Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

Konfigurieren von NinjaOne SCIM mit Duo Security

Thema

In diesem Leitfaden wird erläutert, wie Sie mit Duo das System for Cross-domain Identity Management (SCIM) mit NinjaOne einrichten. 

Umgebung

NinjaOne-Plattform

Integrierter Anbieter von Duo Security

Beschreibung

Integrieren Sie Ihren Identitätsanbieter (IDP) über SCIM, um Techniker und Endbenutzer in NinjaOne automatisch anzulegen und zu löschen.

Dieser Artikel dient als Ausgangspunkt für die SCIM-Konfiguration mit NinjaOne. Die Konfiguration hängt von Ihrer spezifischen Duo-Einrichtung ab. Wir empfehlen daher, den Abschnitt „Weitere Ressourcen“ zu lesen, um relevante Prozesse zu finden.

Inhaltsverzeichnis

Voraussetzungen und wichtige Hinweise

Stellen Sie vor Beginn dieses Vorgangs sicher, dass Security Assertion Markup Language (SAML) und Single Sign-On (SSO) für Duo in NinjaOne ordnungsgemäß konfiguriert sind. Weitere Informationen finden Sie unter „Konfigurieren von NinjaOne SAML in Duo “. 

Vor der SCIM-Bereitstellung mit Duo empfiehlt NinjaOne, mehrere Konfigurationselemente zu überprüfen und zu entscheiden, ob sie in Ihre Bereitstellungskonfiguration aufgenommen werden sollen.

Für jede Kategorie werden Ausgangspunkte und allgemeine Anweisungen bereitgestellt. Mögliche Konfigurationselemente sind:

  • Gruppen: Erforderlich, wenn Sie Gruppen von Duo-Benutzern automatisch bestimmten Benutzerrollen in NinjaOne zuordnen möchten. Weitere Informationen
  • Benutzerattribute erstellen und zuordnen: Erforderlich, wenn Sie Endbenutzer einer bestimmten Organisation zuordnen oder Technikerkonten erstellen müssen. Weitere Informationen
  • Benutzerattribute zuweisen: Diese stellen sicher, dass jeder Benutzer der richtigen NinjaOne-Organisation (Endbenutzer) zugeordnet wird und den richtigen Kontotyp (Techniker oder Endbenutzer) erhält. Weitere Informationen

Gruppen erstellen und verwenden

Sie können Duo-Gruppen verwenden, um Benutzer bestimmten Rollen in NinjaOne zuzuordnen. Wenn Sie keine Gruppen verwenden, müssen Sie den Benutzern die Rollen in NinjaOne manuell zuweisen; weitere Informationen finden Sie unter Benutzerrollen und Berechtigungen

Wir empfehlen mindestens eine Gruppe für NinjaOne-Endbenutzer und eine Gruppe für Techniker.

Führen Sie die folgenden Schritte aus, um eine neue Duo-Gruppe zu erstellen: 

  1. Melden Sie sich beim Duo-Admin-Panel (extern) an.
  2. Navigieren Sie zu „Benutzer“„Gruppen “ und klicken Sie auf „Gruppe hinzufügen“.
  3. Geben Sie im Feld „Gruppenname“ einen Namen für Ihre neue Gruppe ein.
  4. Klicken Sie auf „Gruppe hinzufügen“, um die Gruppe zu speichern. Weisen Sie der Gruppe je nach Bedarf den Status „Aktiv“ (empfohlen) oder „Umgehen“ zu.
  5. Klicken Sie auf „+ Benutzer zur Gruppe hinzufügen “ und fügen Sie die gewünschten Benutzer hinzu.
  6. Wiederholen Sie den Vorgang nach Bedarf. 
Duo groups.png
Abbildung 1: Beispiel für Gruppen in Duo

Benutzerattribute erstellen und zuordnen 

Bevor Sie SCIM mit Duo einrichten, empfehlen wir Ihnen, die folgenden Anwendungsfälle zu berücksichtigen und die entsprechenden Attribute nach Bedarf zu erstellen. Diese benutzerdefinierten Benutzerattribute werden später während des SCIM-Einrichtungsprozesses den NinjaOne-Attributen zugeordnet.   

Sie können diese Attribute auch aus Ihrem externen Verzeichnis (extern) hinzufügen und importieren, sofern dieses mit Duo synchronisiert ist. 

  • Anforderung 1: Endbenutzer einer Organisation zuordnen. Erstellen Sie ein benutzerdefiniertes Duo-Benutzerattribut, das dem optionalen NinjaOne-Attribut „organizationid“ zugeordnet wird.
  • Anforderung 2: Erstellen Sie NinjaOne-Technikerkonten. Erstellen Sie ein benutzerdefiniertes Duo-Benutzerattribut, das dem optionalen NinjaOne-Attribut „userType“ zugeordnet wird.
Wenn das Attribut „User Type“ fehlt oder nicht den richtigen Wert enthält, wird das Attribut standardmäßig einem globalen Endbenutzerkonto zugewiesen.

Sobald Sie ermittelt haben, welche Benutzerattribute für Ihre SCIM-Bereitstellung erforderlich sind, führen Sie die folgenden Schritte aus, um die benutzerdefinierten Attribute in Duo zu erstellen:

  1. Melden Sie sich beim Duo-Admin-Panel (extern) an.
  2. Navigieren Sie zu „Benutzer“„Benutzerattribute“. Klicken Sie auf „Benutzerdefiniertes Attribut hinzufügen“.
  3. Geben Sie im Feld „Name“ eine eindeutige Kennung für Ihr neues Attribut ein. Dies kann ein beliebiger Wert Ihrer Wahl sein.
  4. Klicken Sie auf „Benutzerdefiniertes Attribut hinzufügen“, um die Daten zu speichern.
  5. Wiederholen Sie diese Schritte für jede Anforderung. 
duo user attributes.png
Abbildung 2: Beispiel für Benutzerattribute in Duo

Attribute Benutzern zuweisen 

Nachdem die benutzerdefinierten Attribute erstellt wurden, müssen Sie die Attribute den Zielbenutzern zuweisen. Das SCIM von NinjaOne richtet ein Konto basierend auf den einem Benutzer zugewiesenen Attributwerten ein. Diese Werte werden verwendet, um den Benutzertyp (Techniker oder Endbenutzer) und die Organisation (Alle Organisationen oder eine bestimmte Organisation) festzulegen. Sie müssen jedem Benutzer die erforderlichen Werte zuweisen, damit deren Konten mit der gewünschten Konfiguration erstellt werden.   

Sie können einem Benutzer Attribute über die folgenden Methoden (extern) zuweisen: 

Bei der Zuweisung von Attributen zu Benutzern müssen Sie dem entsprechenden Attribut den richtigen Wert zuweisen. Die folgenden Werte sind die einzigen, die Sie während des Kontoeinrichtungsprozesses verwenden sollten. 

Sie können die generischen Attribute nach Bedarf ändern. 
AttributErforderlicher Wert
organizationID„All“ (erstellt einen globalen Endbenutzer)
organizationID„<InsertOrganizationID>“ (ordnet einen Endbenutzer der entsprechenden Organisation zu; Anweisungen zum Abrufen der ID finden Sie unter NinjaOne-Plattform: So finden Sie eine Organisations-ID )
userType„technician“ (erstellt ein NinjaOne-Technikerkonto)
userType"endUser" (erstellt ein NinjaOne-Endbenutzerkonto)
Die folgende Abbildung 3 zeigt ein Beispiel für ein nicht synchronisiertes Benutzerkonto mit zugewiesenen Werten für die benutzerdefinierten Attribute „userType“ und „organizationID “. Der Wert für „userType“ erstellt ein Endbenutzerkonto, und der Wert für „organizationID“ ordnet diesen Benutzer der spezifischen NinjaOne-Organisation zu. 
duo_attribute values.png
Abbildung 3: Beispiel für in Duo zugewiesene Endbenutzer-Attributwerte
Die folgende Abbildung 4 zeigt ein Beispiel für ein nicht synchronisiertes Benutzerkonto, dem ein Wert für das benutzerdefinierte Attribut „userType“ zugewiesen wurde. Der Wert „technician“ erstellt ein Techniker-Konto in NinjaOne.
duo_attribute values_technician.png
Abbildung 4: Beispiel für in Duo zugewiesene Attributwerte für Techniker

SCIM in NinjaOne aktivieren

Erfahren Sie mehr über die Verwendung von SCIM in NinjaOne in unserem Leitfaden „NinjaOne Identity Management: Identitätsmanagement mit SCIM“.

Um SCIM zu aktivieren und das geheime Token zu generieren, führen Sie die folgenden Schritte aus:  

  1. Navigieren Sie in der NinjaOne-Konsole zu „Administration“ → „Accounts“ → „Identity Providers“ und öffnen Sie den IDP-Eintrag.
  2. Klicken Sie auf „Aktivieren“ für „System for Cross-domain Identity Management (SCIM)“.
idp_entra_enable scim.png
Abbildung 5: SCIM für Ihren Identitätsanbieter aktivieren
  1. Aktivieren Sie den Schalter „SCIM-Provisioning aktivieren “ im Konfigurationsmodal und klicken Sie anschließend auf „Token generieren“. Lassen Siedieses Konfigurationsmodal geöffnet, damit Sie die Daten für die folgenden Schritte kopieren können. 
enable scim_generate token.png
Abbildung 6: SCIM aktivieren und ein Token für den Identitätsanbieter generieren
Kopieren Sie das Token und bewahren Sie es sicher auf. Das System zeigt es nur einmal an. Das geheime SCIM-Token läuft sechs Monate nach der Generierung ab. Zu diesem Zeitpunkt muss ein neues Token erstellt und dann in Ihren IDP kopiert/eingefügt werden.

SCIM in Duo bereitstellen

  1. Navigieren Sie in Duo zu „Applications“ → „Manage“„Applications“. Wählen Sie Ihre Duo Generic SAML Service Provider-Anwendung für NinjaOne aus.   
  2. Öffnen Sie die Registerkarte „Provisioning“ und wählen Sie „Bearer Token“ aus dem Dropdown-Menü „Authentication mode“ aus.
  3. Kopieren Sie die API-Endpunkt-URL und das SCIM-Geheimtoken aus der NinjaOne-Konsole.
copy SCIM data.png
Abbildung 7: Kopieren der SCIM-Daten aus NinjaOne
  1. Fügen Sie die Daten jeweils in die Felder „Basis-URL“ und „Token“ in Duo ein. 
duo authentication_paste token.png
Abbildung 8: Fügen Sie die NinjaOne-SCIM-Daten in Duo ein
  1. Testen Sie die Verbindung, um den Erfolg zu überprüfen, und stellen Sie dann eine Verbindung zur Anwendung her. 

Zuordnung von Attributen zwischen NinjaOne und Duo

Sobald die Authentifizierung erfolgreich war, erhalten Sie eine Liste der erforderlichen und Standard-NinjaOne-Attribute, die den Duo-Benutzerattributen zugeordnet werden müssen.   

Beachten Sie die folgenden NinjaOne-Attribute:

  • name.familyName
  • name.givenName
  • username

Für eine erfolgreiche SCIM-Bereitstellung müssen Sie die NinjaOne-Attribute den entsprechenden Duo-Benutzerattributen (wie folgt) zuordnen:

Das Attribut „username“ von NinjaOne erfordert einen Eintrag, der als E-Mail-Adresse formatiert ist. Ordnen Sie das Duo-Attribut zu, das mit der E-Mail-Adresse verknüpft ist, die Sie für das NinjaOne-Konto verwenden. Alle anderen Attribute sollten aus der Zuordnung entfernt werden, da sie nicht verwendet werden.
Duo-BenutzerattributNinjaOne-Attribut
Nachnamename.familyName
Vornamename.givenName
E-Mail-AdresseBenutzername
<organizationId> (optional) organizationID
<userType>(optional) Benutzertyp

Endbenutzer einer bestimmten Organisation zuordnen

Ordnen Sie Ihr benutzerdefiniertes Duo-Benutzerattribut (<organizationId>) dem optionalen NinjaOne-Attribut „organizationId“ zu. Fehlt der Wert für die Organisations-ID oder lautet er für einen Endbenutzer „all“, wird ein globaler Endbenutzer angelegt.

NinjaOne-Techniker-Konten oder sowohl Endbenutzer- als auch Techniker-Konten erstellen

Ordnen Sie Ihr benutzerdefiniertes Duo-Benutzerattribut (<userType>) dem optionalen NinjaOne-Attribut „userType“ zu.   

Das userType -Attribut akzeptiert zwei Werte:  

  • „technician“ erstellt ein NinjaOne-Technikerkonto.
  • „endUser“ (Groß-/Kleinschreibung beachten) erstellt ein NinjaOne-Endbenutzerkonto.

Benutzer oder Gruppen der SCIM-Bereitstellung zuweisen

Sobald die Attribute zugeordnet wurden, müssen Sie Gruppen oder Zielbenutzer der SCIM-Bereitstellung zuweisen. 

Die Entscheidung, bestimmte Benutzer, alle Benutzer mit SSO-Zugriff oder bestimmte Benutzergruppen der Verwaltung über SCIM zuzuweisen, hängt von den Zielen Ihrer Organisation und der Duo-Konfiguration ab. 

Dieser Abschnitt beschreibt einen häufig verwendeten Ansatz, bei dem Gruppen genutzt werden, um Benutzer der SCIM-Bereitstellung zuzuweisen. Bitte lesen Sie die Dokumentation von Duo, um zu ermitteln, welche Methode für Sie am besten geeignet ist.

Im folgenden Beispiel haben wir eine Gruppe für Endbenutzer und eine Gruppe für Techniker erstellt. Sobald Sie die Konfiguration speichern, beginnt der Benutzer-Provisioning-Prozess automatisch.

duo groups_select groups.png
Abbildung 9: Wählen Sie in Duo die Gruppen aus, die der SCIM-Bereitstellung zugewiesen werden sollen

Duo-Gruppen NinjaOne-Rollen zuordnen  

Wenn Sie in Duo Gruppen der SCIM-Bereitstellung zuweisen, werden diese im Abschnitt „Gruppenzuordnung“ auf der Seite „Identitätsanbieter“ in der NinjaOne-Konsole angezeigt. Mithilfe der Gruppenzuordnung können Sie einer Identitätsgruppe Endbenutzer- oder Technikerrollen zuweisen. 

Weitere Informationen zum Erstellen und Verwalten von Rollen in NinjaOne finden Sie unter „Benutzerrollen und Berechtigungen“.

  • Identitätsgruppe: Dies sind Gruppen, die vom IDP zugeordnet wurden.  
  • Benutzerrollen: Dies sind Rollen, die der Gruppe zugewiesen sind.  

Führen Sie die folgenden Schritte aus, um die Gruppenzuordnung für Ihren Identitätsanbieter festzulegen:   

  1. Navigieren Sie in der NinjaOne-Konsole zu „Administration“ → „Accounts“ → „Identity Providers“ und öffnen Sie den Eintrag des Anbieters.
  2. Klicken Sie im Abschnitt „Gruppenzuordnung“ auf „Bearbeiten “. 
IDP_group mapping.png
Abbildung 10: Gruppenzuordnung für NinjaOne-IDP konfigurieren
  1. Ordnen Sie die NinjaOne-Rollen ihren jeweiligen Duo-Gruppen zu. Wenn Sie keine Gruppen für die Zuordnung von Duo zu Ihrer NinjaOne-Abteilung konfiguriert haben, werden im Modal „Gruppen zuordnen“ keine geeigneten Zuordnungsoptionen angezeigt. Um dieses Problem zu beheben, überprüfen Sie die Schritte in den Abschnitten „Attribute zwischen NinjaOne und Duo zuordnen “ und „Benutzer oder Gruppen der SCIM-Bereitstellung zuweisen “.

Jeder Benutzer und seine Rolle werden auf der Konfigurationsseite seines NinjaOne-Kontos angezeigt, sodass Sie die Zuordnung nachverfolgen oder Berechtigungen nach Bedarf bearbeiten können.

Weitere Ressourcen

Weitere Informationen zum Identitätsmanagement in NinjaOne finden Sie in den folgenden Ressourcen: 

FAQ

Nächste Schritte