¿Ya eres cliente de NinjaOne? Inicia sesión para ver más guías y las últimas actualizaciones.

Configurar el SAML de NinjaOne en Okta

Tema

En este artículo se describe cómo integrar la aplicación Okta con NinjaOne mediante el uso del lenguaje de marcado de aserciones de seguridad (SAML).

Entorno

  • Integraciones de NinjaOne
  • Okta

Descripción

SAML permite a los técnicos acceder a la aplicación NinjaOne mediante un inicio de sesión único (SSO) con su proveedor preferido. SAML se puede utilizar tanto con la aplicación web estándar de NinjaOne como con la personalizada, que admite múltiples proveedores de identidad (IDP). Para obtener más información sobre el uso de SAML con NinjaOne, consulte «Gestión de la autenticación de identidad de NinjaOne: Acerca del lenguaje de marcado de aserciones de seguridad (SAML) iniciado por el IDP».

Índice

Integración SAML de NinjaOne

Requisitos previos

Asegúrate de que, para cada usuario de SSO en NinjaOne, haya un correo electrónico en Okta que coincida.

NinjaOne no admite la función de importación de usuarios y actualizaciones de perfiles de Okta a través de SSO o SCIM de NinjaOne.
  • Si utiliza una URL de marca, asegúrese de que tanto la marca como los nombres de host nativos estén especificados en la configuración de la integración de Okta. Esto garantizará que ambos estén configurados como URL del Servicio de Consumidor de Aserciones (ACS).
  • Si tiene previsto utilizar la opción de omisión de la autenticación multifactorial (MFA) de inicio de sesión de NinjaOne:
    • Configure sus políticas de autenticación en Okta para realizar la MFA durante el inicio de sesión en Okta.
    • Deberá configurar una propiedad en su aplicación de Okta que haga referencia a «session.amr» siguiendo las instrucciones de Pass Dynamic Authentication Context | Okta Classic Engine (enlace externo). De forma predeterminada, NinjaOne busca un atributo SAML denominado «amr» que debe contener el valor «mfa» cuando el usuario realiza la MFA para la sesión. NinjaOne añade este atributo de forma predeterminada a la aplicación, que se encuentra en el catálogo de Okta Integration Network (OIN).
    • La omisión de la MFA solo se producirá en las cuentas que hayan accedido a Okta con autenticación multifactorial. Si Okta no devuelve el atributo de Referencia de métodos de autenticación (AMR) «mfa», NinjaOne no omitirá la MFA nativa de NinjaOne. Revisa tu política de autenticación en Okta para confirmar que se requiere la MFA para acceder al menos a NinjaOne accediendo a Políticas de inicio de sesión en aplicaciones | Okta Identity Engine (externo). Okta Verify no devuelve un valor AMR de «mfa» y requiere un método MFA complementario para omitir la MFA de NinjaOne. 
  • Si ya tienes una configuración de SSO de NinjaOne con Okta y deseas añadir la función de SSO iniciado por el IDP, deberás eliminar y volver a crear la aplicación del proveedor de identidad tanto en NinjaOne como en Okta.

Funciones compatibles

Para obtener más información sobre las funciones enumeradas, consulta el Glosario de Okta. 

  • SSO iniciado por el SP
  • SSO iniciado por el IDP 

Configurar el SSO en NinjaOne

Consulte inicio de sesión: Configurar el inicio de sesión único en NinjaOne para configurar el SSO para su IDP en NinjaOne. 

  • En el campo «¿Qué dominios de correo electrónico se autenticarán mediante esta integración?», añada los dominios de correo electrónico de los usuarios que se autenticarán con este proveedor de identidades. Si deja este campo en blanco, cualquier usuario con un dominio que no esté especificado en otro IDP será redirigido a este proveedor de identidades de forma predeterminada.
  • En una pestaña separada del navegador, acceda a la consola de administración de Okta para continuar con la configuración. Deje abierta la ventana modal «Configurar SSO» en NinjaOne.

Cree una integración SAML de NinjaOne en Okta mediante la plantilla de Okta Integration Network (OIN)

En la consola de administración de Okta, puede añadir la integración SAML de NinjaOne siguiendo estos pasos:

  1. Vaya a Aplicaciones → Explorar el catálogo de aplicaciones. Busque «NinjaOne» y haga clic en la aplicación NinjaOne; a continuación, seleccione Añadir integración.
  2. Establezca el Nombre para mostrar en el nombre que desee que vean los usuarios.
  3. Vuelve a NinjaOne y abre la configuración del IDP. Copia el identificador único y pégalo en el campo Identificador único del SP en Okta.
configure sso_unique identifier.png
Figura 1: NinjaOne Configurar SSO → Identificador único
  1. Establezca el nombre de host principal de NinjaOne en su sitio con o sin marca (por ejemplo, «mycompany.rmmservice.com» o «app.ninjarmm.com»). Esta será la URL predeterminada que se utilizará para los inicios de sesión iniciados por el IdP.
okta sp uid and hostname.png
Figura 2: Plantilla de red de integración de Okta
  1. Opcionalmente, añade el valor del sitio con o sin marca no utilizado al nombre de host secundario de NinjaOne como URL alternativa del sitio. El nombre de host secundario es necesario si pretendes iniciar sesión en la consola de NinjaOne a través de un flujo de trabajo iniciado por el SP con tu URL secundaria. Si la URL sin marca es tu URL secundaria, te recomendamos añadirla, ya que los proveedores de identidad utilizan ocasionalmente la URL predeterminada como intermediario durante el proceso de inicio de sesión.
  2. Configure la visibilidad de la aplicación para mostrar la aplicación como disponible para los usuarios o no, según las necesidades de su organización.
  3. Haga clic en Hecho para crear la aplicación SAML.
  4. Permanece en la consola de administración de Okta y ve a la pestaña Asignaciones de la aplicación SAML recién creada.
  5. Utilice el menú desplegable Asignar para añadir usuarios o grupos de destino para la aplicación.
Asegúrate de que la cuenta de NinjaOne que se utiliza para aprovisionar la aplicación SAML de NinjaOne tenga asignada la aplicación en Okta. Este usuario debe tener una cuenta de NinjaOne con una dirección de correo electrónico coincidente.
  1. Vaya a la pestaña Inicio de sesión y copie la URL de metadatos.

Complete la configuración de SSO en NinjaOne

Vuelve al modal «Configurar SSO» en NinjaOne para completar la configuración de SSO.

Al configurar el SSO con la aplicación OIN, el sistema añade el atributo «amr» de forma predeterminada. No es necesario añadir este valor y puede guardar con todos los valores predeterminados.
  1. En NinjaOne, pega la URL de metadatos que has copiado de Okta en el formulario «Importar metadatos» utilizando el tipo de envío de URL predeterminado.
  2. Active los interruptores de activación según las necesidades de su organización.
configure sso_import metadata and enable toggles.png
Figura 3: NinjaOne Configurar SSO → completar el proceso de configuración
  1. Haga clic en Probar conexión para completar el proceso de autenticación final necesario para la configuración.

Una vez que la respuesta SAML se haya validado correctamente, verás un mensaje que confirma «Tu conexión ha sido validada».

  1. Haz clic en Guardar cuando hayas terminado.

Configurar NinjaOne SAML con una aplicación SAML 2.0 personalizada

Si las funcionalidades incluidas en la plantilla OIN de NinjaOne no cumplen los requisitos de configuración avanzada de la configuración de identidades de su organización, puede configurar NinjaOne SAML con una aplicación SAML 2.0 personalizada.

Estas instrucciones sustituyen a los pasos 1-7 de la sección anterior titulada «Crear una integración SAML de NinjaOne en Okta utilizando la plantilla de Okta Integration Network (OIN)».
  1. En la consola de administración de Okta, ve a AplicacionesCrear integración de aplicación → SAML 2.0.
  2. Introduzca un identificador único para el Nombre de la aplicación que desee mostrar a los usuarios.
  3. Configure los ajustes de Visibilidad de la aplicación y Logotipo de la aplicación según las necesidades de su organización y haga clic en Siguiente.
  4. En NinjaOne, copie la URL de respuesta y pégela en el campo URL de inicio de sesión único de Okta. Si tiene intención de utilizar el SSO iniciado por el IdP, esta URL se utilizará para redirigir a los usuarios al sitio con o sin marca.
  5. En NinjaOne, copie el identificador del SP(ID de entidad) y péguelo en el campo URI de audiencia (ID de entidad del SP) en Okta
  6. Deje el campo «RelayState predeterminado » en blanco y mantenga el formato de «ID de nombre » como «Sin especificar».
  7. El campo «Nombre de usuario de la aplicación » para el nombre de usuario de Okta puede, por lo general, mantenerse con la entrada predeterminada. Sin embargo, debe establecer este atributo en «Correo electrónico» si el nombre de usuario de Okta no es una dirección de correo electrónico. Este valor debe coincidir con la dirección de correo electrónico en NinjaOne.
  8. Deja sin cambios el campo «Update application username ».
  9. Opcionalmente, si desea omitir la MFA nativa de NinjaOne al iniciar sesión: en la sección Declaraciones de atributos, cree un atributo con el nombre «amr» y un valor de «session.amr». Para obtener más información, consulte los materiales sobre omisión de MFA incluidos en la sección Requisitos previos al principio de este artículo.
  10. Siga estos pasos para configurar la URL de respuesta nativa (ejemplo: «https://app.ninjarmm.com»), que se puede utilizar para el SSO iniciado por el SP y la MFA nativa:
    1. Copia el identificador del SP (ID de entidad) del modal «Configurar SSO» en NinjaOne.
    2. Haga clic en Mostrar configuración avanzada en Okta.  
    3. Pegue el identificador del SP (ID de entidad) en el campo «Otras URL de SSO solicitables ».
    4. Establezca el valor del índice en «1».
okta_other request sso urls.png
Figura 4: Aplicación SAML 2.0 personalizada de Okta → Ajustes avanzados
  1. Haga clic en Siguiente.
  2. Deja en blanco las entradas de la página Comentarios y haz clic en Finalizar.
  3. Completa los pasos 8-10 de la sección «Crear una integración SAML de NinjaOne en Okta utilizando la plantilla de Okta Integration Network (OIN)». Los pasos en cuestión son:
    1. Permanece en la consola de administración de Okta y navega a la pestaña Asignaciones de la aplicación SAML recién creada.
    2. Utilice el menú desplegable Asignar para añadir usuarios o grupos de destino para la aplicación.
    3. Vaya a la pestaña Inicio de sesión y copie la URL de metadatos.
  4. Completa todos los pasos de la sección «Completar la configuración de SSO en NinjaOne» para finalizar el proceso de configuración. 

Pruebe los inicios de sesión iniciados por el SP y por el IdP

Recomendamos probar los flujos de inicio de sesión iniciados por el SP y por el IdP con una cuenta de prueba antes de cambiar los tipos de autenticación de todos los usuarios de NinjaOne de «Nativo» a «Inicio de sesión único». Esto evitará posibles problemas de acceso a la cuenta de NinjaOne. 

Durante las pruebas, debe permanecer conectado a su cuenta de prueba o a otra cuenta de administrador del sistema en una pestaña estándar del navegador. Esto le permitirá revertir su tipo de MFA en caso de que surjan problemas de configuración.
  1. Inicie sesión en NinjaOne con una cuenta de administrador del sistema con la que se sienta cómodo para realizar pruebas y a la que se le haya asignado acceso a la aplicación del proveedor de identidad Okta.
  2. En NinjaOne, haz clic en el icono de tu avatar situado en la esquina superior derecha de la consola y haz clic en tu nombre para abrir la configuración de usuario.
  3. Vaya a la pestaña Seguridad y seleccione Inicio de sesión único en el menú desplegable Tipo de autenticación . Guarde los cambios.
account_security_authentication type.png
Figura 5: Selecciona el tipo de autenticación para tu cuenta de NinjaOne

Para probar el SSO iniciado por el SP

Para probar el SSO iniciado por el SP, sigue estos pasos: 

  1. En una pestaña privada o de incógnito del navegador, ve al sitio de NinjaOne con o sin marca. La URL del sitio depende de la configuración de tu nombre de host principal y secundario en Okta.
  2. Introduzca su nombre de usuario de NinjaOne. El campo de la contraseña debería desaparecer; haga clic en Iniciar sesión con Okta. 
sign in with okta.png
Figura 6: Inicie sesión en NinjaOne con Okta

Se le redirigirá a Okta para que introduzca sus credenciales y, una vez completada la autenticación, se le redirigirá a NinjaOne. 

Esto confirma el flujo de SSO iniciado por el SP. Si la omisión de MFA está habilitada y ha completado la MFA a través de Okta, no se le solicitará la MFA nativa de NinjaOne. 

Para probar el SSO iniciado por el IdP

Para probar el SSO iniciado por el IdP, sigue estos pasos: 

  1. En una pestaña privada o de incógnito del navegador, acceda a su panel de control de usuario final de Okta.
  2. Haga clic en el icono de la aplicación NinjaOne situado en la sección Mis aplicaciones. Esto debería redirigirle al panel de control de NinjaOne y confirmar el flujo de SSO iniciado por el IdP. 

Si la omisión de la autenticación de dos factores (MFA) está habilitada y ha completado la autenticación de dos factores (MFA) a través de Okta, no se le solicitará la autenticación de dos factores (MFA) nativa de NinjaOne. 

Configurar el SSO para usuarios existentes

Puede configurar el SSO de Okta para los usuarios existentes de NinjaOne desde la consola de NinjaOne. 

  1. Vaya a Administración → Cuentas → Todos los usuarios.
  2. Selecciona los técnicos o usuarios finales para los que deseas configurar el SSO.
  3. Haz clic en Acciones y selecciona Cambiar autenticación.
  4. Establezca el tipo de autenticación en Inicio de sesión único (SSO) y haga clic en Actualizar para guardar los cambios.

El tipo de autenticación también se puede actualizar por usuario en la sección Seguridad de la página de configuración de la cuenta.

users_change authentication.png
Figura 7: Cuentas de usuario de NinjaOne → Cambiar autenticación

Recursos adicionales

Para obtener más información sobre los servicios de identidad de NinjaOne, consulta identidades: Catálogo de recursos.

Para obtener más información sobre cómo habilitar SCIM para Okta, consulta NinjaOne SCIM en Okta.

FAQ

Próximos pasos