PingFederate 驗證 (SAML)

1. 在 Ivanti Neurons 平台中，導覽至管理員 > 驗證。
   驗證頁面隨即顯示。

2. 在外部驗證 (SSO) 區段中，按一下設定並啟用。
   啟用外部驗證 (SSO) 頁面隨即顯示。

3. 從提供者下拉式清單中，選取 PingFederate。

4. 從登入方式下拉式清單中，選取 Saml 2.0.。

   PingFederateSAML 2.0 組態設定隨即顯示。
   建議在 PingFederate 管理員主控台中設定詳細資訊時，讓此索引標籤保持開啟狀態，以供未來參考。

1. 登入 PingFederate 管理員主控台。

2. 從應用程式中，選取 SP 連線。

3. 按一下建立連線。

4. 在連線範本中，選取不使用範本進行此連線，然後按一下下一步。

5. 在連線類型中，選取瀏覽器 SSO 設定檔，因為此設定需要瀏覽器存取權限。

6. 從通訊協定下拉式清單中，選取 SAML 2.0，然後按一下下一步。

7. 在連線選項中，選取瀏覽器 SSO，然後按一下下一步。

8. 在匯入中繼資料中，選取無，然後按一下下一步。

9. 在一般資訊中，輸入已開啟的 Ivanti Neurons 索引標籤中提供的以下詳細資訊:

   • 合作夥伴實體 ID (連線 ID): 唯一連線識別碼 (實體 ID)。

   • 連線名稱: 此連線的語言識別碼。

10. (選用) 使用基礎 URL 指定多個虛擬伺服器 ID，以簡化合作夥伴端點組態，然後按一下下一步。

11. 在瀏覽器 SSO 中，按一下設定瀏覽器 SSO 以設定或編輯組態，以透過瀏覽器的安全 SSO 存取合作夥伴資源。

    1. 在 SAML 設定檔中，選取 SP 啟動的 SSO，以指定身分提供者和服務提供者之間交換的訊息類型以及傳輸方式 (繫結)，然後按一下下一步。

    2. 在斷言存留期中，設定向 SP 發出斷言前後的有效時間範圍，然後按一下下一步。

    3. 在斷言建立中，按一下設定斷言建立以設定 SAML 斷言，以透過 SSO 存取 SP 合作夥伴的網站。

    1. 在身分對應中，選取標準，然後按一下下一步。

    2. 在屬性合約中，選取 SAML_SUBJECT，並使用伺服器將在斷言中傳送的下列所需使用者屬性集更新延長合約欄位:

       • 電子郵件

       • given_name

       • family_name

    3. 按一下下一步。

    4. 在驗證來源對應中，按一下對應新配接器執行個體。

       1. 在配接器執行個體中，選取 PingOneIdpAdapter，然後按一下下一步。

       2. 在對應方式中，選取在 SAML 斷言中僅使用配接器合約值，然後按一下下一步。

       3. 在屬性合約履行中，更新屬性合約，如下所示:

          • SAML_SUBJECT: 來源 - 配接器，值 - username

          • email: 來源 - 配接器，值 - email

          • family_name: 來源 - 配接器，值 - name.family

          • given_name: 來源 - 配接器，值 - name.given

       4. 按一下下一步。

       5. 在核發條件中，依需要更新欄位或將其保留空白，然後按一下下一步。

       6. 在摘要中檢閱詳細資訊，然後按一下完成。

    5. 在驗證來源對應中，按一下下一步。

    6. 在摘要中檢閱詳細資訊，然後按一下完成。

    4. 在斷言建立中，按一下下一步。

    5. 在通訊協定設定中，按一下設定通訊協定設定以設定 SAML 斷言，以透過 SSO 存取 SP 合作夥伴的網站。

    1. 在斷言消費者服務 URL 中，從 Neurons 平台複製斷言客戶服務 URL，並將其貼到 PingFederate 管理員入口網站上的「端點 URL」欄位中。

    2. 從「繫結」下拉式清單中選取 POST，然後按一下新增 > 下一步。

    3. 在允許的 SAML 繫結中，選取 POST，然後按一下下一步。

    4. 在簽章原則中，選取依需要簽署回應，然後按一下下一步。

    5. 在加密原則中，選取無，然後按一下下一步。

    6. 在摘要中檢閱詳細資訊，然後按一下完成。

    6. 在通訊協定設定中，按一下下一步。

    7. 在摘要中檢閱詳細資訊，然後按一下完成。

12. 在瀏覽器 SSO 中，按一下下一步。

13. 在認證中，按一下設定認證以設定「數位簽章」設定。

    1. 從簽署憑證下拉式清單中選取憑證。

    2. 保留次要簽署憑證和簽署演算法的欄位值，然後按一下下一步。

    3. 在摘要中檢閱詳細資訊，然後按一下儲存。

14. 在認證中，按一下下一步。

15. 在啟用與摘要中檢閱詳細資訊，然後按一下完成。 SP 連線頁面隨即顯示。

16. 針對新設定的連線，按一下動作下的選取動作 > 匯出中繼資料。

17. 在中繼資料簽署中，從簽署憑證下拉式清單中選取憑證。

18. 從簽署演算法下拉式清單中選取演算法，然後按一下下一步。

19. 選取匯出。 至此中繼資料檔案已下載完成。

20. 導覽至已開啟 Ivanti Neurons 平台的啟用外部驗證頁面，然後按一下選取檔案。

21. 開啟下載的中繼資料檔案，然後按一下上傳。

22. 按一下繼續驗證設定。

您必須使用 PingFederate 認證連線才能驗證您的連線設定。

1. 在驗證連線設定頁面中，按一下驗證設定。 新索引標籤隨即會在貴組織的登入頁面上開啟。 輸入您的 PingFederate 認證並登入。

2. 返回驗證連線設定頁面，然後選取核取方塊以確認登入成功。
   PingFederate 目前已完成設定，但尚未啟用。 若要啟用，您必須將 Ivanti Neurons 平台帳戶轉換為 PingFederate。

3. 按一下繼續以繼續在轉換您的 Ivanti Neurons 平台帳戶頁面上執行動作。

• E2018 驗證失敗: 使用者無法透過 PingFederate 驗證。 檢查使用者名稱和密碼是否正確，以及使用者是否具有 PingFederate SP 連線的權限。

• E2019 缺少選擇性宣告: 驗證步驟失敗，因為從 PingFederate 傳回 Ivanti Neurons 平台的權杖中不存在其他選擇性宣告。

• E2020 無法連結至 Neurons 平台使用者帳戶: PingFederate 使用者登入資訊與 Ivanti Neurons 平台使用者不相符。 Ivanti Neurons 平台使用者帳戶電子郵件地址必須與登入 PingFederate 時使用的電子郵件地址相符。

1. 在轉換 Ivanti Neurons 平台帳戶頁面上，按一下登出並啟用。 Ivanti Neurons 已登出。

2. 按一下使用 PingFederate 登入，然後輸入您的 PingFederate 認證以完成程序。

3. 您現在可以在管理員 > 驗證中檢視處於已啟用狀態的 PingFederate 應用程式。    

4. 在 Neurons 平台中按一下登出。
   現在，當您重新登入時，系統會將您路由到 PingFederate 以選擇帳戶並使用 PingFederate 認證登入。

1. 在 Ivanti Neurons 平台中，導覽至設定 > 驗證。
   驗證方式頁面隨即顯示。

2. 在外部驗證 (SSO) 區段中，按一下動作並選取啟用自動佈建。

3. 從預設角色下拉式清單中選取您要指派給所有新成員的存取控制角色。
   若要設定角色，請前往 Ivanti Neurons > 管理員 > 角色。

4. 按一下啟用自動佈建確認角色選取，並且為所有新成員啟用自動佈建。