Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

Konfigurieren von NinjaOne SCIM mit der benutzerdefinierten SAML 2.0-App von Okta

Thema

In diesem Artikel wird erläutert, wie Sie SCIM (System for Cross-domain Identity Management) mit der benutzerdefinierten SAML 2.0-Anwendung von Okta einrichten. 

Wir empfehlen, Single Sign-On (SSO) und SCIM mithilfe der NinjaOne Okta Integration Network-Anwendung einzurichten, da dies den Konfigurationsprozess erheblich vereinfacht. Anweisungen zur Einrichtung finden Sie in den folgenden Ressourcen. Falls Ihre Organisation erweiterte Identitätskonfigurationen benötigt, die von der OIN-Vorlage nicht unterstützt werden, enthält dieser Artikel Schritte zur SCIM-Einrichtung unter Verwendung der benutzerdefinierten SAML 2.0-Anwendung von Okta.

Umgebung

  • NinjaOne Identity Access Management (IAM)
  • NinjaOne-Integrationen: Okta

Beschreibung

Durch die Integration von Okta mit NinjaOne über SCIM können Sie Techniker und Endbenutzer innerhalb von NinjaOne automatisch anlegen, löschen und berechtigen. Dieser Artikel dient als Ausgangspunkt für die SCIM-Konfiguration mit NinjaOne. Die Konfiguration hängt von Ihrer spezifischen Okta-Einrichtung ab, daher empfehlen wir Ihnen, den Abschnitt „Weitere Ressourcen“ zu lesen, um relevante Prozesse zu finden.

Weitere Informationen zu den Konzepten des Lebenszyklusmanagements mit SCIM und Okta finden Sie unter „Understanding SCIM | Okta Developer“ (externer Link).

NinjaOne SSO und SCIM unterstützen die Okta -Funktionen „Benutzer importieren“ und „Profilaktualisierungen importieren “ nicht.

Wählen Sie eine Kategorie aus, um mehr zu erfahren: 

Voraussetzungen

Bevor Sie Benutzerkonten über SCIM bereitstellen können, müssen Sie den IDP erstellen und SSO aktivieren. Informationen hierzu finden Sie unter „Konfigurieren von NinjaOne SAML in Okta“.

Konfigurieren von SCIM in Okta mit einer benutzerdefinierten SAML 2.0-Anwendung

Um SCIM mit der benutzerdefinierten SAML 2.0-Anwendung von Okta einzurichten, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich als Administrator bei Ihrem Okta-Konto an.
  2. Erweitern Sie im Navigationsbereich das Dropdown-Menü „Anwendungen“ und wählen Sie „Anwendungen“ aus.
  3. Wählen Sie die NinjaOne-Anwendung aus.
okta_admin_apps_ninjaone.png
Abbildung 1: Öffnen Sie die NinjaOne-Anwendung in der Okta-Verwaltungskonsole
  1. Öffnen Sie die Registerkarte „Allgemein“ und wählen Sie im Abschnitt „Bereitstellung“ die Option „SCIM“ aus. 
okta_app_general_scim provisioning.png
Abbildung 2: Aktivieren Sie die SCIM-Bereitstellung für die Anwendung
  1. Klicken Sie auf „Speichern“.
  2. Öffnen Sie die Registerkarte „Provisioning “ und wählen Sie „Bearbeiten“. Klicken Sie auf „API-Integration konfigurieren“.
  3. Melden Sie sich in einem separaten Browser-Tab als Systemadministrator bei der NinjaOne-Konsole an. 
  4. Navigieren Sie zu „Administration“„Accounts“„Identity Providers“ und wählen Sie Ihren Okta-Eintrag aus. 
  5. Klicken Sie im Widget „System für domänenübergreifendes Identitätsmanagement “ auf „Bearbeiten “. 
IDP_edit SCIM.png
Abbildung 3: Bearbeiten Sie die SCIM-Einstellungen für Ihren Okta-IDP in NinjaOne
  1. Klicken Sie im Modal „SCIM konfigurieren “ auf den Umschalter, um die SCIM-Bereitstellung zu aktivieren. 
  2. Klicken Sie auf „Token generieren“.
IDP_enable SCIM and generate token.png
Abbildung 4: Aktivieren Sie die SCIM-Einstellungen für Ihren Okta-IDP und generieren Sie ein Token
  1. Klicken Sie auf das Papiersymbol, um den geheimen SCIM-Token sowie die URL des SCIM-API-Endpunkts zu kopieren. Kehren Sie zur Okta-Verwaltungskonsole zurück. 
Speichern Sie diese Daten an einem sicheren Ort; sie werden nur einmal angezeigt. Der geheime SCIM-Token läuft sechs Monate nach seiner Generierung ab. Wenn Sie den Token verlieren oder er abläuft, müssen Sie einen neuen generieren. 
copy secret token_scim.png
Abbildung 5: Kopieren Sie den geheimen SCIM-Token
  1. Fügen Sie von Ihrem vorherigen Standort in der Okta-Verwaltungskonsole (NinjaOne-Anwendung) die SCIM-API-Endpunkt-URL aus NinjaOne in die SCIM-Connector-Basis-URL ein. Aktivieren Sie das Kontrollkästchen „API-Integration aktivieren“ und fügen Sie dann den geheimen SCIM-Token aus NinjaOne ein. 
  2. Setzen Sie das Feld „Eindeutige Kennung für Benutzer“ auf ein Okta-Benutzerattribut, das den Wert einer E-Mail-Adresse enthält. Zu den gängigen Attributen gehören „userName“ ( Okta-Benutzername) und „email“ ( primäre E-Mail-Adresse). Weitere Informationen finden Sie unter „Benutzerprofile | Okta Developer“ (externer Link). 
  3. Aktivieren Sie die Kontrollkästchen für die folgenden unterstützten Provisioning-Aktionen
    • Neue Benutzer übertragen
    • Profilaktualisierungen übertragen
    • Gruppen übertragen
  4. Stellen Sie den Authentifizierungsmodus auf „HTTP-Header“ ein.
okta_SCIM connector and provisioning.png
Abbildung 6: SCIM in Okta verbinden und bereitstellen
  1. Öffnen Sie die Registerkarte „Bereitstellung“ , um die neuen Konfigurationsoptionen anzuzeigen. 
  2. Öffnen Sie die Registerkarte „Zur App “ und klicken Sie auf „Bearbeiten“. 
  3. Aktivieren Sie die Kontrollkästchen für die folgenden Bereitstellungsoptionen: 
    • Benutzer erstellen
    • Benutzerattribute aktualisieren
    • Benutzer deaktivieren
okta_to app_enable.png
Abbildung 7: Provisionierung von Okta zu NinjaOne aktivieren
  1. Scrollen Sie zum Abschnitt „Attributzuordnungen “ und klicken Sie auf „Zum Profil-Editor“.

  2. Wenn Sie Endbenutzer bestimmten Organisationen zuweisen möchten, wählen Sie „Attribut hinzufügen“ und konfigurieren Sie anschließend die folgenden Felder:

    Attributfeld Wert
    Datentyp „Zeichenfolge“
    Anzeigename Geben Sie eine eindeutige Kennung ein
    Externer Name „organizationId“
    Externer Namensraum „urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User“
    Attributtyp „Group“ (empfohlen)
okta_add attribute.png
Abbildung 8: Attribute für die NinjaOne-SCIM-Konfiguration hinzufügen
  1. Wenn Sie NinjaOne-Technikerkonten erstellen möchten, müssen Sie zunächst die Zuordnung des Standardattributs vom Typ „User“ aufheben und das Attribut löschen. Befolgen Sie dazu die folgenden Schritte. 

    1. Klicken Sie im Profil-Editor auf „Zuordnungen und setzen Sie das Attribut „userType“ auf „Nicht zuordnen“. Wiederholen Sie diesen Schritt auf den Registerkarten „NinjaOne SCIM zu Okta-Benutzer “ und „Okta-Benutzer zu NinjaOne SCIM “. Speichern Sie die Zuordnungen, wenn Sie fertig sind. 

      okta_scim setup user profile mappings.png
      Abbildung 9: SCIM-Einrichtung – Zuordnungen von Benutzerprofilen
    2. Suchen Sie das Attribut „User type“ in der Attributliste und löschen Sie den Eintrag. Warten Sie einige Minuten, bis die Änderung wirksam wird. 
okta_user type_delete.png
Abbildung 10: Attribut „Benutzertyp“ entfernen
  1. Klicken Sie auf „Attribut hinzufügen“ und konfigurieren Sie die entsprechenden Felder anhand der folgenden Tabelle: 
Attributfeld Wert
Datentyp „Zeichenfolge“
Anzeigename Geben Sie eine eindeutige Kennung ein
Externer Name „userType“
Externer Namensraum „urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User“
Attributtyp „Group“ (empfohlen)
  1. Kehren Sie zum Abschnitt „Provisioning“ der NinjaOne SCIM-Anwendung zurück. Entfernen Sie im Abschnitt „To App “ alle Zuordnungen aus dem Abschnitt „Attribute Mappings“ , mit Ausnahme der folgenden: 
Attribut Wert
userName Okta legt dieses Feld automatisch fest
givenName „user.firstname“
Nachname „user.lastName“
organiztionId (optional) Wählen Sie einen beliebigen Wert
Benutzertyp Wählen Sie einen beliebigen Wert

NinjaOne-Techniker-Konten erstellen

Beim Erstellen von Techniker-Konten müssen Sie dem Attribut „userType“ einen eindeutigen Wert zuweisen. Andernfalls wird ein Endbenutzer-Konto erstellt. 

Das Attribut „userType“ akzeptiert zwei Werte: 

  • Setzen Sie das Attribut auf „technician“, um ein Techniker-Konto zu erstellen. 
  • Setzen Sie das Attribut auf „endUser“ (Groß-/Kleinschreibung beachten), um ein Endbenutzerkonto zu erstellen.

Führen Sie die folgenden Schritte aus, um das userType-Attribut zuzuweisen: 

  1. Klicken Sie auf das Stiftsymbol, um die Felder zu bearbeiten. 
  2. Beziehen Sie sich auf die folgende Tabelle, um einen Attributwert zu konfigurieren, der den Anforderungen Ihrer Organisation entspricht: 
Attributwert Definition oder Zweck
Gleicher Wert für alle Benutzer Weisen Sie alle Benutzer desselben Typs der NinjaOne Okta-App zu.
Zuordnung aus Okta-Profil Erstellen Sie ein Endbenutzer- oder Technikerkonto basierend auf dem Wert des ausgewählten Profilattributs. 
Ausdruck Erstellen Sie einen Endbenutzer oder Techniker basierend auf der Ausgabe Ihres benutzerdefinierten Okta-Ausdrucks. Weitere Informationen finden Sie im Leitfaden zur Okta-Ausdruckssprache | Okta Developer (externer Link).
okta SCIM_attribute value.png
Abbildung 11: Wählen Sie einen Attributwert in Okta aus
  1. Wählen Sie „Erstellen und aktualisieren“ für das Feld „Anwenden auf “. 
  2. Wir empfehlen, mehrere Testbenutzer in das Feld „Vorschau“ einzufügen, um zu überprüfen, ob Ihre Attributzuordnung die gewünschte Ausgabe liefert. 
  3. Klicken Sie auf „Speichern“. 

Endbenutzer einer NinjaOne-Organisation zuweisen

Wenn Sie Endbenutzerkonten einer bestimmten NinjaOne-Organisation oder mehreren NinjaOne-Organisationen zuweisen, müssen Sie dem Attribut „organizationID“ einen Wert zuweisen. Konten, bei denen ein akzeptierter Attributwert fehlt, werden automatisch als globale Endbenutzer erstellt. 

Das Attribut „organizationID“ hat zwei zulässige Werte: 

  • Setzen Sie das Attribut auf „all“, um einen globalen Endbenutzer zu erstellen.
  • Setzen Sie das Attribut auf „<Ihre Organisations-ID>“, um einen Benutzer der entsprechenden NinjaOne-Organisation zuzuweisen. 

Wenn Sie Hilfe beim Auffinden der Organisations-ID in NinjaOne benötigen, lesen Sie den Artikel „NinjaOne-Plattform: So finden Sie eine Organisations-ID“.

Führen Sie die folgenden Schritte aus, um das Organisationsattribut zuzuordnen: 

  1. Klicken Sie auf das Stiftsymbol, um die Felder zu bearbeiten. 
  2. Beziehen Sie sich auf die folgende Tabelle, um einen Attributwert zu konfigurieren, der den Anforderungen Ihrer Organisation entspricht: 
Attributwert Definition oder Zweck
Gleicher Wert für alle Benutzer Weisen Sie alle Benutzer desselben Typs der NinjaOne Okta-App zu.
Zuordnung aus Okta-Profil Erstellen Sie ein Endbenutzer- oder Technikerkonto basierend auf dem Wert des ausgewählten Profilattributs. 
Ausdruck Erstellen Sie einen Endbenutzer oder Techniker basierend auf der Ausgabe Ihres benutzerdefinierten Okta-Ausdrucks. Weitere Informationen finden Sie im Leitfaden zur Okta-Ausdruckssprache | Okta Developer (externer Link).
  1. Wählen Sie „Erstellen und aktualisieren“ für das Feld „Anwenden auf “. 
  2. Wir empfehlen, mehrere Testbenutzer in das Feld „Vorschau“ einzufügen, um zu überprüfen, ob Ihre Attributzuordnung die gewünschte Ausgabe liefert. 
  3. Klicken Sie auf „Speichern“. 
okta_attributes and values.png
Abbildung 12: Zuordnungswerte in Okta anwenden

Benutzer für die SCIM-Bereitstellung zuweisen

Um Benutzer für die SCIM-Bereitstellung zuzuweisen, führen Sie die folgenden Schritte aus: 

  1. Kehren Sie zur Konfigurationsseite der NinjaOne-Anwendung in Okta zurück und öffnen Sie die Registerkarte „Zuweisungen “.
  2. Klicken Sie auf „Zuweisen“ und wählen Sie die für Ihre Zwecke geeignete Option aus. Während der Zuweisung haben Sie die Möglichkeit, Ihre Attributzuordnungen zu überschreiben und den Benutzertyp sowie die Organisations-ID festzulegen. Wenn Sie eine Gruppe zuweisen, wirkt sich diese Änderung auf alle Mitglieder der Gruppe aus.

Der SCIM-Provisioning-Prozess wird gestartet. 

okta_sso and scim_assignments_assign2.png
Abbildung 13: SCIM-Provisioning für Personen oder Gruppen zuweisen

Konfigurieren der Zuordnung von Gruppen zu Rollen in NinjaOne

Optional können Sie die Gruppenzuordnung in Okta verwenden, um Mitglieder von Okta-Gruppen automatisch Rollen in NinjaOne zuzuweisen. Führen Sie dazu die folgenden Schritte aus. 

  1. Öffnen Sie in Okta die Registerkarte „Push-Gruppen“ in der Ninja-SSO- und SCIM-Anwendung . Klicken Sie auf „Push-Gruppen“, um die Zielgruppen festzulegen. 
  2. Stellen Sie die Aktion auf „Create Group“ ein und speichern Sie die Einstellung. Die Ausführung dieser Aktion kann bis zu einer Stunde dauern.
okta_push groups.png
Abbildung 14: Push-Gruppen zum Zuweisen von NinjaOne-Rollen
  1. Melden Sie sich als Systemadministrator bei NinjaOne an. 
  2. Navigieren Sie zu „Administration“ → „Accounts“ → „Identity Provider“.
  3. Wählen Sie den Okta OIN IDP aus.
  4. Klicken Sie neben „Gruppenzuordnung“ auf „Bearbeiten“.
  5. Wählen Sie gegebenenfalls aus dem Dropdown-Menü Rollen aus, die Sie den mit Okta synchronisierten Gruppen zuordnen möchten. Das Menü enthält sowohl Endbenutzerrollen als auch Technikerrollen. Der dem Benutzer in Okta zugewiesene Benutzertyp bestimmt, welche Rollen den einzelnen Benutzern zugewiesen werden. Wenn Sie neue Rollen erstellen müssen, finden Sie Anweisungen unter „Benutzerrollen und Berechtigungen “. 

Weitere Ressourcen

Weitere Informationen zu SCIM- und SAML-Optionen mit NinjaOne und Okta finden Sie in den folgenden Ressourcen: 

FAQ

Nächste Schritte