Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

NinjaOne MFA-Bypass: FAQ

Thema

In diesem Artikel wird erläutert, wie Sie die bedingte Umgehung für die NinjaOne-Multi-Faktor-Authentifizierung (MFA) aktivieren.

Umgebung

NinjaOne-Plattform

Beschreibung

Aktivieren Sie die bedingte Umgehung der NinjaOne-MFA, um sicherzustellen, dass diese bei einer SSO-Anmeldung nur einmal durchgeführt wird – entweder beim Identitätsanbieter oder bei NinjaOne, jedoch nicht bei beiden. Dies gewährleistet weiterhin ein hohes Maß an Sicherheit und bietet den zusätzlichen Vorteil der Benutzerfreundlichkeit, da nur eine einzige MFA-Überprüfung erforderlich ist.

Inhaltsverzeichnis

Wählen Sie eine Kategorie aus, um mehr zu erfahren: 

FAQ

Was ist der MFA-Workflow?

Die folgende Abbildung zeigt MFA, das ausschließlich als Identitätsanbieter (IdP) verwendet wird:

Picture1.png
Abbildung 1: MFA-Workflow für IdPs

Die folgende Abbildung zeigt, wie NinjaOne MFA nutzt:

Picture2.png
Abbildung 2: MFA-Workflow für NinjaOne

Wie nutzt NinjaOne MFA?

Einige IdPs, darunter Okta und Azure, fügen der Antwort auf die Benutzeranmeldung ein SAML-Attribut hinzu, das angibt, ob während der Anmeldesitzung MFA durchgeführt wurde. Wir suchen nach diesem Attribut, sobald die SAML-Antwort empfangen wurde, um anhand dieser Bedingung zu entscheiden, ob die NinjaOne-MFA übersprungen werden soll. 

Die SAML-Antwort ist ein kryptografisch signiertes Dokument, das das Vertrauensverhältnis zwischen NinjaOne und dem IdP herstellt. Es kann zwischen dem IdP und NinjaOne nicht unbemerkt verändert werden. Wenn wir dieses spezifische MFA-Attribut in der SAML-Antwort nicht finden, umgehen wir die NinjaOne-MFA für die Benutzeranmeldung nicht.

Welche Identitätsanbieter unterstützt NinjaOne?

Derzeit werden für diese Funktion nur Azure und Okta als IdPs unterstützt. Wir werden weitere IdPs unterstützen, sobald wir festgestellt haben, dass diese ein solches sitzungsbasiertes MFA-Attribut, wie oben beschrieben, zulassen.

Nach welchen Attributen sucht NinjaOne?

NinjaOne sucht in der SAML-Antwort für Okta und Azure nach den folgenden Attributen. Werden diese gefunden, umgeht NinjaOne die MFA für diese Anfrage. Werden sie nicht gefunden, führt NinjaOne die MFA für die Anmeldeanfrage durch.

Okta-Attribute:

<saml2:Attribute Name=“amr” NameFormat=“urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified”>
<saml2:AttributeValue xmlns:xs=“http://www.w3.org/2001/XMLSchema” xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>swk</saml2:AttributeValue>
<saml2:AttributeValue xmlns:xs=“http://www.w3.org/2001/XMLSchema” xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>mfa</saml2:AttributeValue>
<saml2:AttributeValue xmlns:xs=“http://www.w3.org/2001/XMLSchema” xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>pwd</saml2:AttributeValue>
</saml2:Attribute>

Azure-Attribute:

<Attribute Name="http://schemas.microsoft.com/claims/authnmethodsreferences">
<AttributeValue>http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password</AttributeValue>
<AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</AttributeValue>
</Attribute>
Für Okta müssen Sie das Attribut in der Attributliste für die Okta-Anwendung konfigurieren. Wir empfehlen, das Attribut „amr“ zu nennen, da dies der Attributname ist, nach dem wir standardmäßig suchen. Ein Attributwert von „mfa“ muss in der Liste vorhanden sein, damit die bedingte Umgehung wirksam wird. Weitere Informationen finden Sie in der Okta-Dokumentation unter „Pass Dynamic Authentication Context“ (externer Link).

Warum ist „Enable conditional NinjaOne MFA bypass“ nach dem IdP-Test ausgeblendet?

Da diese Version nur Azure und Okta unterstützt, suchen wir derzeit nach einer IdP-URL, die .okta.com (Okta) oder .microsoftonline.com (Azure) enthält. Wenn Ihr Identitätsanbieter eine markenspezifische URL hat, wird diese derzeit nicht unterstützt, was sich jedoch in Zukunft wahrscheinlich ändern wird. Vorerst wird diese Option bei allen anderen IdPs ausgeblendet, sobald die IdP-Testverbindung abgeschlossen ist.

Warum erhalten Benutzer beim Anmelden immer noch die NinjaOne-MFA, obwohl ich diese Funktion aktiviert habe?

Dies kann verschiedene Ursachen haben:

  • Die Funktion ist in der NinjaOne-IdP-Konfiguration nicht aktiviert.
  • Möglicherweise ist das vom IdP in der SAML-Antwort gesetzte Attribut entweder nicht vorhanden oder es handelt sich nicht um den gesuchten Attributnamen. Stellen Sie sicher, dass das Attribut in der von NinjaOne empfangenen SAML-Antwort enthalten ist.
  • Der Benutzer hat möglicherweise keine MFA beim IdP durchgeführt. Stellen Sie sicher, dass die IdP-Richtlinie MFA für die NinjaOne-Anwendung erzwingt.
  • Wenn der IdP für die MFA mit einem Drittanbieter konfiguriert ist (z. B. Duo mit Azure IdP), ist es möglich, dass der IdP das gesuchte MFA-Attribut nicht hinzufügt.
  • Möglicherweise ist für das Konto des Benutzers nur eine einzige Authentifizierungsmethode konfiguriert (z. B. Kontopasswort, Authentifizierungs-App, Okta Verify oder andere). Daher erfüllt das Konto die MFA-Anforderung in NinjaOne nicht und es wird die Aufforderung angezeigt. Fügen Sie eine sekundäre Authentifizierungsoption hinzu und versuchen Sie es erneut.

Hat diese Funktion Auswirkungen auf die NinjaOne-MFA für sicherheitskritische Vorgänge in NinjaOne nach der Anmeldung?

Nein, diese Funktion hat keinen Einfluss auf die MFA-Anforderungen nach der Anmeldung. Selbst wenn die NinjaOne-MFA bei der Anmeldung umgangen wird, sollten alle NinjaOne-Techniker und Endbenutzer weiterhin eine NinjaOne-MFA konfiguriert haben und müssen nach der Anmeldung für sicherheitsrelevante Vorgänge weiterhin eine MFA durchführen.

Warum erhalte ich bei der Anmeldung immer noch eine Aufforderung zur MFA, obwohl ich „Bypass“ aktiviert habe?

Möglicherweise haben Sie nur eine einzige Authentifizierungsmethode für Ihr Konto konfiguriert (z. B. ein Kontopasswort, eine Authentifizierungs-App, Okta Verify oder Ähnliches). Daher erfüllt das Konto die MFA-Anforderung nicht und es wird die Aufforderung zur NinjaOne MFA angezeigt. Fügen Sie eine zweite Authentifizierungsoption hinzu und versuchen Sie es erneut.

FAQ

Nächste Schritte