Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

Konfigurieren von NinjaOne SCIM mit der benutzerdefinierten SAML 2.0-App von Okta

Thema

In diesem Artikel wird erläutert, wie Sie System for Cross-domain Identity Management (SCIM) mit der benutzerdefinierten SAML 2.0-Anwendung (Security Assertion Markup Language) von Okta einrichten. 

Wir empfehlen, Single Sign-On (SSO) und SCIM mit der NinjaOne Okta Integration Network-Anwendung einzurichten, da dies den Konfigurationsprozess erheblich vereinfacht. Verwenden Sie die folgenden Ressourcen für Einrichtungsanweisungen. Wenn Ihre Organisation erweiterte Identitätskonfigurationen erfordert, die von der OIN-Vorlage nicht unterstützt werden, finden Sie in diesem Artikel Schritte zur SCIM-Einrichtung mit der benutzerdefinierten SAML 2.0-Anwendung von Okta.

Umgebung

  • NinjaOne Identity Access Management (IAM)
  • NinjaOne-Integrationen: Okta

Beschreibung

Durch die Integration von Okta mit NinjaOne über SCIM können Sie Techniker und Endbenutzer innerhalb von NinjaOne automatisch erstellen, löschen und bereitstellen. Dieser Artikel dient als Ausgangspunkt für die SCIM-Konfiguration mit NinjaOne. Die Konfiguration hängt von Ihrer spezifischen Okta-Einrichtung ab. Wir empfehlen daher, den Abschnitt „Zusätzliche Ressourcen“ zu lesen, um verwandte Prozesse zu finden.

Weitere Informationen zu den Konzepten hinter dem Lebenszyklusmanagement mit SCIM und Okta finden Sie unter SCIM verstehen | Okta Developer (externer Link).

NinjaOne SSO und SCIM unterstützen die Funktionen „Okta-Benutzer importieren“ und „Profilaktualisierungen importieren“ nicht.

Wählen Sie eine Kategorie aus, um mehr zu erfahren: 

Voraussetzungen

Bevor Sie Benutzerkonten über SCIM bereitstellen können, müssen Sie den IDP erstellen und SSO aktivieren. Informationen hierzu finden Sie unter Konfigurieren von NinjaOne SAML in Okta.

Konfigurieren Sie SCIM in Okta mit einer benutzerdefinierten SAML 2.0-Anwendung

Um SCIM mit der benutzerdefinierten SAML 2.0-Anwendung von Okta einzurichten, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich als Administrator bei Ihrem Okta-Konto an.
  2. Erweitern Sie im Navigationsbereich das Dropdown-Menü „Anwendungen“ und wählen Sie „Anwendungen“ aus.
  3. Wählen Sie die NinjaOne-Anwendung aus.
okta_admin_apps_ninjaone.png
Abbildung 1: Öffnen Sie die NinjaOne-Anwendung in der Okta-Verwaltungskonsole
  1. Öffnen Sie die Registerkarte „Allgemein“ und wählen Sie im Abschnitt „Bereitstellung“ die Option „SCIM“ aus. 
okta_app_general_scim provisioning.png
Abbildung 2: Aktivieren Sie die SCIM-Bereitstellung für die Anwendung
  1. Klicken Sie auf „Speichern“.
  2. Öffnen Sie die Registerkarte „Bereitstellung “ und wählen Sie „Bearbeiten“. Klicken Sie auf „API-Integration konfigurieren“.
  3. Melden Sie sich in einem separaten Browser-Tab als Systemadministrator bei der NinjaOne-Konsole an. 
  4. Navigieren Sie zu „Administration“„Konten“„Identitätsanbieter“ und wählen Sie Ihren Okta-Eintrag aus. 
  5. Klicken Sie im Widget „System für domänenübergreifende Identitätsverwaltung “ auf „Bearbeiten “. 
IDP_edit SCIM.png
Abbildung 3: Bearbeiten Sie die SCIM-Einstellungen für Ihren Okta-IDP in NinjaOne
  1. Klicken Sie im Modal „SCIM konfigurieren “ auf den Umschalter, um die SCIM-Bereitstellung zu aktivieren. 
  2. Klicken Sie auf „Token generieren“.
IDP_enable SCIM and generate token.png
Abbildung 4: Aktivieren Sie die SCIM-Einstellungen für Ihren Okta-IDP und generieren Sie ein Token
  1. Klicken Sie auf das Papiersymbol, um das geheime SCIM-Token und die SCIM-API-Endpunkt-URL zu kopieren. Kehren Sie zur Okta-Admin-Konsole zurück. 
Speichern Sie diese Daten an einem sicheren Ort, da sie nur einmal angezeigt werden. Das geheime SCIM-Token läuft sechs Monate nach seiner Generierung ab. Wenn Sie das Token verlieren oder es abläuft, müssen Sie ein neues generieren. 
copy secret token_scim.png
Abbildung 5: Kopieren Sie das geheime SCIM-Token
  1. Fügen Sie an Ihrer vorherigen Position in der Okta-Verwaltungskonsole (NinjaOne-Anwendung) die SCIM-API-Endpunkt-URL aus NinjaOne in die SCIM-Connector-Basis-URL ein. Aktivieren Sie das Kontrollkästchen „API-Integration aktivieren“ und fügen Sie dann das geheime SCIM-Token aus NinjaOne ein. 
  2. Setzen Sie das Feld „Eindeutige Kennung für Benutzer“ auf ein Okta-Benutzerattribut, das einen Wert für eine E-Mail-Adresse enthält. Zu den gängigen Attributen gehören „Benutzername“ ( Okta-Benutzername) und „E-Mail“ ( primäre E-Mail-Adresse). Weitere Informationen finden Sie unter Benutzerprofile | Okta Developer (externer Link). 
  3. Aktivieren Sie die Kontrollkästchen für die folgenden unterstützten Bereitstellungsaktionen
    • Neue Benutzer übertragen
    • Profilaktualisierungen übertragen
    • Gruppen übertragen
  4. Setzen Sie den Authentifizierungsmodus auf „HTTP-Header“.
okta_SCIM connector and provisioning.png
Abbildung 6: SCIM in Okta verbinden und bereitstellen
  1. Öffnen Sie die Registerkarte „Bereitstellung“ , um neue Einstellungen zu finden, die für die Konfiguration verfügbar sind. 
  2. Öffnen Sie die Registerkarte „Zur App “ und klicken Sie auf „Bearbeiten“. 
  3. Aktivieren Sie die Kontrollkästchen für die folgenden Bereitstellungsoptionen: 
    • Benutzer erstellen
    • Benutzerattribute aktualisieren
    • Benutzer deaktivieren
okta_to app_enable.png
Abbildung 7: Provisioning von Okta zu NinjaOne aktivieren
  1. Scrollen Sie zum Abschnitt „Attributzuordnungen “ und klicken Sie auf „Zum Profil-Editor“.

  2. Wenn Sie Endbenutzer bestimmten Organisationen zuweisen möchten, wählen Sie „Add Attribute“ (Attribut hinzufügen) und konfigurieren Sie dann die folgenden Felder:

    Attributfeld Wert
    Datentyp „Zeichenfolge“
    Anzeigename Geben Sie eine eindeutige Kennung ein
    Externer Name „organizationId“
    Externer Namespace „urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User”
    Attributtyp „Gruppe“ (empfohlen)
okta_add attribute.png
Abbildung 8: Attribute für die NinjaOne-SCIM-Einrichtung hinzufügen
  1. Wenn Sie NinjaOne-Technikerkonten erstellen möchten, müssen Sie zunächst die Zuordnung des Standardattributs „Benutzertyp“ aufheben und dieses löschen. Anweisungen hierzu finden Sie in den folgenden Schritten. 

    1. Klicken Sie im Profil-Editor auf „Zuordnungen“ und setzen Sie das Attribut „userType“ auf „Nicht zuordnen“. Wiederholen Sie diesen Schritt in den Registerkarten „NinjaOne SCIM zu Okta-Benutzer “ und „Okta-Benutzer zu NinjaOne SCIM “. Speichern Sie die Zuordnungen, wenn Sie fertig sind. 

      okta_scim setup user profile mappings.png
      Abbildung 9: Zuordnungen von Benutzerprofilen in der SCIM-Einrichtung
    2. Suchen Sie das Attribut „Benutzertyp“ in der Liste „Attribute“ und löschen Sie den Eintrag. Es dauert einige Minuten, bis die Änderung wirksam wird. 
okta_user type_delete.png
Abbildung 10: Attribut „User Type“ entfernen
  1. Klicken Sie auf „Add Attribute“ (Attribut hinzufügen) und konfigurieren Sie dann die entsprechenden Felder anhand der folgenden Tabelle: 
Attributfeld Wert
Datentyp „Zeichenfolge“
Anzeigename Geben Sie eine eindeutige Kennung ein
Externer Name „userType“
Externer Namespace „urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User“
Attributtyp „Group“ (empfohlen)
  1. Kehren Sie zum Abschnitt „Provisioning“ der NinjaOne SCIM-Anwendung zurück. Entfernen Sie im Abschnitt „To App “ alle Zuordnungen aus dem Abschnitt „Attribute Mappings“ mit Ausnahme der folgenden: 
Attribut Wert
Benutzername Okta legt dieses Feld automatisch fest.
Vorname „user.firstname“
familyName „user.lastName”
organiztionId (optional) Beliebigen Wert auswählen
userType Beliebigen Wert auswählen

NinjaOne-Technikerkonten erstellen

Beim Erstellen von Technikerkonten müssen Sie dem Attribut „userType“ einen eindeutigen Wert zuweisen. Andernfalls wird ein Endbenutzerkonto erstellt. 

Das Attribut „userType“ kann zwei Werte annehmen: 

  • Setzen Sie das Attribut auf „technician“, um ein Technikerkonto zu erstellen. 
  • Setzen Sie das Attribut auf „endUser“ (Groß-/Kleinschreibung beachten), um ein Endbenutzerkonto zu erstellen.

Führen Sie die folgenden Schritte aus, um das Attribut „userType“ zuzuordnen: 

  1. Klicken Sie auf das Stiftsymbol, um die Felder zu bearbeiten. 
  2. Beziehen Sie sich bei der Konfiguration eines Attributwerts, der den Anforderungen Ihres Unternehmens entspricht, auf die folgende Tabelle: 
Attributwert Definition oder Zweck
Gleicher Wert für alle Benutzer Weisen Sie alle Benutzer, die vom gleichen Typ sind, der NinjaOne Okta-App zu.
Zuordnung aus Okta-Profil Erstellen Sie ein Endbenutzer- oder Technikerkonto basierend auf dem Wert des ausgewählten Profilattributs. 
Ausdruck Erstellen Sie einen Endbenutzer oder Techniker basierend auf der Ausgabe Ihres benutzerdefinierten Okta-Ausdrucks. Weitere Informationen finden Sie im Leitfaden zur Okta-Ausdruckssprache | Okta Developer (externer Link).
okta SCIM_attribute value.png
Abbildung 11: Wählen Sie einen Attributwert in Okta aus
  1. Wählen Sie „Erstellen und aktualisieren“ für das Feld „Anwenden auf “. 
  2. Wir empfehlen, mehrere Testbenutzer in das Feld „Vorschau“ einzufügen, um zu überprüfen, ob Ihre Attributzuordnung die gewünschte Ausgabe erzeugt. 
  3. Klicken Sie auf „Speichern“. 

Endbenutzer einer NinjaOne-Organisation zuweisen

Wenn Sie Endbenutzerkonten einer bestimmten NinjaOne-Organisation oder mehreren NinjaOne-Organisationen zuweisen, müssen Sie dem Attribut „organizationID“ einen Wert zuweisen. Konten, denen ein akzeptierter Attributwert fehlt, werden automatisch als globale Endbenutzer erstellt. 

Das Attribut „organizationID“ hat zwei akzeptierte Werte: 

  • Setzen Sie das Attribut auf „all“, um einen globalen Endbenutzer zu erstellen.
  • Setzen Sie das Attribut auf „<Ihre Organisations-ID>“, um einen Benutzer der entsprechenden NinjaOne-Organisation zuzuweisen. 

Wenn Sie Hilfe bei der Suche nach der Organisations-ID in NinjaOne benötigen, lesen Sie NinjaOne-Plattform: So finden Sie eine Organisations-ID.

Führen Sie die folgenden Schritte aus, um das Organisationsattribut zuzuordnen: 

  1. Klicken Sie auf das Stiftsymbol, um die Felder zu bearbeiten. 
  2. Beziehen Sie sich auf die folgende Tabelle, um einen Attributwert zu konfigurieren, der den Anforderungen Ihrer Organisation entspricht: 
Attributwert Definition oder Zweck
Gleicher Wert für alle Benutzer Weisen Sie alle Benutzer, die vom gleichen Typ sind, der NinjaOne Okta-App zu.
Zuordnung aus Okta-Profil Erstellen Sie ein Endbenutzer- oder Technikerkonto basierend auf dem Wert des ausgewählten Profilattributs. 
Ausdruck Erstellen Sie einen Endbenutzer oder Techniker basierend auf der Ausgabe Ihres benutzerdefinierten Okta-Ausdrucks. Weitere Informationen finden Sie im Leitfaden zur Okta-Ausdruckssprache | Okta Developer (externer Link).
  1. Wählen Sie „Erstellen und aktualisieren“ für das Feld „Anwenden auf “. 
  2. Wir empfehlen, mehrere Testbenutzer in das Feld „Vorschau“ einzufügen, um zu überprüfen, ob Ihre Attributzuordnung die gewünschte Ausgabe erzeugt. 
  3. Klicken Sie auf „Speichern“. 
okta_attributes and values.png
Abbildung 12: Zuordnungswerte in Okta anwenden

Benutzer für SCIM-Bereitstellung zuweisen

Um Benutzer für die SCIM-Bereitstellung zuzuweisen, führen Sie die folgenden Schritte aus: 

  1. Kehren Sie zur NinjaOne-Anwendungskonfigurationsseite in Okta zurück und öffnen Sie die Registerkarte „Zuweisungen “.
  2. Klicken Sie auf „Zuweisen“ und wählen Sie die für Ihre Zwecke geeignete Option aus. Während der Zuweisung haben Sie die Möglichkeit, Ihre Attributzuordnungen zu überschreiben und den Benutzertyp und die Organisations-ID festzulegen. Wenn Sie eine Gruppe zuweisen, wirkt sich diese Änderung auf alle Mitglieder der Gruppe aus.

Der SCIM-Provisioning-Prozess wird gestartet. 

okta_sso and scim_assignments_assign2.png
Abbildung 13: SCIM-Bereitstellung Personen oder Gruppen zuweisen

Konfigurieren der Zuordnung von Gruppen zu Rollen in NinjaOne

Optional können Sie die Gruppenzuordnung in Okta verwenden, um Mitglieder von Okta-Gruppen automatisch Rollen in NinjaOne zuzuweisen. Führen Sie dazu die folgenden Schritte aus. 

  1. Öffnen Sie in Okta die Registerkarte „Gruppen übertragen“ in der Ninja SSO- und SCIM-Anwendung . Klicken Sie auf „Gruppen übertragen“, um die Zielgruppen festzulegen. 
  2. Legen Sie die Aktion auf „Gruppe erstellen“ fest und speichern Sie die Einstellung. Diese Aktion kann bis zu einer Stunde dauern.
okta_push groups.png
Abbildung 14: Gruppen übertragen, um NinjaOne-Rollen zuzuweisen
  1. Melden Sie sich als Systemadministrator bei NinjaOne an. 
  2. Navigieren Sie zu „Administration“ → „Accounts“ → „Identity Provider“.
  3. Wählen Sie „Okta OIN IDP“ aus.
  4. Klicken Sie neben „Gruppenzuordnung“ auf „Bearbeiten“.
  5. Wählen Sie aus dem Dropdown-Menü Rollen aus, die Sie den mit Okta synchronisierten Gruppen zuordnen möchten, falls zutreffend. Das Menü enthält sowohl Endbenutzerrollen als auch Technikerrollen. Der dem Benutzer in Okta zugewiesene Benutzertyp bestimmt, welche Rollen jedem Benutzer zugewiesen werden. Wenn Sie neue Rollen erstellen müssen, finden Sie Anweisungen unter Benutzerrollen und Berechtigungen

Weitere Ressourcen

Weitere Informationen zu den SCIM- und SAML-Optionen mit NinjaOne und Okta finden Sie in den folgenden Ressourcen: 

FAQ

Nächste Schritte