Настройка политики входа

Во время установки приложений Framework, Web Access или BridgeIT с помощью Центра конфигурации вы можете указать нужное значение для параметра Политика входа. Для получения информации о выборе наиболее корректной политики входа см. раздел Выбор политики входа. Доступны следующие варианты:

  • Только точно заданное – это значение по умолчанию, которое доступно для всех трех приложений. Используя этот параметр, пользователи будут каждый раз вводить свои имя пользователя и пароль для доступа к приложению Service Desk или Asset Manager.

Вам нужно использовать приложение Framework, которое имеет для установки Политика входа значение Только точно заданное во время обновления базы данных. Для получения дополнительной информации об обновлении вашей базы данных см. раздел Обновление базы данных Ivanti.

  • Только встроенный – доступен для приложений Framework и Web Access. Используя этот параметр, пользователи Service Desk и Asset Manager смогут вводить свои учетные данные для входа в сеть и аутентификации в приложениях Service Desk и Asset Manager, и последующего входа в них автоматически.
  • Только маркер – Этот параметр доступен для приложений Framework, Web Access и BridgeIT. Это обеспечивает единый вход (SSO) в приложения Web Access и Workspaces с помощью сервера Ivanti Secure Token Server (STS). Сервер STS устанавливается в качестве компонента сервера Ivanti Service Desk или Asset Manager.
    Функции SSO позволяют вам выполнять единый вход в ряд различных приложений с использованием одного имени пользователя и пароля. Если вы используете STS, это означает возможность пользователей выполнять вход в приложение Workspaces (BridgeIT) или Web Access с использованием имени пользователя и пароля Active Directory, которые обычно являются учетными данными для входа в сеть.
    Приложение BridgeIT и консоль должны быть подключены к ПО Framework, имеющему соответствующую политику входа. Поэтому, если вы установили BridgeIT для использования параметра Только маркер, вы также должны настроить Framework, к которому выполняется подключение только с помощью маркера. В этом случае, поскольку консоль не имеет поддержки использования только маркера, вы также должны создать приложение Framework, которое будет подключаться к этой же базе данных, но которая использует соответствующую политику входа, установленную на вашей консоли.

Если вы выберите Только маркер в качестве политики входа для приложения, вы должны указать следующие значения:
Url-адрес маркера экземпляра STS – это URL-адрес для маркера экземпляра STS, который вы будете использовать (например, https://имя_сервера/STS/IssueToken)
Значения параметров Имя пользователя и Пароль – это учетные данные для учетной записи администратора Windows Administrator на сервере, содержащем службу STS.

Приложение Web Access подключается непосредственно к самой базе данных, поэтому не требуется использовать приложение Framework с политикой входа, которая соответствует настройкам приложения Web Access.

Если вы также подключаете приложение BridgeIT к ПО Ivanti Endpoint Manager, вы должны иметь ПО Framework с политикой входа, настроенной для использования параметра Только маркер или Сервер идентификации.

Если ваше приложение BridgeIT имеет политику входа со значением Только точно заданное, тогда пользователи должны использовать для входа в сеть свои учетные данные Service Desk или Asset Manager; если они имеют настройку Только маркер.

  • Только Shibboleth – Этот параметр доступен для приложений Framework, Web Access и BridgeIT.
    Приложение BridgeIT должно быть подключено к ПО Framework, имеющему соответствующую политику входа. Поэтому, если вы установили BridgeIT для использования функции Только Shibboleth, вы также должны настроить Framework, к которому выполняется подключение только использованием функции Только Shibboleth. В этом случае, поскольку консоль не имеет поддержки использования функции Только Shibboleth, вы также должны создать приложение Framework, которое будет подключаться к этой же базе данных, но которая использует соответствующую политику входа, установленную на вашей консоли.
    Перед конфигурацией ПО Service Desk или Asset Manager для использования аутентификации Shibboleth вы должны сконфигурировать Shibboleth для передачи идентификационной информации пользователя в URL-запросы, которые отправляются в приложение Service Desk или Asset Manager. Это необходимо сконфигурировать так, чтобы идентификатор пользователя передавался в виде URL-заголовка в форме:
    ?http_landesk_user=ИД_пользователя.

С использованием параметра Политика входа со значением Только Shibboleth безопасный доступ в приложения Service Desk и Asset Manager обеспечивается поставщиком аутентификации SAML (например, Shibboleth).

Для получения дополнительной информации о конфигурации аутентификации Shibboleth см. прилагаемую документацию и раздел Конфигурация аутентификации Shibboleth.

  • Сервер идентификации – это служба авторизации, обеспечивающая работу явной политики входа и политики с использованием маркеров, которые доступны для приложений Framework, Web Access и BridgeIT для внутренних систем. Для использования этого параметра вам необходимо создать веб-приложение Сервер идентификации. Для получения дополнительной информации см. раздел Создание веб-приложений.

Для параметров Только встроенный, Только маркер, Только Shibboleth и Сервер идентификации необходимо ассоциировать пользователей Service Desk и Asset Manager, использующих на консоли функцию сетевого входа с помощью компонента Администрирование.

Для получения дополнительной информации об управлении пользователями см. раздел Управление пользователями.

Для ассоциации пользователя Service Desk или Asset Manager с функцией сетевого входа:

  1. В компоненте Администрирование на консоли разверните дерево Управление пользователями.
  2. Разверните ветвь Управление пользователями и выберите нужного пользователя.
  3. В списке Действия щелкните Добавить сетевой вход.
    Появится диалог "Сетевой вход".
  4. Введите данные в диалоге Сетевой вход для пользователя (в формате домен\имя_пользователя), а затем щелкните OK.
    Параметр сетевого входа появится в папке "Сетевой вход" для конкретного пользователя.

Собираясь создать другое приложение Web Access и BridgeIT в этом же экземпляре во время его подключения к одной и той же базе данных, установите для параметра Политика входа значение Только точно заданное. Это даст пользователям, не имеющим доступа к сети, но имеющим учетную запись Service Desk или Asset Manager, возможность открытия системы Service Desk или Asset Manager с помощью другого веб-адреса.