Ustawianie polityki logowania

Podczas konfigurowania środowiska, komponentu Web Access lub aplikacji BridgeIT za pomocą Centrum konfiguracji można określić politykę logowania, która ma być używana. Więcej informacji na temat wyboru najbardziej odpowiedniej polityki logowania można znaleźć w sekcji Wybór polityki logowania. Dostępne są następujące opcje:

  • Tylko jawne — opcja dostępna dla wszystkich trzech aplikacji. Po jej wybraniu, aby uzyskać dostęp do aplikacji, użytkownicy wprowadzają nazwę użytkownika systemu Service Desk lub Asset Manager oraz hasło za każdym razem, gdy aplikacja jest uruchamiana.

Konieczne jest użycie aplikacji Środowisko, która ma opcję Polityka logowania ustawioną na wartość Tylko jawne, przy każdej aktualizacji bazy danych. Więcej informacji na temat aktualizowania bazy danych zawiera sekcja Aktualizowanie bazy danych Ivanti.

  • Tylko zintegrowane — metoda dostępna w przypadku aplikacji Środowisko i komponentu Web Access. Po jej wybraniu systemy Service Desk i Asset Manager identyfikują konto użytkownika na podstawie jego identyfikatora sieciowego i logują go automatycznie.
  • Tylko token — Metoda dostępna wyłącznie w przypadku aplikacji Środowisko, komponentu Web Access i platformy BridgeIT. Ta opcja udostępnia pojedyncze logowanie (SSO) do komponentu Web Access i aplikacji Workspaces przy użyciu serwera Ivanti Secure Token Server (STS). Serwer STS jest instalowany w ramach instalacji serwera Ivanti Service Desk lub Asset Manager.
    Mechanizm pojedynczego logowania umożliwia użytkownikom do stęp do wielu aplikacji po jednokrotnym zalogowaniu za pomocą pojedynczej nazwy użytkownika i hasła. Jeśli używany jest serwer STS, oznacza to, że użytkownicy mogą logować się do aplikacji Workspaces (BridgeIT) lub komponentu Web Access za pomocą nazwy użytkownika i hasła usługi Active Directory — są to zazwyczaj te same poświadczenia, które są używane podczas logowania do sieci.
    Aplikacja BridgeIT oraz konsola muszą być połączone ze środowiskiem, w którym ustawiono taką samą politykę logowania. Dlatego, jeśli w aplikacji BridgeIT ustawiona jest opcja Tylko token, w środowisku, z którym jest ona połączona, należy także ustawić opcję Tylko token. W tym przypadku ze względu na to, że konsola nie obsługuje polityki Tylko token, konieczne jest także utworzenie środowiska, które jest połączone z tą samą bazą danych, ale w którym używana jest polityka logowania zgodna z implementacjami konsoli.

Jeśli dla aplikacji wybrana zostaje Polityka logowania Tylko token, należy określić następujące wartości:
Adres URL tokena wystawionego przez STS — adres URL tokena wystawionego przez serwer STS, który ma zostać użyty (na przykład: https://nazwa_serwera/STS/IssueToken)
Nazwa użytkownika oraz Hasło — poświadczenia konta administratora systemu Windows na serwerze udostępniającym usługę STS.

Komponent Web Access łączy się bezpośrednio z samą bazą danych, dlatego nie jest potrzebne środowisko z ustawioną polityką logowania zgodną z komponentem Web Access.

Gdy aplikacja BridgeIT łączy się także z systemem Ivanti Endpoint Manager, konieczne jest istnienie Środowiska z opcją Polityka logowania ustawioną na Tylko token lub Serwer tożsamości.

Jeśli w aplikacji BridgeIT opcja Polityka logowania jest ustawiona na Tylko jawne, użytkownicy logują się przy użyciu swoich poświadczeń w systemie Service Desk lub Asset Manager. W przypadku ustawienia Tylko token logują się przy użyciu poświadczeń sieciowych.

  • Tylko Shibboleth — Metoda dostępna wyłącznie w przypadku środowiska, komponentu Web Access i platformy BridgeIT.
    Platforma BridgeIT musi być połączona ze środowiskiem, w którym ustawiono taką samą politykę logowania. Dlatego, jeśli na platformie BridgeIT ustawiona jest opcja Tylko Shibboleth, w środowisku, z którym jest ona połączona, należy także ustawić opcję Tylko Shibboleth. W tym przypadku ze względu na to, że konsola nie obsługuje polityki Tylko Shibboleth, konieczne jest także utworzenie środowiska, które jest połączone z tą samą bazą danych, ale w którym używana jest polityka logowania zgodna z implementacjami konsoli.
    Przed skonfigurowaniem w systemie Service Desk lub Asset Manager uwierzytelniania Shibboleth należy skonfigurować w metodzie Shibboleth przekazywanie tożsamości użytkownika w żądaniach z adresami URL, które są wysyłane do systemu Service Desk lub Asset Manager. Należy ją skonfigurować w taki sposób, aby identyfikator użytkownika był przekazywany jako nagłówek w adresie URL w formacie:
    ?http_landesk_user=id_użytkownika.

Gdy opcja Polityka logowania jest ustawiona na Tylko Shibboleth, za bezpieczny dostęp do systemów Service Desk i Asset Manager odpowiada Dostawca uwierzytelniania SAML (na przykład Shibboleth).

Informacje na temat konfigurowania metody Shibboleth można znaleźć w dostarczonej dokumentacji oraz w sekcji Konfigurowanie uwierzytelniania Shibboleth.

  • Serwer tożsamości — usługa autoryzacji logowania, która obsługuje zarówno jawną politykę logowania, jak i logowanie z użyciem tokenu w przypadku aplikacji Środowisko, komponentu Web Access oraz platformy BridgeIT dla systemów wewnętrznych. W przypadku tej opcji wymagane jest utworzenie aplikacji sieci Web Serwer tożsamości. Więcej informacji na ten temat zawiera sekcja Tworzenie aplikacji sieci Web.

W przypadku opcji Tylko zintegrowane, Tylko token, Tylko Shibboleth i Serwer tożsamości należy powiązać użytkowników systemów Service Desk i Asset Manager z identyfikatorami sieciowymi, korzystając z komponentu Administracja w Konsoli.

Więcej informacji na temat zarządzania użytkownikami można znaleźć w sekcji Zarządzanie użytkownikami.

Aby powiązać użytkownika systemu Service Desk lub Asset Manager z identyfikatorem sieciowym:

  1. W komponencie Administracja konsoli rozwiń drzewo Zarządzanie użytkownikami.
    Zarządzanie użytkownikami
  2. Rozwiń gałąź Użytkownicy i wybierz wymaganego użytkownika.
  3. Na liście Działania kliknij opcję Dodaj identyfikator sieciowy.
    Zostanie wyświetlone okno dialogowe Identyfikator sieciowy.
  4. Wprowadź Identyfikator sieciowy użytkownika (w formacie domena\nazwa_użytkownika), a następnie kliknij przycisk OK.
    Identyfikator sieciowy zostanie wyświetlony w folderze Identyfikator sieciowy pod użytkownikiem.

Można rozważyć utworzenie innego komponentu Web Access i aplikacji BridgeIT w tej samej instancji, z użyciem połączenia z tą samą bazą danych, ale z polityką logowania ustawioną na Tylko jawne. Pozwoliłoby to użytkownikom, którzy nie dysponują identyfikatorem sieciowym, ale mają konto w systemie Service Desk lub Asset Manager, na dostęp do systemu Service Desk lub Asset Manager przy użyciu innego adresu internetowego.