Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

Konfigurieren von NinjaOne SCIM mit Duo Security

Thema

In dieser Anleitung wird erläutert, wie Sie Duo verwenden, um System for Cross-domain Identity Management (SCIM) mit NinjaOne einzurichten.

Umgebung

NinjaOne-Plattform

Duo Security integrierter Anbieter

Beschreibung

Integrieren Sie Ihren Identitätsanbieter (IDP) über SCIM, um Techniker und Endbenutzer innerhalb von NinjaOne automatisch anzulegen und zu löschen.

Dieser Artikel dient als Ausgangspunkt für die SCIM-Konfiguration mit NinjaOne. Die Konfiguration hängt von Ihrer spezifischen Duo-Einrichtung ab. Wir empfehlen daher, den Abschnitt „Weitere Ressourcen“ zu lesen, um verwandte Prozesse zu finden.

Index

Voraussetzungen und wichtige Hinweise

Bevor Sie mit diesem Verfahren beginnen, stellen Sie sicher, dass Sie Security Assertion Markup Language (SAML) und Single Sign-On (SSO) für Duo in NinjaOne ordnungsgemäß konfiguriert haben. Weitere Informationen finden Sie unter Konfigurieren von NinjaOne SAML in Duo.

Bevor Sie SCIM mit Duo bereitstellen, empfiehlt NinjaOne, mehrere Konfigurationselemente zu überprüfen und zu entscheiden, ob sie in Ihre Bereitstellungseinrichtung aufgenommen werden müssen.

Für jede Kategorie werden Ausgangspunkte und allgemeine Anweisungen angegeben. Mögliche Konfigurationselemente sind:

  • Gruppen: Erforderlich, wenn Sie Gruppen von Duo-Benutzern automatisch bestimmten Benutzerrollen in NinjaOne zuordnen möchten. Weitere Informationen
  • Benutzerattribute erstellen und zuordnen: Erforderlich, wenn Sie Endbenutzer einer bestimmten Organisation zuordnen oder Technikerkonten erstellen müssen. Weitere Informationen
  • Benutzerattribute zuweisen: Dadurch wird sichergestellt, dass jeder Benutzer der richtigen NinjaOne-Organisation (Endbenutzer) zugeordnet ist und über den richtigen Kontotyp (Techniker oder Endbenutzer) verfügt. Weitere Informationen

Gruppen erstellen und verwenden

Sie können Duo-Gruppen verwenden, um Benutzer bestimmten Rollen in NinjaOne zuzuordnen. Wenn Sie keine Gruppen verwenden, müssen Sie den Benutzern in NinjaOne manuell Rollen zuweisen. Weitere Informationen finden Sie unter Benutzerrollen und Berechtigungen.

Wir empfehlen mindestens eine Gruppe für NinjaOne-Endbenutzer und eine Gruppe für Techniker.

Um eine neue Duo-Gruppe zu erstellen, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich beim Duo-Admin-Panel (extern) an.
  2. Navigieren Sie zu „Benutzer“„Gruppen“ und klicken Sie auf „Gruppe hinzufügen“.
  3. Geben Sie einen Namen für Ihre neue Gruppe in das Feld Gruppenname ein.
  4. Klicken Sie auf „Gruppe hinzufügen“, um die Gruppe zu speichern. Weisen Sie der Gruppe je nach Bedarf den Status „Aktiv“ (empfohlen) oder „Umgehen“ zu.
  5. Klicken Sie auf „+ Benutzer zur Gruppe hinzufügen “ und fügen Sie die gewünschten Benutzer hinzu.
  6. Wiederholen Sie den Vorgang nach Bedarf.
Duo groups.png
Abbildung 1: Beispiel für Gruppen in Duo

Benutzerattribute erstellen und zuordnen

Bevor Sie SCIM mit Duo bereitstellen, empfehlen wir Ihnen, die folgenden Anwendungsfälle zu berücksichtigen und die entsprechenden Attribute nach Bedarf zu erstellen. Diese benutzerdefinierten Benutzerattribute werden später während des SCIM-Einrichtungsprozesses den NinjaOne-Attributen zugeordnet.

Sie können diese Attribute auch aus Ihrem externen Verzeichnis (extern) hinzufügen und importieren, wenn dieses mit Duo synchronisiert ist.

  • Anforderung 1: Ordnen Sie Endbenutzer einer Organisation zu. Erstellen Sie ein benutzerdefiniertes Duo-Benutzerattribut, das dem optionalen NinjaOne-Attribut „organizationid“ zugeordnet wird
  • Anforderung 2: Erstellen Sie NinjaOne-Technikerkonten. Erstellen Sie ein benutzerdefiniertes Duo-Benutzerattribut, das dem optionalen NinjaOne-Attribut „userType“ zugeordnet wird
Wenn das Attribut „User Type“ fehlt oder nicht den richtigen Wert enthält, wird das Attribut standardmäßig einem globalen Endbenutzerkonto zugeordnet.

Nachdem Sie festgelegt haben, welche Benutzerattribute für Ihre SCIM-Bereitstellung erforderlich sind, führen Sie die folgenden Schritte aus, um die benutzerdefinierten Attribute in Duo zu erstellen:

  1. Melden Sie sich beim Duo-Admin-Panel (extern) an.
  2. Navigieren Sie zu „Benutzer“„Benutzerattribute“. Klicken Sie auf „Benutzerdefiniertes Attribut hinzufügen“.
  3. Geben Sie im Feld „Name“ eine eindeutige Kennung für Ihr neues Attribut ein. Dies kann ein beliebiger Wert Ihrer Wahl sein.
  4. Klicken Sie auf „Benutzerdefiniertes Attribut hinzufügen“, um die Daten zu speichern.
  5. Wiederholen Sie diese Schritte für jede Anforderung.
duo user attributes.png
Abbildung 2: Beispiel für Benutzerattribute in Duo

Attribute Benutzern zuweisen

Nachdem die benutzerdefinierten Attribute erstellt wurden, müssen Sie die Attribute den Zielbenutzern zuweisen. Das SCIM von NinjaOne richtet ein Konto basierend auf den einem Benutzer zugewiesenen Attributwerten ein. Diese Werte werden verwendet, um den Benutzertyp (Techniker oder Endbenutzer) und die Organisation (alle Organisationen oder eine bestimmte Organisation) festzulegen. Sie müssen jedem Benutzer die erforderlichen Werte zuweisen, damit seine Konten mit der gewünschten Konfiguration erstellt werden.

Sie können einem Benutzer über die folgenden Methoden (extern) Attribute zuweisen:

Wenn Sie Benutzern Attribute zuweisen, müssen Sie dem entsprechenden Attribut den richtigen Wert zuweisen. Die folgenden Werte sind die einzigen, die Sie während des Kontobereitstellungsprozesses verwenden dürfen.

Sie können die generischen Attribute nach Bedarf ändern.
Attribut Erforderlicher Wert
organizationID „Alle“ (erstellt einen globalen Endbenutzer)
organizationID „<InsertOrganizationID>“ (weist einen Endbenutzer der entsprechenden Organisation zu; Anweisungen zum Abrufen der ID finden Sie unter NinjaOne-Plattform: So finden Sie eine Organisations-ID )
userType „Techniker“ (erstellt ein NinjaOne-Technikerkonto)
userType „endUser“ (erstellt ein NinjaOne-Endbenutzerkonto)
Die folgende Abbildung 3 zeigt ein Beispiel für ein nicht synchronisiertes Benutzerkonto mit zugewiesenen Werten für die benutzerdefinierten Attribute userType und organizationID . Der Wert userType erstellt ein Endbenutzerkonto, und der Wert organizationID weist diesen Benutzer der spezifischen NinjaOne-Organisation zu.
duo_attribute values.png
Abbildung 3: Beispiel für in Duo zugewiesene Endbenutzerattributwerte
Die folgende Abbildung 4 zeigt ein Beispiel für ein nicht synchronisiertes Benutzerkonto, dem ein Wert für das benutzerdefinierte Attribut userType zugewiesen wurde. Der Wert „technician“ erstellt ein Technikerkonto in NinjaOne.
duo_attribute values_technician.png
Abbildung 4: Beispiel für in Duo zugewiesene Attributwerte für Techniker

SCIM in NinjaOne aktivieren

Erfahren Sie mehr über die Verwendung von SCIM in NinjaOne in unserem Leitfaden „NinjaOne Identity Management: Identitätsmanagement mit SCIM“.

Um SCIM zu aktivieren und das geheime Token zu generieren, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie in der NinjaOne-Konsole zu „Administration“ → „Accounts“ → „Identity Providers“ und öffnen Sie den IDP-Eintrag.
  2. Klicken Sie auf Aktivieren für System für domänenübergreifendes Identitätsmanagement (SCIM).
idp_entra_enable scim.png
Abbildung 5: SCIM für Ihren Identitätsanbieter aktivieren
  1. Aktivieren Sie den Schalter „SCIM-Bereitstellung aktivieren “ im Konfigurationsmodus und klicken Sie dann auf „Token generieren“. Lassen Sie diesen Konfigurationsmodus geöffnet, damit Sie die Daten für die nächsten Schritte kopieren können.
enable scim_generate token.png
Abbildung 6: SCIM aktivieren und Token für den Identitätsanbieter generieren
Kopieren Sie das Token und speichern Sie es sicher. Das System zeigt es nur einmal an. Das geheime SCIM-Token läuft sechs Monate nach der Generierung ab. Zu diesem Zeitpunkt muss ein neues Token erstellt und dann kopiert/in Ihren IDP eingefügt werden.

SCIM in Duo bereitstellen

  1. Navigieren Sie in Duo zu „Anwendungen“ → „Verwalten “ → „Anwendungen“. Wählen Sie Ihre generische SAML-Dienstanbieteranwendung von Duo für NinjaOne aus.
  2. Öffnen Sie die Registerkarte „Bereitstellung “ und wählen Sie „Bearer Token“ aus dem Dropdown-Menü „Authentifizierungsmodus “.
  3. Kopieren Sie die API-Endpunkt-URL und das geheime SCIM-Token aus der NinjaOne-Konsole.
copy SCIM data.png
Abbildung 7: Kopieren Sie die SCIM-Daten aus NinjaOne
  1. Fügen Sie die Daten in die Felder „Basis-URL“ und „Token“ in Duo ein.
duo authentication_paste token.png
Abbildung 8: Fügen Sie die NinjaOne-SCIM-Daten in Duo ein
  1. Testen Sie die Verbindung, um den Erfolg zu überprüfen, und stellen Sie dann eine Verbindung zur Anwendung her.

Attribute zwischen NinjaOne und Duo zuordnen

Nach erfolgreicher Authentifizierung erhalten Sie eine Liste der erforderlichen und standardmäßigen NinjaOne-Attribute, die den Duo-Benutzerattributen zugeordnet werden müssen.

Beachten Sie die folgenden NinjaOne-Attribute:

  • name.familyName
  • name.givenName
  • benutzername

Für eine erfolgreiche SCIM-Bereitstellung müssen Sie die NinjaOne-Attribute den entsprechenden Duo-Benutzerattributen (wie folgt) zuordnen:

Das Attribut „Benutzername“ von NinjaOne erfordert eine Eingabe im Format einer E-Mail-Adresse. Ordnen Sie das Duo-Attribut zu, das mit der E-Mail-Adresse verknüpft ist, die Sie für das NinjaOne-Konto verwenden. Alle anderen Attribute sollten aus der Zuordnung entfernt werden, da sie nicht verwendet werden.
Duo-Benutzerattribut NinjaOne-Attribut
Nachname name.familyName
Vorname name.givenName
E-Mail-Adresse benutzername
<organizationId> (optional) organizationID
<userType> (optional) userType

Endbenutzer einer bestimmten Organisation zuordnen

Ordnen Sie Ihr benutzerdefiniertes Duo-Benutzerattribut (<organizationId&gt😉 dem optionalen NinjaOne-Attribut „organizationId“ zu. Wenn für einen Endbenutzer kein Organisations-ID-Wert vorhanden ist oder der Wert „all“ angegeben ist, wird ein globaler Endbenutzer erstellt.

Erstellen Sie NinjaOne-Technikerkonten oder sowohl Endbenutzer- als auch Technikerkonten

Ordnen Sie Ihr benutzerdefiniertes Duo-Benutzerattribut (<userType&gt😉 dem optionalen NinjaOne-Attribut „userType” zu

Das Attribut „userType“ hat zwei zulässige Werte:

  • „technician“ erstellt ein NinjaOne-Technikerkonto.
  • „endUser“ (Groß-/Kleinschreibung beachten) erstellt ein NinjaOne-Endbenutzerkonto.

Weisen Sie Benutzer oder Gruppen der SCIM-Bereitstellung zu

Nachdem die Attribute zugeordnet wurden, müssen Sie Gruppen oder Zielbenutzer der SCIM-Bereitstellung zuweisen.

Die Entscheidung, bestimmte Benutzer, alle Benutzer mit SSO-Zugriff oder bestimmte Benutzergruppen der Verwaltung über SCIM zuzuweisen, hängt von den Zielen Ihrer Organisation und der Duo-Konfiguration ab.

In diesem Abschnitt wird ein häufig verwendeter Ansatz zur Zuweisung von Benutzern zur SCIM-Bereitstellung mithilfe von Gruppen beschrieben. Bitte lesen Sie die Dokumentation von Duo, um zu ermitteln, welche Methode für Sie am besten geeignet ist.

Im folgenden Beispiel haben wir eine Gruppe für Endbenutzer und eine Gruppe für Techniker erstellt. Sobald Sie die Konfiguration gespeichert haben, wird der Benutzerbereitstellungsprozess automatisch gestartet.

duo groups_select groups.png
Abbildung 9: Wählen Sie in Duo die Gruppen aus, die der SCIM-Bereitstellung zugewiesen werden sollen

Duo-Gruppen NinjaOne-Rollen zuordnen

Wenn Sie Gruppen in Duo der SCIM-Bereitstellung zuweisen, werden diese im Abschnitt „Gruppenzuordnung“ auf der Seite „Identitätsanbieter“ in der NinjaOne-Konsole angezeigt. Mit der Gruppenzuordnung können Sie einer Identitätsgruppe Endbenutzer- oder Technikerrollen zuweisen.

Weitere Informationen zum Erstellen und Verwalten von Rollen in NinjaOne finden Sie unter Benutzerrollen und Berechtigungen.

  • Identitätsgruppe: Dies sind Gruppen, die aus dem IDP zugeordnet wurden.
  • Benutzerrollen: Dies sind Rollen, die der Gruppe zugewiesen sind.

Führen Sie die folgenden Schritte aus, um die Gruppenzuordnung für Ihren Identitätsanbieter festzulegen:

  1. Navigieren Sie in der NinjaOne-Konsole zu „Administration“ → „Accounts“ → „Identity Providers“ und öffnen Sie den Eintrag des Anbieters.
  2. Klicken Sie im Abschnitt „Gruppenzuordnung“ auf „Bearbeiten “.
IDP_group mapping.png
Abbildung 10: Gruppenabbildung für NinjaOne IDP konfigurieren
  1. Ordnen Sie die NinjaOne-Rollen den entsprechenden Duo-Gruppen zu. Wenn Sie keine Gruppen für die Zuordnung von Duo zu Ihrer NinjaOne-Abteilung konfiguriert haben, werden Ihnen im Modal „Gruppen zuordnen“ keine geeigneten Zuordnungsoptionen angezeigt. Um dieses Problem zu beheben, lesen Sie die Schritte in den Abschnitten „Attribute zwischen NinjaOne und Duo zuordnen“ und „Benutzer oder Gruppen der SCIM-Bereitstellung zuweisen “.

Jeder Benutzer und seine Rolle werden auf der Konfigurationsseite seines NinjaOne-Kontos angezeigt, sodass Sie die Zuordnung verfolgen oder Berechtigungen nach Bedarf bearbeiten können.

Weitere Ressourcen

Weitere Informationen zur Identitätsverwaltung in NinjaOne finden Sie in den folgenden Ressourcen:

FAQ

Nächste Schritte