Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

NinjaOne Identitätsmanagement mit System für bereichsübergreifendes Identitätsmanagement (SCIM)

Thema

Dieser Artikel behandelt die Verwaltung von Benutzeridentitäten mithilfe des Systems für domänenübergreifendes Identitätsmanagement (SCIM) mit NinjaOne.

Umgebung

  • NinjaOne-Plattform
  • NinjaOne-Integrationen
  • Microsoft Entra ID

Beschreibung

Integrieren Sie Ihren Identitätsanbieter (IdP) über SCIM, um Techniker und Endbenutzer in NinjaOne automatisch anzulegen und zu löschen. 

Dieser Artikel dient als Ausgangspunkt für die SCIM-Konfiguration in NinjaOne. Die Konfiguration hängt von Ihrer spezifischen Microsoft Entra-Einrichtung ab. Wir empfehlen daher, den Abschnitt „Zusätzliche Ressourcen“ zu lesen, um verwandte Prozesse zu finden. 

Wählen Sie eine Kategorie aus, um mehr zu erfahren:

Wichtige Überlegungen

Beachten Sie Folgendes: 

  • Über SCIM verwaltete Benutzer können in der NinjaOne-Konsole nicht bearbeitet oder gelöscht werden, es sei denn, SCIM wird vorübergehend deaktiviert. Sie können jedoch die Telefonnummer, die Sprache und andere kleinere Einstellungen ändern, die nicht von SCIM verwaltet werden. Das Löschen und Bearbeiten von Benutzern muss im IDP erfolgen.
  • Über SCIM bereitgestellte Benutzer erhalten keine Einladung zum Einrichten ihres Passworts oder ihrer MFA, da ihre E-Mail-Adressen vom Identitätsanbieter bereits als aktiviert gelten. 
  • Beim Widerrufen von SCIM-Tokens oder Deaktivieren von SSO (Single Sign-On) wird der Benutzer aufgefordert, die MFA durch Eingabe des zeitbasierten Codes zu überprüfen.
  • Sie können Systemadministratoren nicht über SCIM zuweisen. Sie müssen sie manuell in der NinjaOne-Konsole zuweisen. Anweisungen zum Hinzufügen eines Systemadministrators finden Sie unter NinjaOne-Plattform: Technikerkonto erstellen.
  • Wenn Benutzer nicht mehr Mitglieder eines Unternehmens sind, markiert der IDP sie in der NinjaOne-Konsole automatisch als inaktiv. Sie werden jedoch weiterhin in der Benutzerliste angezeigt.

SCIM-Konfiguration

Die folgenden Anweisungen wurden für die Unterstützung von Microsoft Entra ID bestätigt. Wenn Sie Okta als Ihren IDP verwenden möchten, lesen Sie NinjaOne Identity Authentication Management: SCIM für Ihren Identitätsanbieter aktivieren. Die Anweisungen in diesem Artikel gehen davon aus, dass Ihr IDP SCIM unterstützt. Sie sollten eine hybride SSO-Konfiguration (Single Sign-On) testen, bevor Sie sie über NinjaOne aktivieren.

Um SCIM zu aktivieren und das geheime Token zu generieren, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine Microsoft Entra ID Enterprise-Anwendung in Microsoft Azure. Weitere Informationen finden Sie unter „Anmeldesicherheit: Single Sign-On in NinjaOne konfigurieren “.
  2. Navigieren Sie zu „Administration“ → „Accounts“ → „Identity Providers“ und öffnen Sie den Microsoft Entra ID-Anbieter-Eintrag, den Sie im vorherigen Schritt erstellt haben.
  3. Klicken Sie auf Aktivieren für System für domänenübergreifende Identitätsverwaltung (SCIM).

idp_entra_enable scim.png
Abbildung 1: SCIM für Ihren Identitätsanbieter aktivieren

  1. Aktivieren Sie den Schalter „SCIM-Bereitstellung aktivieren “ im Konfigurationsmodus und klicken Sie dann auf „Token generieren“. Lassen Siediesen Konfigurationsmodus geöffnet, damit Sie die Daten für die nächsten Schritte kopieren können. 

enable scim_generate token.png

Abbildung 2: SCIM aktivieren und Token für den Identitätsanbieter generieren

Kopieren Sie das Token und bewahren Sie es sicher auf. Das System zeigt es nur einmal an. Das geheime SCIM-Token läuft sechs Monate nach seiner Generierung ab. Zu diesem Zeitpunkt muss ein neues Token erstellt und dann kopiert und in Ihren IDP eingefügt werden.

SCIM bereitstellen

Führen Sie die folgenden Schritte aus, um die Bereitstellung für SCIM zu verwalten: 

  1. Öffnen Sie Ihre Microsoft Azure Enterprise-Anwendung in einem separaten Browser-Tab oder -Fenster. Wählen Sie unter „Verwalten“ die Registerkarte „Bereitstellung “ und klicken Sie dann auf „Erste Schritte“.
  2. Kopieren Sie in NinjaOne die SCIM-API-Endpunkt-URL (Tenant-URL) und das geheime Token aus NinjaOne und fügen Sie sie in die Azure-Bereitstellungskonfiguration ein. Diese Daten finden Sie in Schritt 4, der weiter oben in diesem Prozess beschrieben wird.
    • Die URL ist der Endpunkt des IDP und verweist auf die SCIM-API-Endpunkt-URL.
    • Die SCIM-API-Endpunkt-URL sollte https://{tenant-hostname}/ws/scim/v2 lauten, wobei {tenant-hostname} der native Hostname Ihres Mandanten ist, z. B. app.ninjarmm.com, eu.ninjarmm.com oder ähnlich.

copy SCIM data.png
Abbildung 3: Kopieren Sie die SCIM-Daten aus NinjaOne

  1. Fügen Sie die kopierten Daten in Ihre Microsoft Azure Enterprise-Anwendung ein. Testen Sie die Verbindung, um sicherzustellen, dass sie erfolgreich ist.

Attribute konfigurieren

Wenn Sie neben Endbenutzern auch Techniker bereitstellen, müssen Sie ein zusätzliches Attribut erstellen (siehe Schritt 6 in diesem Abschnitt). Wenn Sie diesen Schritt nicht ausführen, werden alle Benutzer als Endbenutzer bereitgestellt.

Führen Sie die folgenden Schritte aus, um Attribute für Ihren Identitätsanbieter zu konfigurieren:  

  1. Erweitern Sie in Ihrer Microsoft Azure Enterprise-Anwendung den Abschnitt „Zuordnungen “ und klicken Sie auf „Azure Active Directory-Benutzer bereitstellen“.

scim mapping.png

Abbildung 4: Der Bildschirm „Bereitstellung“ in Entra ID (zum Vergrößern anklicken)

  1. Konfigurieren Sie die folgenden Attribute anhand der unten stehenden Tabelle. Entfernen Sie alle anderen Attribute aus der Zuordnung, da sie nicht verwendet werden.
Azure Active Directory-Attribute customappsso-Attribut
userPrincipalName userName
Switch([IsSoftDeleted], , "False", "True", "True", "False") active
mail E-Mails[Typ gleich „Arbeit“].Wert
Vorname name.givenName
Nachname name.familyName
mailNickname externeID
  1. Aktivieren Sie das Kontrollkästchen „Erweiterte Optionen anzeigen “ und klicken Sie dann auf „Attributliste für customappsso bearbeiten“.

scim attributes.png

Abbildung 5: Erweiterte Attributoptionen in Entra ID (zum Vergrößern anklicken)

  1. Fügen Sie unten ein neues Attribut hinzu und geben Sie Folgendes ein:
    • Name:urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:organizationId
    • Typ: Zeichenfolge
    • Erforderlich?: Wählen Sie diese Option
  2. Lassen Sie alle anderen Optionen leer. Klicken Sie anschließend auf „Speichern“.
  3. Wenn Sie NinjaOne-Techniker mit SCIM erstellen, fügen Sie das folgende Attribut für den Namen hinzu:
urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:userType

Endbenutzer zuordnen

Sie können Endbenutzer bestimmten Organisationen in NinjaOne zuordnen oder sie als globale Endbenutzer zuweisen (die keiner bestimmten Gruppe zugeordnet sind). In den meisten Fällen sollten Sie Ausdrücke verwenden, um Benutzer dynamisch der richtigen Organisation zuzuweisen.

  1. Navigieren Sie in Ihrem Microsoft Entra-Konto zu „Bereitstellung“„Attributzuordnung “ → „Microsoft Entra ID-Benutzer bereitstellen“.
  2. Öffnen Sie NinjaOne in einem separaten Tab oder Fenster und navigieren Sie zu „Administration → Organisationen“. Bewegen Sie den Mauszeiger über die Ellipse „Aktionen“ am rechten Rand der Zeile „Organisation“ und wählen Sie „Org-ID kopieren“. 

copy org ID.png
Abbildung 6: Kopieren Sie die Organisations-ID in NinjaOne (zum Vergrößern anklicken)

  1. Kehren Sie zu Ihrem Microsoft Entra-Konto zurück und klicken Sie auf „Neue Zuordnung hinzufügen“.

scim_new mapping.png
Abbildung 7: Hinzufügen einer neuen Zuordnung in Microsoft Entra (zum Vergrößern anklicken)

  1. Wählen Sie den Zuordnungstyp aus, je nachdem, ob Sie Endbenutzer einer einzelnen oder mehreren Organisationen zuordnen:
    • Wählen Sie „Konstant“, wenn Sie die Endbenutzer einer einzelnen Organisation zuordnen. Fügen Sie dann die einzelne Organisations-ID in das Feld „Konstanter Wert“ ein.
    • Wählen Sie „Ausdruck“, wenn Sie Endbenutzer mehreren Organisationen zuordnen. Erstellen Sie dann einen Ausdruck, der auf die Ziel-NinjaOne-Organisations-IDs verweist, und geben Sie ihn in das Feld „Konstanter Wert“ ein. Endbenutzer werden basierend auf den Ergebnissen des Ausdrucks zugeordnet. Weitere Informationen zum Erstellen von Ausdrücken für die Organisationszuordnung finden Sie unter Referenz zum Schreiben von Ausdrücken für Attributzuordnungen in Microsoft Entra Application Provisioning – Microsoft Entra ID | Microsoft Learn (externer Link).
  2. Geben Sie Folgendes in das Feld „Zielattribut“ ein, um Endbenutzer ihrer jeweiligen NinjaOne-Organisations-ID zuzuordnen: urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:organizationId
  3. Verwenden Sie „All“ als Organisations-ID des Endbenutzers, um einen globalen Endbenutzer zu erstellen.

scim_entra_edit attribute_mapping.png

Abbildung 8: Verwendung eines konstanten Zuordnungstyps beim Bearbeiten eines Zielattributs (zum Vergrößern anklicken)

  1. Klicken Sie auf „OK“ und dann auf „Speichern“.

Legen Sie den Benutzertyp für Endbenutzer oder Techniker fest

Standardmäßig erstellt Entra ID SCIM-verwaltete Benutzer als Endbenutzerkonten. Wenn Sie das optionale Attribut „Benutzertyp“ zu Ihrer SCIM-Konfiguration hinzugefügt haben (siehe Schritt 5 im Abschnitt „Attribute konfigurieren“ ), haben Sie nun die Möglichkeit, Technikerkonten über SCIM zu erstellen.

Die möglichen Werte für dieses Attribut sind „endUser“ oder „technician“. Wenn der Wert leer oder nicht vorhanden ist, wird ein Endbenutzer erstellt.
  1.  Navigieren Sie in Ihrem Microsoft Entra-Konto zu „Bereitstellung“„Attributzuordnung “ → „Microsoft Entra ID-Benutzer bereitstellen“.
  2. Klicken Sie auf „Neue Zuordnung hinzufügen“.
  3. Wählen Sie den Zuordnungstyp aus, je nachdem, ob Sie Endbenutzer oder Techniker erstellen:
entra_expression type and attribute.png

Abbildung 9: Verwenden eines Ausdruckszuordnungstyps beim Bearbeiten eines Zielattributs (zum Vergrößern anklicken)

  1. Geben Sie Folgendes in das Feld „Zielattribut“ ein, um Endbenutzer ihrer jeweiligen NinjaOne-Organisations-ID zuzuordnen: urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:userType
  2. Klicken Sie auf „OK“ und dann auf „Speichern“.

Speichern Sie die Konfiguration

Kehren Sie zu „Provisioning“ zurück, aktivieren Sie den Schalter „Provisioning-Status “ unten auf der Seite und klicken Sie dann auf „Speichern“. NinjaOne provisioniert die Benutzer automatisch.

entra_provisioning status.png
Abbildung 10: Der Bildschirm „Bereitstellung“ in Entra ID (zum Vergrößern anklicken)

Gruppenzuordnung in NinjaOne

Sobald Sie die Gruppe in Ihrem IDP bereitgestellt haben, wird sie im Abschnitt „Gruppenzuordnung“ auf der Seite „Identitätsanbieter“ der NinjaOne-Konsole angezeigt. Mit der Gruppenzuordnung können Sie einer Identitätsgruppe Endbenutzer- oder Technikerrollen zuweisen. Weitere Informationen zum Erstellen und Verwalten von Rollen in NinjaOne finden Sie unter Benutzerrollen und Berechtigungen.

  • Identitätsgruppe: Aus dem IDP zugeordnete Gruppen
  • Benutzerrollen: Der Gruppe zugewiesene Rollen

Um die Gruppenzuordnung für Ihren Identitätsanbieter zu ändern, führen Sie die folgenden Schritte aus: 

  1. Wenn Sie Systemadministrator sind, können Sie Benutzern in jeder Gruppe Rollen hinzufügen, indem Sie auf „Bearbeiten“ klicken.
Wenn Sie keine Gruppen für die Zuordnung von Entra ID zu Ihrer NinjaOne-Abteilung konfiguriert haben, werden Ihnen keine geeigneten Zuordnungsoptionen angezeigt. 

scim_edit group mapping.png
Abbildung 11: Gruppenzuordnungbearbeiten

  1. Fügen Sie bei Bedarf eine oder mehrere Rollen zu jedem Dropdown-Menü hinzu. Benutzer, die als Endbenutzer gekennzeichnet sind, werden Endbenutzerrollen zugewiesen, und Benutzer, die als Techniker gekennzeichnet sind, werden Technikerrollen zugewiesen. 

scim_map groups.png
Abbildung 12: Techniker- und Endbenutzergruppen zuordnen

NinjaOne zeigt jeden Benutzer und seine Rolle auf der NinjaOne-Konto-Konfigurationsseite an, sodass Sie die Zuordnung verfolgen oder bei Bedarf bearbeiten können. 

  • Die Spalte „Quelle“ auf der Seite zur Konfiguration des Kontos unter „Rollen“ gibt an, ob eine Rolle manuell oder über SCIM zugewiesen wurde. Rollen mit der Angabe „Native“wurden manuell zugewiesen.
  • Über SCIM zugewiesene Rollen können in der NinjaOne-Konsole nicht bearbeitet werden. Sie müssen sie über den IDP aktualisieren, der ursprünglich für die Zuweisung der Rollen verwendet wurde (in den Beispielen in diesem Artikel würden Sie die Rollen in Microsoft Entra aktualisieren).

role assignment source.png
Abbildung 13: Quelle der Rollenzuweisung (zum Vergrößern anklicken)

SSO und SCIM deaktivieren

Auf der Seite „Single-Sign-On“ können Sie SSO und SCIM-Bereitstellung deaktivieren und Tokens widerrufen.

SSO deaktivieren

Um SSO als Anbieter zu deaktivieren, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu „Administration“ → „Konten“ →„Identitätsanbieter“.
  2. Bewegen Sie den Mauszeiger über den IDP und klicken Sie auf die Schaltfläche mit den drei Punkten. Wählen Sie SSO deaktivieren

disable sso.png
Abbildung 14: SSO für einen IDP deaktivieren

SCIM deaktivieren

Um die SCIM-Bereitstellung zu deaktivieren, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu „Administration„Konten“„Identitätsanbieter“ und klicken Sie auf den Namen des Anbieters, um die Einstellungen zu bearbeiten.
  2. Klicken Sie im Abschnitt „System für domänenübergreifende Identitätsverwaltung (SCIM) “ auf „Bearbeiten “.
  3. Deaktivieren Sie den Schalter „SCIM-Bereitstellung aktivieren “ und klicken Sie dann im Bestätigungsfenster auf „SCIM deaktivieren “.
disable scim.png

Abbildung 15: SCIM-Bereitstellung für einen IDP deaktivieren (zum Vergrößern anklicken)

  1. Klicken Sie auf „Schließen“. 

Token widerrufen

Um ein Token zu widerrufen, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu „Administration„Konten“„Identitätsanbieter“ und klicken Sie auf den Namen des Anbieters, um die Einstellungen zu bearbeiten.
  2. Klicken Sie im Abschnitt „System für domänenübergreifende Identitätsverwaltung (SCIM) “ auf „Bearbeiten “.
  3. Klicken Sie auf Token widerrufen und dann im Bestätigungsfenster erneut auf Token widerrufen .
  4. Klicken Sie auf „Schließen“. 

SCIM- und SSO-Aktivitäten anzeigen

  1. Navigieren Sie in der NinjaOne-Konsole zu Dashboard ( System oder Organisation) → Aktivitäten → Alle.
  2. Wählen Sie im Dropdown-Menü „Aktivitätstyp“ die Option „SSO“ aus. 

activities_sso.png
Abbildung 16: Alle Aktivitäten im Zusammenhang mit SSO und SCIM anzeigen (zum Vergrößern anklicken)

Verwenden Sie das Dropdown-Menü „Status“, um die Ergebnisse weiter zu filtern. Für die folgenden Aktivitäten stehen Optionen zur Verfügung:

  • SCIM:
    • Endbenutzer erstellt, aktualisiert oder deaktiviert
    • Von Techniker erstellt, gelöscht oder aktualisiert
    • Token erstellt Entfernt
    • Benutzergruppe erstellt, gelöscht, aktualisiert
  • SSO: Erstellt, gelöscht, deaktiviert, aktiviert

activities_sso_status filter.png
Abbildung 17: SSO- und SCIM-Aktivitäten nach Status filtern

Weitere Ressourcen

Weitere Informationen zu NinjaOne SCIM finden Sie in den folgenden Ressourcen: 

FAQ

Nächste Schritte