Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

NinjaOne SAML in Okta konfigurieren

Thema

Dieser Artikel beschreibt die Integration der Okta-Anwendung mit NinjaOne unter Verwendung der Security Assertion Markup Language (SAML).

Umgebung

  • NinjaOne-Integrationen
  • Okta

Beschreibung

SAML ermöglicht Technikern den Zugriff auf die NinjaOne-Anwendung über ein Single Sign-On (SSO) bei ihrem bevorzugten Anbieter. SAML kann sowohl mit der Standard- als auch mit der gebrandeten NinjaOne-Webanwendung verwendet werden, die mehrere IDPs (Identity Providers) unterstützt. Weitere Informationen zur Verwendung von SAML mit NinjaOne finden Sie unter NinjaOne Identity Authentication Management: Über die IDP-initiierte Security Assertion Markup Language (SAML).

Index

NinjaOne SAML Integration

Voraussetzungen

Stellen Sie sicher, dass es für jeden SSO-Benutzer in NinjaOne eine passende E-Mail in Okta gibt.

NinjaOne unterstützt nicht die Okta Import Users und Import Profile Updates Funktion über NinjaOne SSO oder SCIM.
  • Wenn Sie eine Branding-URL verwenden, stellen Sie sicher, dass sowohl der Branding- als auch der native Hostname in der Einrichtung der Okta-Integration angegeben sind. Dadurch wird sichergestellt, dass beide als ACS-URLs (Assertion Consumer Service) festgelegt sind.
  • Wenn Sie die Option zur Umgehung der Multifaktor-Authentifizierung (MFA) bei der NinjaOne-Anmeldung nutzen möchten:
    • Konfigurieren Sie Ihre Authentifizierungsrichtlinien in Okta, um MFA während der Okta-Anmeldung durchzuführen.
    • Sie müssen eine Eigenschaft in Ihrer Okta-Anwendung konfigurieren, die auf "session.amr" verweist, indem Sie diese Anweisungen befolgen. Standardmäßig sucht NinjaOne nach einem SAML-Attribut namens "amr", das den Wert "mfa" enthalten sollte, wenn der Benutzer MFA für die Sitzung durchführt. NinjaOne fügt dieses Attribut standardmäßig zu der App hinzu, die sich im Okta Integration Network (OIN) Katalog befindet.
    • Die MFA-Umgehung erfolgt nur für Konten, die mit Multifaktor-Authentifizierung auf Okta zugreifen. Wenn Okta nicht das AMR-Attribut (Authentication Methods Reference) "mfa" zurückgibt, wird NinjaOne die native NinjaOne MFA nicht umgehen. Überprüfen Sie Ihre Authentifizierungsrichtlinie in Okta, um zu bestätigen, dass MFA mindestens für den Zugriff auf NinjaOne erforderlich ist, indem Sie auf App-Anmeldungsrichtlinien | Okta Identity Engine(extern zugreifen. Okta Verify gibt keinen AMR-Wert "mfa" zurück und erfordert eine begleitende MFA-Methode, um die MFA von NinjaOne zu umgehen. 
  • Wenn Sie eine bestehende NinjaOne SSO-Konfiguration mit Okta haben und die IDP-initiierte SSO-Funktion hinzufügen möchten, müssen Sie die Identitätsanbieter-App in NinjaOne und Okta entfernen und neu erstellen.

Unterstützte Funktionen

Weitere Informationen zu den aufgeführten Funktionen finden Sie im Okta-Glossar. 

  • SSO auf Veranlassung des SP
  • IDP-initiierte SSO 

SSO in NinjaOne konfigurieren

Siehe Login-Sicherheit: Konfigurieren Sie Single Sign-On in NinjaOne um SSO für Ihren IDP in NinjaOne zu konfigurieren. 

  • Fügen Sie in das Feld Welche E-Mail-Domänen werden mit dieser Integration authentifiziert? die E-Mail-Domänen der Benutzer hinzu, die sich mit diesem Identitätsanbieter authentifizieren werden. Wenn Sie dieses Feld leer lassen, wird jeder Benutzer mit einer Domäne, die nicht in einem anderen IDP angegeben ist, standardmäßig zu diesem Identitätsanbieter geleitet.
  • Navigieren Sie in einer separaten Browser-Registerkarte zur Okta Admin-Konsole, um mit der Einrichtung fortzufahren. Lassen Sie das Modal "SSO konfigurieren in NinjaOne geöffnet.

Erstellen einer NinjaOne SAML-Integration in Okta über die Okta Integration Network (OIN) Vorlage

In der Okta Admin-Konsole können Sie die NinjaOne SAML-Integration hinzufügen, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu Anwendungen App-Katalog durchsuchen. Suchen Sie "NinjaOne" und klicken Sie auf die NinjaOne-Anwendung, dann wählen Sie Integration hinzufügen.
  2. Setzen Sie den Anzeigenamen auf den Namen, den Sie den Benutzern anzeigen möchten.
  3. Kehren Sie zu NinjaOne zurück und öffnen Sie die IDP-Konfiguration. Kopieren Sie den Unique Identifier und fügen Sie ihn in das Feld SP Unique Identifier in Okta ein.
sso_eindeutiger Bezeichner konfigurieren.png
1. Screenshot: NinjaOne Configure SSO → Eindeutiger Bezeichner
  1. Setzen Sie den primären NinjaOne-Hostnamen auf Ihre Marken- oder Nicht-Marken-Website (z. B. "mycompany.rmmservice.com" oder "app.ninjarmm.com"). Dies ist die Standard-URL, die für IdP-initiierte Anmeldungen verwendet wird.
okta sp uid und hostname.png
2. Screenshot: Okta-Integrationsnetzwerk-Vorlage
  1. Fügen Sie optional den nicht verwendeten Wert für die Marken- oder Nicht-Marken-Website zum sekundären Hostnamen von NinjaOne als alternative Website-URL hinzu. Der sekundäre Hostname ist erforderlich, wenn Sie sich über einen vom SP initiierten Workflow mit Ihrer sekundären URL an der NinjaOne-Konsole anmelden möchten. Wenn die URL ohne Markennamen Ihre sekundäre URL ist, empfehlen wir, sie hinzuzufügen, da Identitätsanbieter gelegentlich die Standard-URL als Vermittler während des Anmeldevorgangs verwenden.
  2. Legen Sie die Sichtbarkeit der Anwendung so fest, dass die Anwendung je nach den Anforderungen Ihres Unternehmens entweder als für Benutzer verfügbar angezeigt wird oder nicht.
  3. Klicken Sie auf Fertig , um die SAML-Anwendung zu erstellen.
  4. Bleiben Sie in der Okta-Admin-Konsole und navigieren Sie zur Registerkarte " Zuweisungen" der neu erstellten SAML-App.
  5. Verwenden Sie das Dropdown-Menü Zuweisen, um Zielbenutzer oder -gruppen für die Anwendung hinzuzufügen.
Stellen Sie sicher, dass das NinjaOne-Konto, das für die Bereitstellung der NinjaOne SAML-Anwendung verwendet wird, der Anwendung in Okta zugewiesen ist. Dieser Benutzer muss ein NinjaOne-Konto mit einer passenden E-Mail-Adresse haben.
  1. Navigieren Sie zur Registerkarte Anmelden und kopieren Sie die Metadaten-URL.

Vervollständigen Sie die SSO-Einrichtung in NinjaOne

Kehren Sie zum Modal Configure SSO in NinjaOne zurück, um die SSO-Einrichtung abzuschließen.

Beim Einrichten von SSO mit der OIN-App fügt das System standardmäßig das Attribut "amr" hinzu. Sie müssen diesen Wert nicht hinzufügen und können mit allen Standardwerten speichern.
  1. In NinjaOne fügen Sie die Metadaten-URL, die Sie von Okta kopiert haben, in das Formular " Metadaten importieren von" ein. Verwenden Sie dabei den Standard-URL-Übermittlungstyp.
  2. Aktivieren Sie die Kippschalter Aktivieren je nach den Anforderungen Ihres Unternehmens.
sso_import-Metadaten konfigurieren und Umschaltungen aktivieren.png
3. Screenshot: NinjaOne Configure SSO → den Einrichtungsprozess abschließen
  1. Klicken Sie auf Verbindung testen , um den für die Einrichtung erforderlichen letzten Authentifizierungsprozess abzuschließen.

Sobald die SAML-Antwort erfolgreich validiert wurde, wird eine Meldung angezeigt, die bestätigt, dass Ihre Verbindung validiert wurde

  1. Klicken Sie abschließend auf Speichern .

Konfigurieren Sie NinjaOne SAML mit einer benutzerdefinierten SAML 2.0 App

Wenn die in der NinjaOne OIN-Vorlage enthaltenen Funktionen die erweiterten Konfigurationsanforderungen der Identitätseinrichtung Ihres Unternehmens nicht erfüllen, können Sie NinjaOne SAML mit einer benutzerdefinierten SAML 2.0-App konfigurieren.

Diese Anweisungen ersetzen die Schritte 1-7 des vorherigen Abschnitts mit dem Titel Erstellen einer NinjaOne SAML-Integration in Okta unter Verwendung der Okta Integration Network (OIN) Vorlage.
  1. Navigieren Sie in der Okta Admin-Konsole zu AnwendungenApp-Integration erstellen SAML 2.0.
  2. Geben Sie einen eindeutigen Bezeichner für den App-Namen ein, den Sie den Benutzern anzeigen möchten.
  3. Konfigurieren Sie die Einstellungen für die App-Sichtbarkeit und das App-Logo entsprechend den Anforderungen Ihrer Organisation und klicken Sie auf Weiter.
  4. Kopieren Sie in NinjaOne die Antwort-URL und fügen Sie sie in das Feld " Single Sign-On URL" in Okta ein. Wenn Sie beabsichtigen, IdP-initiiertes SSO zu verwenden, wird diese URL verwendet, um Benutzer zu der gebrandeten oder nicht gebrandeten Website zu leiten.
  5. Kopieren Sie in NinjaOne die SP-Kennung (Entitäts-ID) und fügen Sie sie in das Feld Audience URI (SP-Entitäts-ID) in Okta ein
  6. Lassen Sie Default RelayState leer und behalten Sie das Format der Namens-ID als "Unspecified" bei
  7. Das Feld Anwendungsbenutzername für den Okta-Benutzernamen kann im Allgemeinen als Standardeintrag beibehalten werden. Sie sollten dieses Attribut jedoch auf "E-Mail" setzen, wenn der Okta-Benutzername keine E-Mail-Adresse ist. Dieser Wert muss mit der E-Mail-Adresse in NinjaOne übereinstimmen.
  8. Lassen Sie den Benutzernamen der Anwendung Update unverändert.
  9. Optional, wenn Sie die NinjaOne-eigene MFA bei der Anmeldung umgehen möchten: Erstellen Sie im Abschnitt Attributanweisungen ein Attribut mit dem Namen "amr" und dem Wert "session.amr" Weitere Informationen finden Sie in den Materialien zum MFA-Bypass, die im Abschnitt Voraussetzungen weiter oben in diesem Artikel aufgeführt sind.
  10. Führen Sie die folgenden Schritte durch, um die native Antwort-URL zu konfigurieren (Beispiel: "https://app.ninjarmm.com"), die für SP-initiiertes SSO und native MFA verwendet werden kann:
    1. Kopieren Sie den SP Identifier (Entity ID) aus dem Configure SSO Modal in NinjaOne.
    2. Klicken Sie auf Erweiterte Einstellungen in Okta anzeigen.  
    3. Fügen Sie die SP-Kennung (Entitäts-ID) in das Feld Andere anforderbare SSO-URLs ein.
    4. Setzen Sie den Indexwert auf "1"
okta_other request sso urls.png
4. Screenshot: Okta Custom SAML 2.0 App → Erweiterte Einstellungen
  1. Klicken Sie auf Weiter.
  2. Lassen Sie die Einträge auf der Seite Feedback leer und klicken Sie auf Fertig stellen.
  3. Führen Sie die Schritte 8-10 aus dem Abschnitt Erstellen einer NinjaOne SAML-Integration in Okta unter Verwendung der Okta Integration Network (OIN) Vorlage aus. Es handelt sich um folgende Schritte:
    1. Bleiben Sie in der Okta-Admin-Konsole und navigieren Sie zur Registerkarte " Zuweisungen" der neu erstellten SAML-App.
    2. Verwenden Sie das Dropdown-Menü Zuweisen , um Zielbenutzer oder -gruppen für die Anwendung hinzuzufügen.
    3. Navigieren Sie zur Registerkarte Anmelden und kopieren Sie die Metadaten-URL.
  4. Führen Sie alle Schritte aus dem Abschnitt SSO-Einrichtung in NinjaOne abschließen aus, um den Einrichtungsprozess abzuschließen. 

Testen der SP- und IDP-initiierten Anmeldungen

Wir empfehlen, sowohl den vom SP initiierten als auch den vom IdP initiierten Anmeldefluss mit einem Testkonto zu testen, bevor die Authentifizierungsarten aller NinjaOne-Benutzer von Native auf Single Sign-on geändert werden. Dadurch werden mögliche Probleme beim Zugriff auf das NinjaOne-Konto vermieden. 

Während des Tests sollten Sie bei Ihrem Testkonto oder einem anderen Systemadministrator-Konto in einer Standard-Browser-Registerkarte angemeldet bleiben. So können Sie Ihren MFA-Typ im Falle von Konfigurationsproblemen zurücksetzen.
  1. Melden Sie sich bei NinjaOne mit einem Systemadministratorkonto an, das Sie gerne zum Testen verwenden und das Zugriff auf die Okta Identity Provider App hat.
  2. In NinjaOne klicken Sie auf Ihr Avatar-Symbol in der oberen rechten Ecke der Konsole und dann auf Ihren Namen, um Ihre Benutzereinstellungen zu öffnen.
  3. Navigieren Sie zur Registerkarte Sicherheit und wählen Sie im Dropdown-Menü Authentifizierungstyp die Option Einzelanmeldung aus. Änderungen speichern.
account_security_authentication type.png
5. Screenshot: Wählen Sie die Authentifizierungsart für Ihr NinjaOne-Konto

So testen Sie SP-initiiertes SSO

  1. Navigieren Sie in einer privaten oder inkognitiven Browser-Registerkarte zur NinjaOne-Website (mit oder ohne Markenzeichen). Die Website-URL ist abhängig von den Konfigurationseinstellungen für den primären und sekundären Hostnamen in Okta.
  2. Geben Sie Ihren NinjaOne-Benutzernamen ein. Das Passwortfeld sollte verschwinden; klicken Sie auf Mit Okta anmelden. 
mit okta anmelden.png
6. Screenshot: Anmeldung bei NinjaOne mit Okta

Sie werden zu Okta weitergeleitet, um Ihre Anmeldedaten einzugeben, und dann nach erfolgreicher Authentifizierung zu NinjaOne weitergeleitet. 

Damit wird der vom SP initiierte SSO-Fluss bestätigt. Wenn die MFA-Umgehung aktiviert ist und Sie MFA über Okta abgeschlossen haben, werden Sie nicht aufgefordert, NinjaOne's Native MFA zu verwenden. 

So testen Sie IdP-initiiertes SSO

  1. Navigieren Sie in einer privaten oder inkognito Browser-Registerkarte zu Ihrem Okta-Endbenutzer-Dashboard.
  2. Klicken Sie auf das NinjaOne-App-Symbol im Bereich Meine Apps. Dies sollte Sie zum NinjaOne Dashboard weiterleiten und den vom IdP initiierten SSO-Fluss bestätigen. 

Wenn die MFA-Umgehung aktiviert ist und Sie MFA über Okta abgeschlossen haben, werden Sie nicht aufgefordert, NinjaOne's Native MFA zu verwenden. 

SSO für bestehende Benutzer konfigurieren

Sie können Okta SSO für bestehende NinjaOne-Nutzer über die NinjaOne-Konsole konfigurieren. 

  1. Gehen Sie zu Verwaltung Konten Alle Benutzer.
  2. Wählen Sie die Techniker oder Endbenutzer aus, die Sie für SSO konfigurieren möchten.
  3. Klicken Sie auf Aktionen und wählen Sie Authentifizierung ändern.
  4. Setzen Sie den Authentifizierungstyp auf Single Sign-On (SSO) und klicken Sie auf Aktualisieren , um die Änderungen zu speichern.

Die Authentifizierungsart kann auch pro Benutzer im Abschnitt Sicherheit auf der Kontokonfigurationsseite aktualisiert werden.

benutzer_authentifizierung_ändern.png
7. Screenshot: NinjaOne Benutzerkonten → Authentifizierung ändern

Zusätzliche Ressourcen

Um mehr über die Identitätsdienste von NinjaOne zu erfahren, lesen Sie bitte Identitätsauthentifizierung und -management: Ressourcen-Katalog.

Um mehr über die Aktivierung von SCIM für Okta zu erfahren, lesen Sie bitte NinjaOne SCIM in Okta konfigurieren.

FAQ

Nächste Schritte