  3. 按一下登出並重新驗證

    Ivanti Neurons 已登出。

  4. 按一下使用電子郵件和密碼登入

  5. 輸入認證並按一下登入

  6. 導覽至管理員 > 驗證 > 外部驗證,然後按一下動作 > 刪除驗證方式

    刪除外部驗證畫面隨即顯示。

  7. 按一下刪除驗證方式

    現有驗證方式現已刪除。