PingFederate 驗證 (OIDC)

Ivanti Neurons 目前可讓您為租用戶選取 PingFederate 做為外部驗證提供者。 PingFederate 會集中化一般使用者登入體驗,減少因密碼相關問題致電技術支援中心的次數,並且精細地控制原則和稽核記錄。

設定和啟用外部驗證

  1. 在 Ivanti Neurons 平台中,導覽至管理員 > 驗證
    驗證頁面隨即顯示。

  2. 外部驗證 (SSO) 區段中,按一下設定並啟用
    啟用外部驗證 (SSO) 頁面隨即顯示。

  3. 提供者下拉式清單中,選取 PingFederate

  4. 登入方式下拉式清單中,選取 OpenId Connect (OIDC)

    PingFederate 組態設定隨即顯示。
    建議在 PingFederate 管理員主控台中設定詳細資訊時,讓此索引標籤保持開啟狀態,以供未來參考。

  1. 登入 PingFederate 主控台

  2. 應用程式中,選取 OAuth

  3. 按一下新增用戶端

  4. 用戶端中,更新用戶端組態和原則資訊,如下所示:

    1. 用戶端 ID: 輸入您選擇的唯一用戶端 ID。 複製此用戶端 ID,並將其貼到已開啟的 Ivanti Neurons 索引標籤上的用戶端 ID欄位中。

    2. 名稱: 與用戶端 ID 相同。

    3. 用戶端驗證: 選取用戶端密碼

    4. 用戶端密碼: 選取變更密碼,然後按一下產生密碼

    5. 複製用戶端密碼值,並將其貼到已開啟的 Ivanti Neurons 索引標籤上的用戶端密碼值欄位中。

    6. 重新導向 URI: 從 Neurons 平台複製重新導向 URI,並將其貼到 PingFederate 管理員入口網站中的重新導向 URI欄位中。

    7. 按一下新增

    8. 允許的授予類型: 選取授權碼隱含

    9. 預設存取權杖管理器: 選取 IvantiTestToken

    10. OPENID CONNECT: 從 Neurons 平台複製登出 URI,並將其貼到 PingFederate 憑證入口網站上的登出後重新導向 URI 欄位中,然後按一下新增

    11. 按一下儲存

  5. 系統中,選取伺服器 > 通訊協定設定 > 同盟資訊,複製基礎 URL,並將其貼到已開啟的 Ivanti Neurons 索引標籤上的簽發者欄位中。

  6. 在 Ivanti Neurons 索引標籤上按一下繼續,以驗證設定。

您必須使用 PingFederate 認證連線才能驗證您的連線設定。

  1. 驗證連線設定頁面中,按一下驗證設定。 新索引標籤隨即會在貴組織的登入頁面上開啟。 輸入您的 PingFederate 憑證並按一下登入

  2. 請求核准頁面上,確保已選取下列內容:

    • 存取使用者名稱

    • OPENID 範圍

    • 設定檔範圍

    • 電子郵件範圍

  3. 按一下允許

  4. 返回驗證連線設定頁面,然後選取核取方塊以確認登入成功。
    PingFederate 憑證已完成設定,但尚未啟用。 若要啟用,您必須將 Ivanti Neurons 平台帳戶轉換為 PingFederate。

  5. 按一下繼續以繼續在轉換您的 Ivanti Neurons 平台帳戶頁面上執行動作。

  • E2018 驗證失敗: 使用者無法透過 PingFederate 驗證。 檢查使用者名稱和密碼是否正確,以及使用者是否具有 PingFederate SP 連線的權限。

  • E2019 缺少選擇性宣告: 驗證步驟失敗,因為從 PingFederate 傳回 Ivanti Neurons 平台的權杖中不存在其他選擇性宣告。

  • E2020 無法連結至 Neurons 平台使用者帳戶: PingFederate 使用者登入資訊與 Ivanti Neurons 平台使用者不相符。 Ivanti Neurons 平台使用者帳戶電子郵件地址必須與登入 PingFederate 時使用的電子郵件地址相符。

  1. 轉換 Ivanti Neurons 平台帳戶頁面上,按一下登出並啟用。 Ivanti Neurons 已登出。

  2. 按一下使用 PingFederate 登入,然後輸入您的 PingFederate 認證以完成程序。

  3. 您現在可以在管理員 > 驗證中檢視處於已啟用狀態的 PingFederate 應用程式。    

  4. 在 Neurons 平台中按一下登出
    現在,當您重新登入時,您將路由至     PingFederate 選擇帳戶並使用 PingFederate 憑證登入。

確保應用程式 > OAuth > 存取權杖對應 > IdP 配接器: PingOneIdpAdapter > 存取權杖對應中的合約履行欄位包括 emailgiven_namefamily_name 使用者屬性。

設定自動佈建

啟用自動佈建後,使用者引入品牌應用程式註冊內的所有成員都會自動取得 Ivanti Neurons 的存取權限,且不需要經過手動邀請程序。 新成員第一次登入時,系統會在 Ivanti Neurons > 成員中為其佈建新的 Ivanti Neurons 平台帳戶。 所有自動佈建的新成員都會取得設定中定義的存取控制角色。

  1. 在 Ivanti Neurons 平台中,導覽至設定 > 驗證
    驗證方式頁面隨即顯示。

  1. 外部驗證 (SSO) 區段中,按一下動作並選取啟用自動佈建

  1. 預設角色下拉式清單中選取您要指派給所有新成員的存取控制角色。
    若要設定角色,請前往 Ivanti Neurons > 管理員 > 角色

  1. 按一下啟用自動佈建確認角色選取,並且為所有新成員啟用自動佈建。

啟用後,您可以編輯預設存取控制角色並停用自動佈建。 這些變更僅適用於修改後佈建的成員,不會影響現有成員。

啟用自動佈建將為所有 PingFederate 應用程式註冊使用者授予 Ivanti Neurons 的存取權限。 您可以在 PingFederate 應用程式中限制為只有特定使用者或群組才能存取。

(選用) 更新用戶端密碼 (Ivanti Neurons 平台)

若 PingFederate 使用者端密碼即將到期,您需要設定新密碼才能繼續使用此驗證方式。

  1. 在 Ivanti Neurons 平台中,導覽至管理員> 驗證
    驗證頁面隨即顯示。

  2. 在「外部驗證」區段中,按一下動作 > 更新用戶端密碼
    更新用戶端密碼頁面隨即顯示。

  3. 輸入從 PingFederate 應用程式取得的新使用者端密碼 並貼到 Ivanti Neurons 平台的使用者端密碼欄位

  4. 按一下繼續以驗證使用者端密碼

  5. 驗證新使用者端密碼頁面中,按一下驗證使用者端密碼新索引標籤隨即會在貴組織的登入頁面上開啟。

  6. 輸入您的 PingFederate 憑證並按一下登入

  7. 請求核准頁面上,確保已選取下列內容:

    1. 存取使用者名稱

    2. OPENID 範圍

    3. 設定檔範圍

    4. 電子郵件範圍

  8. 按一下允許

    若成功,則會返回至此精靈,並繼續更新用戶端密碼。
    如果不成功,請驗證輸入的新用戶端密碼是否正確。 有關其他失敗原因,請參閱驗證疑難排解

  9. 返回驗證新用戶端密碼頁面,然後選取核取方塊以確認登入成功。

  10. 按一下繼續以繼續在儲存新使用者端密碼頁面上執行動作。

  11. 按一下儲存變更以完成此程序
    隨即收到確認用戶端密碼更新成功的通知。

(選用) 刪除驗證方式 (Ivanti Neurons 平台)

  1. 在 Ivanti Neurons 平台中,導覽至管理員 > 驗證
    驗證頁面隨即顯示。

  2. 外部驗證區段中,按一下動作 > 刪除驗證方式
    刪除外部驗證畫面隨即顯示。

  3. 按一下登出並重新驗證
    Ivanti Neurons 已登出。

  4. 按一下使用電子郵件和密碼登入

  5. 輸入認證並按一下登入

  6. 導覽至管理員 > 驗證 > 外部驗證,然後按一下動作 > 刪除驗證方式
    刪除外部驗證畫面隨即顯示。

  7. 按一下刪除驗證方式
    現有驗證方式現已刪除。