Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

NinjaOne Identitätsmanagement mit System für bereichsübergreifendes Identitätsmanagement (SCIM)

Thema

In diesem Artikel wird erläutert, wie Sie Benutzeridentitäten über das System for Cross-domain Identity Management (SCIM) mit NinjaOne verwalten können.

Umgebung

  • NinjaOne-Plattform
  • NinjaOne-Integrationen
  • Microsoft Entra ID

Beschreibung

Integrieren Sie Ihren Identitätsanbieter (IdP) über SCIM, um Techniker und Endbenutzer in NinjaOne automatisch anzulegen und zu löschen.

Dieser Artikel dient als Ausgangspunkt für die SCIM-Konfiguration in NinjaOne. Die Konfiguration hängt von Ihrer spezifischen Microsoft Entra-Einrichtung ab. Wir empfehlen daher, den Abschnitt „Weitere Ressourcen“ zu lesen, um relevante Verfahren zu finden.

So integrieren Sie Microsoft Entra, Teil 2 (NinjaOne, Inc., 04:33) – Teil 1 finden Sie unter „NinjaOne-Integrationen: Konfigurieren der Security Assertion Markup Language (SAML) für Microsoft Entra ID

Kapitel

  • 0 bis 0:34 – Einleitung – Sehen Sie sich zuerst Teil 1 an!
  • 0:35 bis 1:02 – App-Rollen erstellen
  • 1:03 bis 1:31 – App-Rollen Benutzergruppen zuweisen
  • 1:32 bis 1:59 – Konfigurieren von SCIM in NinjaOne
  • 2:00 bis 2:47 – Erstellen und Zuordnen des Attributs „userType“
  • 2:48 bis 3:16 – Endbenutzer bestimmten Organisationen zuordnen
  • 3:17 bis 3:35 – Erweiterte Attributzuordnung
  • 3:36 bis 3:47 – Bereitstellung
  • 3:48 bis 4:00 – Zuordnung von Gruppen zu Rollen
  • 4:01 bis 4:10 – Benutzer deaktivieren
  • 4:11 bis zum Ende – Intune-Integration

Inhaltsverzeichnis

Wählen Sie eine Kategorie aus, um mehr zu erfahren:

Wichtige Hinweise

Beachten Sie Folgendes:

  • Wenn Sie einen IdP für einen Anbieter erstellen, der die Verwendung von Gruppen nicht unterstützt, erhalten Sie eine Fehlermeldung, wenn Sie versuchen, die Gruppenzuordnung für SCIM zu konfigurieren.
  • Über SCIM verwaltete Benutzer können in NinjaOne nicht bearbeitet oder gelöscht werden, es sei denn, SCIM wird vorübergehend deaktiviert. Sie können jedoch die Telefonnummer, die Sprache und andere kleinere Einstellungen ändern, die nicht von SCIM verwaltet werden. Das Löschen und Bearbeiten von Benutzern muss im IdP erfolgen.
  • Über SCIM bereitgestellte Benutzer erhalten keine Einladung zur Einrichtung ihres Passworts oder der Multi-Faktor-Authentifizierung (MFA), da ihre E-Mail-Adressen vom Identitätsanbieter bereits als aktiviert gelten.
  • Beim Widerrufen von SCIM-Tokens oder beim Deaktivieren von Single Sign-On (SSO) wird der Benutzer aufgefordert, die MFA durch Eingabe des zeitbasierten Codes zu verifizieren.
  • Sie können keine Systemadministratoren über SCIM zuweisen. Sie müssen diese manuell in NinjaOne zuweisen. Anweisungen zum Hinzufügen eines Systemadministrators finden Sie unter „NinjaOne-Plattform: Technikerkonto erstellen“.
  • Wenn Benutzer nicht mehr Mitglieder eines Unternehmens sind, markiert der IdP sie in NinjaOne automatisch als „Inaktiv “. Sie erscheinen jedoch weiterhin in der Benutzerliste.

SCIM-Konfiguration

Die folgenden Anweisungen verwenden Microsoft Entra ID als Beispiel. Wenn Sie Okta als Ihren IdP verwenden möchten, lesen Sie „NinjaOne Identity Access Management (IAM): SCIM für Ihren Identitätsanbieter aktivieren“. Die Anweisungen in diesem Artikel setzen voraus, dass Ihr IdP SCIM unterstützt. Sie sollten eine hybride SSO-Konfiguration testen, bevor Sie sie über NinjaOne aktivieren.

Um SCIM zu aktivieren und das geheime Token zu generieren, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine Microsoft Entra ID Enterprise-Anwendung in Microsoft Azure und konfigurieren Sie diese als IdP in NinjaOne. Anweisungen hierzu finden Sie unter „NinjaOne-Integrationen: Konfigurieren der Security Assertion Markup Language (SAML) für Microsoft Entra ID “.
  2. Navigieren Sie zu „Administration“„Accounts“„Identity Providers“ und öffnen Sie den Eintrag für den Microsoft Entra ID-Anbieter, den Sie im vorherigen Schritt erstellt haben.
  3. Klicken Sie auf „Aktivieren“ für „System for Cross-domain Identity Management“ (SCIM).
Abbildung 1: SCIM für Ihren Identitätsanbieter aktivieren
  1. Aktivieren Sie im Konfigurationsdialog den Schalter „SCIM-Provisioning aktivieren “ und klicken Sie anschließend auf „Token generieren“. Lassen Sie diesen Konfigurationsdialog geöffnet, damit Sie die Daten für die folgenden Schritte kopieren können.
Abbildung 2: SCIM aktivieren und Token generieren
Kopieren Sie das Token und bewahren Sie es sicher auf. NinjaOne zeigt es nur einmal an. Das geheime SCIM-Token läuft sechs Monate nach seiner Generierung durch NinjaOne ab. Nach Ablauf müssen Sie ein neues Token generieren und es anschließend kopieren und in Ihren Identitätsanbieter (IdP) einfügen.

SCIM-Provisionierung

Führen Sie die folgenden Schritte aus, um die SCIM-Bereitstellung zu verwalten:

  1. Navigieren Sie im Microsoft Entra Admin Center zu „Unternehmens-Apps“„Alle Anwendungen“ und suchen Sie die NinjaOne-Anwendung, die Sie für den IdP-SSO-Prozess erstellt haben.
  2. Wählen Sie unter „Erste Schritte“ den Punkt 3. „Benutzerkonten bereitstellen“ aus.
entra_scim_provision user accounts.png
Abbildung 3: Benutzerkonten für die Entra ID-SCIM-Konfiguration bereitstellen
  1. Klicken Sie auf „Anwendung verbinden“.
  2. Kopieren Sie in NinjaOne die URL des SCIM-API-Endpunkts (Mandanten-URL) und fügen Sie sie in das Feld „Mandanten-URL“ im Microsoft Entra-Verwaltungscenter ein.
  3. Kopieren Sie in NinjaOne das SCIM-Geheimtoken und fügen Sie es in das Feld „Geheimtoken“ im Microsoft Entra-Verwaltungscenter ein.
Abbildung 4: Kopieren Sie die Token aus NinjaOne und fügen Sie sie in Entra ID ein (zum Vergrößern anklicken)
  1. Klicken Sie auf „Verbindung testen “ und anschließend auf „Erstellen“.

Attribute konfigurieren

Wenn Sie neben Endbenutzern auch Techniker bereitstellen, müssen Sie ein zusätzliches Attribut erstellen (siehe Schritt 6 in diesem Abschnitt). Wenn Sie diesen Schritt nicht ausführen, werden alle Benutzer als Endbenutzer bereitgestellt.

Führen Sie die folgenden Schritte aus, um Attribute für Ihren Identitätsanbieter zu konfigurieren:

  1. Wählen Sie in Ihrer NinjaOne-Anwendung im Microsoft Entra-Verwaltungscenter „Attributzuordnung “ aus und klicken Sie auf „Microsoft Entra ID-Benutzer bereitstellen“.
Abbildung 5: Microsoft Entra ID-Benutzer bereitstellen (zum Vergrößern anklicken)
  1. Scrollen Sie zum Abschnitt „Attributzuordnungen “. Klicken Sie auf „Bearbeiten“, um die folgenden Attribute wie in der folgenden Tabelle beschrieben zu konfigurieren.
Attribut „customappsso“Azure Active Directory-Attribute
userNameuserPrincipalName
activeSwitch([IsSoftDeleted], , „False“, „True“, „True“, „False“)
name.givenNameVorname
name.familyNameNachname
externalIdObjekt-ID
  1. Klicken Sie auf „Löschen“, um alle anderen Attribute aus der Zuordnung zu entfernen, da diese nicht verwendet werden.
  2. Aktivieren Sie das Kontrollkästchen „Erweiterte Optionen anzeigen “ und klicken Sie anschließend auf „Attributliste für customappsso bearbeiten“.
entra_scim_edit attribute list for customappsso.png
Abbildung 6: Attributliste für „customappsso“ bearbeiten

Abbildung 4: Erweiterte Attributoptionen in Entra ID (zum Vergrößern anklicken)

  1. Scrollen Sie zum Ende der Attributliste und fügen Sie Folgendes hinzu:
    • Name: urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:organizationId
    • Typ: Zeichenfolge
    • Erforderlich?: Wählen Sie diese Option aus
  2. Lassen Sie alle anderen Optionen leer und klicken Sie auf „Speichern“.
  3. Wenn Sie NinjaOne-Techniker mit SCIM anlegen, fügen Sie das folgende Attribut für „Name“ hinzu:
urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:userType
Abbildung 7: Fügen Sie die neuen Attribute zur Zuordnungsliste hinzu (zum Vergrößern anklicken)

Endbenutzer zuordnen

Sie können Endbenutzer bestimmten Organisationen in NinjaOne zuordnen oder sie als globale Endbenutzer definieren, die keiner bestimmten Gruppe zugeordnet sind. In den meisten Fällen sollten Sie Ausdrücke verwenden, um Benutzer dynamisch den richtigen Organisationen zuzuordnen.

  1. Navigieren Sie in Ihrem Microsoft Entra-Konto zu „Provisioning“„Attribute mapping “ → „Provision Microsoft Entra ID Users“.
  2. Öffnen Sie NinjaOne in einem separaten Tab oder Fenster und navigieren Sie zu „Administration“ → „Organizations“. Bewegen Sie den Mauszeiger über das Menü „Actions“ am rechten Rand der Zeile „Organization“ und wählen Sie „Copy Org ID“.
Abbildung 8: Kopieren der Organisations-ID in NinjaOne (zum Vergrößern anklicken)
  1. Kehren Sie zu Ihrem Microsoft Entra-Konto zurück und klicken Sie auf „Neue Zuordnung hinzufügen“.
entra_scim_attribute mapping_add new mapping.png
Abbildung 9: Neue Zuordnung in Microsoft Entra hinzufügen
  1. Wählen Sie den Zuordnungstyp je nachdem aus, ob Sie Endbenutzer einer einzelnen oder mehreren Organisationen zuordnen:
    • Wählen Sie „Konstante“, wenn Sie die Endbenutzer einer einzelnen Organisation zuordnen. Fügen Sie anschließend die ID der einzelnen Organisation in das Feld „Konstanter Wert “ ein.
    • Wählen Sie „Ausdruck“, wenn Sie Endbenutzer mehreren Organisationen zuordnen. Erstellen Sie anschließend einen Ausdruck, der auf die Ziel-Organisations-IDs in NinjaOne verweist, und geben Sie diesen in das Feld „Konstanter Wert“ ein. Die Zuordnung der Endbenutzer erfolgt auf Grundlage der Ergebnisse dieses Ausdrucks. Weitere Informationen zum Erstellen von Ausdrücken für die Organisationszuordnung finden Sie unter „Referenz zum Schreiben von Ausdrücken für Attributzuordnungen in Microsoft Entra Application Provisioning – Microsoft Entra ID | Microsoft Learn“ (externer Link).
  2. Geben Sie Folgendes in das Feld „Zielattribut“ ein, um Endbenutzer ihrer jeweiligen NinjaOne-Organisations-ID zuzuordnen: urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:organizationId
  3. Verwenden Sie „All“ als Organisations-ID des Endbenutzers, um einen globalen Endbenutzer zu erstellen.
edit attribute_entra.png
Abbildung 10: Verwendung eines konstanten Zuordnungstyps für das Zielattribut (zum Vergrößern anklicken)
  1. Klicken Sie auf „OK“ und anschließend auf „Speichern“.

Legen Sie den Benutzertyp für Endbenutzer oder Techniker fest

Standardmäßig erstellt Entra ID SCIM-verwaltete Benutzer als Endbenutzerkonten. Wenn Sie das optionale Attribut „Benutzertyp“ wie in Schritt 6 des Abschnitts „Attribute konfigurieren“ beschrieben zu Ihrer SCIM-Konfiguration hinzugefügt haben, können Sie nun Technikerkonten über SCIM erstellen.

Die möglichen Werte für dieses Attribut sind „Endbenutzer“ oder „Techniker“. Wenn der Wert leer ist oder fehlt, wird ein Endbenutzer angelegt.
  1. Navigieren Sie in Ihrem Microsoft Entra-Konto zu „Bereitstellung “ → „Attributzuordnung “ → „Microsoft Entra ID-Benutzer bereitstellen“.
  2. Klicken Sie auf „Neue Zuordnung hinzufügen“.
  3. Wählen Sie den Zuordnungstyp je nachdem aus, ob Sie Endbenutzer oder Techniker anlegen:
  4. Geben Sie Folgendes in das Feld „Zielattribut“ ein, um Endbenutzer ihrem jeweiligen Benutzertyp zuzuordnen: urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:userType
Abbildung 11: Verwendung eines Ausdrucks als Zuordnungstyp für das Zielattribut (zum Vergrößern anklicken)
  1. Klicken Sie auf „OK“ und anschließend auf „Speichern“.

Konfiguration speichern

Kehren Sie zur Seite „Bereitstellung“ zurück, aktivieren Sie den Bereitstellungsstatus und klicken Sie anschließend auf „Speichern“. NinjaOne stellt die Benutzer automatisch bereit.

Abbildung 12: Der Bildschirm „Provisioning“ in Entra ID (zum Vergrößern anklicken)

Gruppenzuordnung in NinjaOne

Nachdem Sie die Gruppe in Ihrem Identitätsanbieter (IdP) bereitgestellt haben, wird sie im Abschnitt „Gruppenzuordnung“ auf der Seite „Identitätsanbieter“ in NinjaOne angezeigt. Die Gruppenzuordnung ermöglicht es Ihnen, einer Identitätsgruppe Endbenutzer- oder Technikerrollen zuzuweisen, einschließlich globaler Endbenutzer; die Berechtigung „Systemadministrator“ können Sie jedoch nicht als Gruppe über SCIM zuweisen.

  • Identitätsgruppe: Vom Identitätsanbieter (IdP) zugeordnete Gruppen
  • Benutzerrollen: Der Gruppe zugewiesene Rollen

Um die Gruppenzuordnung für Ihren Identitätsanbieter zu ändern, führen Sie die folgenden Schritte aus:

  1. Wenn Sie Systemadministrator sind, können Sie Benutzern in jeder Gruppe Rollen hinzufügen, indem Sie auf „Bearbeiten“ klicken.
Wenn Sie keine Gruppen für die Zuordnung von Entra ID zu Ihrer NinjaOne-Division konfiguriert haben, werden keine entsprechenden Zuordnungsoptionen angezeigt.
Abbildung 13: Gruppenzuordnung bearbeiten
  1. Fügen Sie bei Bedarf jedem Dropdown-Menü eine oder mehrere Rollen hinzu. Als Endbenutzer gekennzeichnete Benutzer erhalten Endbenutzerrollen, und als Techniker gekennzeichnete Benutzer erhalten Technikerrollen.
scim_map groups.png
Abbildung 14: Zuordnung von Techniker- und Endbenutzergruppen

NinjaOne zeigt jeden Benutzer und dessen Rolle auf der NinjaOne-Kontokonfigurationsseite an, sodass Sie die Zuordnung nachverfolgen oder bei Bedarf bearbeiten können.

  • Die Spalte „Quelle“ auf der Konfigurationsseite des Kontos im Bereich „Rollen“ gibt an, ob eine Rolle manuell oder über SCIM zugewiesen wurde. Rollen mit der Angabe „Native“ wurden manuell zugewiesen.
  • Über SCIM zugewiesene Rollen können Sie in NinjaOne nicht bearbeiten. Sie müssen sie über den Identitätsanbieter (IdP) aktualisieren, der ursprünglich zur Zuweisung der Rollen verwendet wurde. In den in diesem Artikel verwendeten Beispielen würden Sie die Rollen in Microsoft Entra aktualisieren.
Abbildung 15: Quelle der Rollenzuweisung (zum Vergrößern anklicken)

SSO und SCIM deaktivieren

Auf der Seite „Single-Sign-On“ können Sie SSO und die SCIM-Bereitstellung deaktivieren sowie Token widerrufen.

SSO deaktivieren

Um SSO als Anbieter zu deaktivieren, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu „Administration“„Konten “ → „Identitätsanbieter“.
  2. Bewegen Sie den Mauszeiger über den Identitätsanbieter und klicken Sie auf die Schaltfläche für das Aktionsmenü. Wählen Sie „SSO deaktivieren“.
Abbildung 16: SSO für einen Identitätsanbieter deaktivieren (zum Vergrößern anklicken)

SCIM deaktivieren

Um die SCIM-Bereitstellung zu deaktivieren, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu „Administration“„Konten“„Identitätsanbieter“ und klicken Sie auf den Namen des Anbieters, um die Einstellungen zu bearbeiten.
  2. Klicken Sie im Abschnitt „System for Cross-domain Identity Management (SCIM) “ auf „Bearbeiten “.
  3. Deaktivieren Sie den Schalter „SCIM-Provisioning aktivieren “ und klicken Sie anschließend im Bestätigungsfenster auf „SCIM deaktivieren “.
Abbildung 17: SCIM-Provisioning für einen IdP deaktivieren (zum Vergrößern anklicken)
  1. Klicken Sie auf „Schließen“.

Token widerrufen

Um ein Token zu widerrufen, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu „Administration“„Konten“„Identitätsanbieter“ und klicken Sie auf den Namen des Anbieters, um die Einstellungen zu bearbeiten.
  2. Klicken Sie im Abschnitt „System für domänenübergreifendes Identitätsmanagement (SCIM) “ auf „Bearbeiten “.
  3. Klicken Sie auf „Token widerrufen “ und anschließend im Bestätigungsfenster erneut auf „Token widerrufen “.
  4. Klicken Sie auf „Schließen“.

SCIM- und SSO-Aktivitäten anzeigen

  1. Navigieren Sie in NinjaOne zum System- oder Organisations-Dashboard → „Aktivitäten “ → „Alle“.
  2. Wählen Sie im Dropdown-Menü „Aktivitätstyp“ die Option „SSO“ aus.
Abbildung 18: Alle Aktivitäten im Zusammenhang mit SSO und SCIM anzeigen (zum Vergrößern anklicken)

Verwenden Sie das Dropdown-Menü „Status“, um die Ergebnisse weiter zu filtern. Für die folgenden Aktivitäten stehen Optionen zur Verfügung:

  • SCIM:
    • Endbenutzer über SCIM angelegt
    • Endbenutzer über SCIM gelöscht
    • Endbenutzer über SCIM gelöscht
    • Endbenutzer über SCIM aktualisiert
    • SCIM deaktiviert
    • SCIM aktiviert
    • SCIM-Token erstellt
    • SCIM-Token entfernt
    • SSO erstellt
    • SSO gelöscht
    • SSO deaktiviert
    • SSO aktiviert

Weitere Ressourcen

Die folgenden Ressourcen enthalten weitere Informationen zu NinjaOne SCIM:

FAQ

Nächste Schritte