Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

NinjaOne Identity Management mit System für domänenübergreifendes Identitätsmanagement (SCIM)

Thema

Dieser Artikel beschreibt die Verwaltung von Benutzeridentitäten mit dem System für domänenübergreifendes Identitätsmanagement (SCIM) mit NinjaOne.

Umgebung

  • NinjaOne-Plattform
  • NinjaOne-Integrationen
  • Microsoft Entra ID

Beschreibung

Integrieren Sie Ihren Identity Provider (IdP) über SCIM, um automatisch Techniker und Endanwender in NinjaOne zu erstellen und zu löschen. 

Dieser Artikel dient als Ausgangspunkt für die SCIM-Konfiguration in NinjaOne. Die Konfiguration hängt von Ihrer spezifischen Microsoft Entra-Einrichtung ab, daher empfehlen wir Ihnen, den Abschnitt Zusätzliche Ressourcen zu lesen, um entsprechende Prozesse zu finden. 

Wählen Sie eine Kategorie, um mehr zu erfahren:

Wichtige Überlegungen

Bedenken Sie Folgendes: 

  • Benutzer, die über SCIM verwaltet werden, können in der NinjaOne-Konsole nicht bearbeitet oder gelöscht werden, es sei denn, SCIM wird vorübergehend deaktiviert. Sie können jedoch die Telefonnummer, die Sprache und andere geringfügige Einstellungen, die nicht von SCIM verwaltet werden, ändern. Das Löschen und Bearbeiten von Benutzern muss in der IDP erfolgen.
  • Benutzer, die über SCIM bereitgestellt werden, erhalten keine Aufforderung, ihr Passwort oder MFA einzurichten, da ihre E-Mail-Adressen vom Identitätsanbieter bereits als aktiviert gelten. 
  • Beim Entzug von SCIM-Tokens oder der Deaktivierung von SSO (Single Sign-On) wird der Benutzer aufgefordert, MFA durch Eingabe des zeitbasierten Codes zu verifizieren.
  • Sie können Systemadministratoren nicht über SCIM zuweisen. Sie müssen sie manuell in der NinjaOne-Konsole zuweisen. Anweisungen zum Hinzufügen eines Systemadministrators finden Sie unter NinjaOne Platform: Erstellen eines Technikerkontos.
  • Wenn Benutzer nicht mehr Mitglied einer Firma sind, werden sie von der IDP automatisch in der NinjaOne-Konsole alsinaktiv markiert. Sie werden jedoch weiterhin in der Benutzerliste angezeigt.

SCIM-Konfiguration

Es wurde bestätigt, dass die folgenden Anweisungen Microsoft Entra ID unterstützen. Wenn Sie Okta als IDP verwenden möchten, lesen Sie NinjaOne Identity Authentication Management: Aktivieren Sie SCIM für Ihre Identität Stellen Sier. Die Anweisungen in diesem Artikel gehen davon aus, dass Ihr IDP SCIM unterstützt. Sie sollten eine hybride SSO (Single Sign-On) Konfiguration testen, bevor Sie sie über NinjaOne aktivieren.

Führen Sie die folgenden Schritte aus, um SCIM zu aktivieren und das geheime Token zu erzeugen:

  1. Erstellen Sie eine Microsoft Entra ID Enterprise-Anwendung in Microsoft Azure. Siehe Login-Sicherheit: Konfigurieren Sie Single Sign-On in NinjaOne um mehr zu erfahren.
  2. Navigieren Sie unter zu Verwaltung → Konten → Identitätsanbieter und öffnen Sie den Eintrag für den Microsoft Entra ID-Anbieter, den Sie im vorherigen Schritt erstellt haben.
  3. Klicken Sie auf Aktivieren für System for Cross-Domain Identity Management (SCIM).

idp_entra_aktivieren scim.png 
1. Screenshot: Aktivieren Sie SCIM für Ihren Identitätsanbieter

  1. Aktivieren Sie den Kippschalter SCIM-Provisioning aktivieren im Konfigurationsmodal und klicken Sie dann auf Token generieren. Lassen Sie dieses Konfigurationsmodal geöffnet, damit Sie die Daten für die nächsten Schritte kopieren können. 

scim_generate token.png aktivieren

Abbildung 2: Aktivieren Sie SCIM und erzeugen Sie ein Token für den Identitätsanbieter

Kopieren Sie den Token und bewahren Sie ihn sicher auf. Das System zeigt sie nur einmal an. Der geheime SCIM-Token läuft sechs Monate nach seiner Erzeugung ab. Zu diesem Zeitpunkt muss ein neuer Token erstellt werden, der dann kopiert und in Ihre IDP eingefügt wird.

Bereitstellung SCIM

Führen Sie die folgenden Schritte aus, um die Bereitstellung für SCIM zu verwalten: 

  1. Öffnen Sie Ihre Microsoft Azure Enterprise-Anwendung in einem separaten Browser-Tab oder -Fenster. Wählen Sie in Verwalten die Registerkarte Bereitstellen und klicken Sie dann auf Starten.
  2. Kopieren Sie in NinjaOne die SCIM-API-Endpunkt-URL (Tenant-URL) und das geheime Token aus NinjaOne und fügen Sie sie in die Azure-Provisioning-Konfiguration ein. Sie finden diese Daten in Schritt 4, der zu einem früheren Zeitpunkt in diesem Prozess stattfindet.
    • Die URL ist der Endpunkt der IDP und verweist auf die SCIM-API-Endpunkt-URL.
    • Die SCIM-API-Endpunkt-URL sollte https://{mieter-hostname}/ws/scim/v2 lauten, wobei {mieter-hostname} der native Hostname Ihres Mandanten ist, wie z. B. app.ninjarmm.com, eu.ninjarmm.com oder ähnlich.

sCIM-Daten kopieren.png
Abbildung 3: Kopieren Sie die SCIM-Daten von NinjaOne

  1. Fügen Sie die kopierten Daten in Ihre Microsoft Azure Enterprise-Anwendung ein. Testen Sie die Verbindung, um zu überprüfen, ob sie erfolgreich ist.

Attribute konfigurieren

Wenn Sie neben Endbenutzern auch Techniker bereitstellen, müssen Sie ein zusätzliches Attribut erstellen (siehe Schritt 6 in diesem Abschnitt). Wenn Sie diesen Schritt nicht ausführen, werden alle Benutzer als Endbenutzer bereitgestellt.

Führen Sie die folgenden Schritte aus, um Attribute für Ihren Identitätsanbieter zu konfigurieren:  

  1. Erweitern Sie in Ihrer Microsoft Azure Enterprise-Anwendung den Abschnitt Zuordnungen und klicken Sie auf Azure Active Directory-Benutzer bereitstellen.

scim mapping.png

Abbildung 4: Der Provisioning-Bildschirm in Entra ID (zum Vergrößern anklicken)

  1. Konfigurieren Sie die folgenden Attribute anhand der nachstehenden Tabelle. Entfernen Sie alle anderen Attribute aus dem Mapping, da sie nicht verwendet werden.
Attribute von Azure Active Directorycustomappsso-Attribut
userPrincipalNameuserName
Switch([IsSoftDeleted], , "False", "True", "True", "False")aktiv
e-Mailemails[Typ eq "Arbeit"].Wert
givenNamename.givenName
nachnamename.familienname
mailNicknameexternalId
  1. Wählen Sie das Kontrollkästchen Erweiterte Optionen anzeigen aus und klicken Sie dann auf Attributliste für customappsso bearbeiten.

scim-attribute.png

Abbildung 5: Erweiterte Attributoptionen in Entra ID (zum Vergrößern klicken)

  1. Fügen Sie am Ende ein neues Attribut hinzu und geben Sie Folgendes ein:
    • Name: urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:organizationId
    • Typ: String
    • Erforderlich?: Wählen Sie diese Option
  2. Lassen Sie alle anderen Optionen leer. Wenn Sie fertig sind, klicken Sie auf Speichern.
  3. Wenn Sie NinjaOne-Techniker mit SCIM erstellen, fügen Sie das folgende Attribut für Name hinzu:
urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:userType

Karte der Endnutzer

Sie können Endbenutzer bestimmten Organisationen in NinjaOne zuordnen oder sie als globale Endbenutzer zuweisen (nicht einer bestimmten Gruppe zugewiesen). In den meisten Situationen sollten Sie Ausdrücke verwenden, um Benutzer dynamisch der richtigen Organisation zuzuordnen.

  1. Navigieren Sie in Ihrem Microsoft Entra-Konto zu ProvisioningAttribute MappingProvision Microsoft Entra ID Users.
  2. Öffnen Sie NinjaOne in einem separaten Tab oder Fenster und navigieren Sie zu Verwaltung → Organisationen. Bewegen Sie den Mauszeiger über die Ellipse " Aktionen" am rechten Rand der Zeile "Organisation" und wählen Sie Org-ID kopieren

org ID kopieren.png
Abbildung 6: Kopieren Sie die Organisations-ID in NinjaOne (zum Vergrößern klicken)

  1. Kehren Sie zu Ihrem Microsoft Entra-Konto zurück und klicken Sie auf Neue Zuordnung hinzufügen.

scim_neue kartierung.png
Abbildung 7: Hinzufügen eines neuen Mappings in Microsoft Entra (zum Vergrößern klicken)

  1. Wählen Sie den Zuordnungstyp aus, je nachdem, ob Sie die Endbenutzer einer einzelnen oder mehreren Organisationen zuordnen möchten:
    • Wählen Sie Konstant, wenn Sie die Endbenutzer einer einzigen Organisation zuordnen möchten. Fügen Sie dann die ID der einzelnen Organisation in das Feld Konstanter Wert ein.
    • Wählen Sie Ausdruck, wenn Sie Endbenutzer mehreren Organisationen zuordnen wollen. Erstellen Sie dann einen Ausdruck, der auf die Ziel-NinjaOne-Organisations-IDs verweist, und geben Sie ihn in das Feld Konstanter Wert ein. Die Endbenutzer werden auf der Grundlage der Ergebnisse des Ausdrucks zugewiesen. Weitere Informationen zur Erstellung von Ausdrücken für die Zuordnung von Organisationen finden Sie unter Referenz für das Schreiben von Ausdrücken für Attributzuordnungen in Microsoft Entra Application Provisioning - Microsoft Entra ID | Microsoft Learn(externer Link).
  2. Geben Sie Folgendes in das Feld Zielattribut ein, um Endbenutzer ihrer jeweiligen NinjaOne-Organisations-ID zuzuordnen: urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:organizationId
  3. Verwenden Sie "All" als Organisations-ID des Endbenutzers, um einen globalen Endbenutzer zu erstellen.

scim_entra_edit attribute_mapping.png

Abbildung 8: Verwendung eines konstanten Mapping-Typs bei der Bearbeitung eines Zielattributs (zum Vergrößern klicken)

  1. Klicken Sie auf Ok und dann auf Speichern.

Einstellen des Benutzertyps auf Endbenutzer oder Techniker

Standardmäßig erstellt Entra ID SCIM-verwaltete Benutzer als Endbenutzerkonten. Wenn Sie das optionale Attribut Benutzertyp zu Ihrer SCIM-Konfiguration hinzugefügt haben (siehe Schritt 5 im Abschnitt Attribute konfigurieren ), haben Sie nun die Möglichkeit, Techniker-Konten über SCIM zu erstellen.

Die möglichen Werte für dieses Attribut sind "endUser" oder "technician." Wenn der Wert leer oder nicht vorhanden ist, wird ein Endbenutzer erstellt.
  1.  Navigieren Sie in Ihrem Microsoft Entra-Konto unter zu ProvisioningAttribute MappingProvision Microsoft Entra ID Users.
  2. Klicken Sie auf Neue Kartierung hinzufügen.
  3. Wählen Sie die Zuordnungsart, je nachdem, ob Sie Endbenutzer oder Techniker anlegen wollen:
entra_expression type and attribute.png

9. Abbildung: Verwendung eines Expression-Mapping-Typs bei der Bearbeitung eines Zielattributs (zum Vergrößern klicken)

  1. Geben Sie Folgendes in das Feld Zielattribut ein, um Endbenutzer ihrer jeweiligen NinjaOne-Organisations-ID zuzuordnen: urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:userType
  2. Klicken Sie auf Ok und dann auf Speichern.

Speichern Sie die Konfiguration

Kehren Sie zur Bereitstellung zurück, aktivieren Sie den Kippschalter für den Bereitstellungsstatus unten auf der Seite und klicken Sie dann auf Speichern. NinjaOne stellt die Benutzer automatisch bereit.

entra_bereitstellungsstatus.png
Abbildung 10: Der Provisioning-Bildschirm in Entra ID (zum Vergrößern anklicken)

Gruppenzuordnung in NinjaOne

Sobald Sie die Gruppe in Ihrer IDP eingerichtet haben, wird sie im Abschnitt Gruppenzuordnung auf der Seite Identitätsanbieter der NinjaOne-Konsole angezeigt. Mit der Gruppenzuordnung können Sie einer Identitätsgruppe Rollen von Endbenutzern oder Technikern zuweisen. Um mehr über das Erstellen und Verwalten von Rollen in NinjaOne zu erfahren, lesen Sie bitte den Abschnitt Benutzerrollen und Berechtigungen.

  • Identitätsgruppe: Von der IDP kartierte Gruppen
  • Benutzerrollen: Der Gruppe zugewiesene Rollen

Um die Gruppenzuordnung für Ihren Identitätsanbieter zu ändern, führen Sie die folgenden Schritte aus: 

  1. Wenn Sie ein Systemadministrator sind, können Sie den Benutzern in jeder Gruppe Rollen hinzufügen, indem Sie auf Bearbeiten klicken.
Wenn Sie keine Gruppen für die Zuordnung von Entra ID zu Ihrer NinjaOne-Abteilung konfiguriert haben, sehen Sie keine geeigneten Zuordnungsoptionen. 

scim_edit group mapping.png
11. Abbildung: Gruppenzuordnung bearbeiten

  1. Fügen Sie je nach Bedarf eine oder mehrere Rollen zu jedem Dropdown-Menü hinzu. Benutzern, die als Endbenutzer gekennzeichnet sind, werden Endbenutzerrollen zugewiesen, und Benutzern, die als Techniker gekennzeichnet sind, werden Technikerrollen zugewiesen. 

scim_map groups.png
12. Screenshot: Zuordnung von Technikern und Endnutzergruppen

NinjaOne zeigt jeden Benutzer und seine Rolle auf der NinjaOne Kontokonfigurationsseite an, so dass Sie die Zuordnung nachverfolgen oder bei Bedarf bearbeiten können. 

  • In der Spalte Quelle auf der Kontokonfigurationsseite unter Rollen wird angezeigt, ob eine Rolle manuell oder über SCIM zugewiesen wurde. Rollen mit der Angabe "Native" wurden manuell zugewiesen.
  • Sie können über SCIM zugewiesene Rollen nicht in der NinjaOne-Konsole bearbeiten. Sie müssen sie über die IDP aktualisieren, die für die ursprüngliche Zuweisung der Rollen verwendet wurde (in den in diesem Artikel verwendeten Beispielen würden Sie die Rollen in Microsoft Entra aktualisieren).

rollenzuweisung Quelle.png
Abbildung 13: Quelle der Rollenzuweisung (zum Vergrößern anklicken)

SSO und SCIM deaktivieren

Auf der Seite „Single Sign-On“ können Sie SSO, SCIM-Provisioning deaktivieren und Tokens widerrufen.

SSO deaktivieren

Um SSO als Anbieter zu deaktivieren, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Verwaltung Konten Identitätsanbieter.
  2. Bewegen Sie den Mauszeiger über die IDP und klicken Sie auf die Schaltfläche des Ellipsenmenüs. Wählen Sie SSO deaktivieren

sso.png deaktivieren
Abbildung 14: SSO für einen IDP deaktivieren

SCIM deaktivieren

Um die SCIM-Bereitstellung zu deaktivieren, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Verwaltung Konten Identitätsanbieter und klicken Sie auf den Namen des Anbieters, um die Einstellungen zu bearbeiten.
  2. Klicken Sie im Abschnitt System für domänenübergreifendes Identitätsmanagement (SCIM ) auf Bearbeiten.
  3. Schalten Sie den Kippschalter SCIM-Bereitstellung aktivieren aus und klicken Sie dann im Bestätigungsfenster auf SCIM deaktivieren.
scim.png deaktivieren

Abbildung 15: Deaktivieren der SCIM-Bereitstellung für eine IDP (zum Vergrößern klicken)

  1. Klicken Sie auf Schließen

Token widerrufen

Um ein Token zu widerrufen, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Verwaltung Konten Identitätsanbieter und klicken Sie auf den Namen des Anbieters, um die Einstellungen zu bearbeiten.
  2. Klicken Sie im Abschnitt System für domänenübergreifendes Identitätsmanagement (SCIM ) auf Bearbeiten.
  3. Klicken Sie auf Token widerrufen und dann im Bestätigungsfenster erneut auf Token widerrufen .
  4. Klicken Sie auf Schließen

SCIM- und SSO-Aktivitäten anzeigen

  1. Navigieren Sie in der NinjaOne-Konsole zu Dashboard (System oder Organisation) → Aktivitäten → Alle.
  2. Wählen Sie "SSO" im Dropdown-Menü Aktivitätstyp

aktivitäten_sso.png
Abbildung 16: Alle Aktivitäten im Zusammenhang mit SSO und SCIM anzeigen (zum Vergrößern anklicken)

Verwenden Sie das Dropdown-Menü Status, um die Ergebnisse weiter zu filtern. Optionen sind für die folgenden Aktivitäten verfügbar:

  • SCIM:
    • Endbenutzer erstellt, aktualisiert oder deaktiviert
    • Techniker erstellt, gelöscht oder aktualisiert
    • Token erstellt, entfernt
    • Benutzergruppe erstellt, gelöscht, aktualisiert
  • SINGLE SIGN ON (SSO): Erstellt, Gelöscht, Deaktiviert, Aktiviert

aktivitäten_sso_status filter.png
Abbildung 17: SSO- und SCIM-Aktivitäten nach Status filtern

Zusätzliche Ressourcen

In den folgenden Ressourcen erfahren Sie mehr über NinjaOne SCIM: 

FAQ

Nächste Schritte