Tema
En este artículo se describe cómo integrar la aplicación Okta con NinjaOne mediante el uso del lenguaje de marcado de aserciones de seguridad (SAML).
Entorno
- Integraciones de NinjaOne
- Okta
Descripción
SAML permite a los técnicos acceder a la aplicación NinjaOne mediante un inicio de sesión único (SSO) con su proveedor preferido. SAML se puede utilizar tanto con la aplicación web estándar de NinjaOne como con la personalizada, que admite múltiples proveedores de identidad (IDP). Para obtener más información sobre el uso de SAML con NinjaOne, consulte «Gestión de la autenticación de identidad de NinjaOne: Acerca del lenguaje de marcado de aserciones de seguridad (SAML) iniciado por el IDP».
Índice
- Integración de SAML con NinjaOne
- Configurar el SSO en NinjaOne
- Configurar el SSO para usuarios existentes
- Recursos adicionales
Integración SAML de NinjaOne
Requisitos previos
Asegúrate de que, para cada usuario de SSO en NinjaOne, haya un correo electrónico en Okta que coincida.
- Si utiliza una URL de marca, asegúrese de que tanto la marca como los nombres de host nativos estén especificados en la configuración de la integración de Okta. Esto garantizará que ambos estén configurados como URL del Servicio de Consumidor de Aserciones (ACS).
- Si tiene previsto utilizar la opción de omisión de la autenticación multifactorial (MFA) de inicio de sesión de NinjaOne:
- Configure sus políticas de autenticación en Okta para realizar la MFA durante el inicio de sesión en Okta.
- Deberá configurar una propiedad en su aplicación de Okta que haga referencia a «session.amr» siguiendo las instrucciones de Pass Dynamic Authentication Context | Okta Classic Engine (enlace externo). De forma predeterminada, NinjaOne busca un atributo SAML denominado «amr» que debe contener el valor «mfa» cuando el usuario realiza la MFA para la sesión. NinjaOne añade este atributo de forma predeterminada a la aplicación, que se encuentra en el catálogo de Okta Integration Network (OIN).
- La omisión de la MFA solo se producirá en las cuentas que hayan accedido a Okta con autenticación multifactorial. Si Okta no devuelve el atributo de Referencia de métodos de autenticación (AMR) «mfa», NinjaOne no omitirá la MFA nativa de NinjaOne. Revisa tu política de autenticación en Okta para confirmar que se requiere la MFA para acceder al menos a NinjaOne accediendo a Políticas de inicio de sesión en aplicaciones | Okta Identity Engine (externo). Okta Verify no devuelve un valor AMR de «mfa» y requiere un método MFA complementario para omitir la MFA de NinjaOne.
- Si ya tienes una configuración de SSO de NinjaOne con Okta y deseas añadir la función de SSO iniciado por el IDP, deberás eliminar y volver a crear la aplicación del proveedor de identidad tanto en NinjaOne como en Okta.
Funciones compatibles
Para obtener más información sobre las funciones enumeradas, consulta el Glosario de Okta.
- SSO iniciado por el SP
- SSO iniciado por el IDP
Configurar el SSO en NinjaOne
Consulte inicio de sesión: Configurar el inicio de sesión único en NinjaOne para configurar el SSO para su IDP en NinjaOne.
- En el campo «¿Qué dominios de correo electrónico se autenticarán mediante esta integración?», añada los dominios de correo electrónico de los usuarios que se autenticarán con este proveedor de identidades. Si deja este campo en blanco, cualquier usuario con un dominio que no esté especificado en otro IDP será redirigido a este proveedor de identidades de forma predeterminada.
- En una pestaña separada del navegador, acceda a la consola de administración de Okta para continuar con la configuración. Deje abierta la ventana modal «Configurar SSO» en NinjaOne.
Cree una integración SAML de NinjaOne en Okta mediante la plantilla de Okta Integration Network (OIN)
En la consola de administración de Okta, puede añadir la integración SAML de NinjaOne siguiendo estos pasos:
- Vaya a Aplicaciones → Explorar el catálogo de aplicaciones. Busque «NinjaOne» y haga clic en la aplicación NinjaOne; a continuación, seleccione Añadir integración.
- Establezca el Nombre para mostrar en el nombre que desee que vean los usuarios.
- Vuelve a NinjaOne y abre la configuración del IDP. Copia el identificador único y pégalo en el campo Identificador único del SP en Okta.

- Establezca el nombre de host principal de NinjaOne en su sitio con o sin marca (por ejemplo, «mycompany.rmmservice.com» o «app.ninjarmm.com»). Esta será la URL predeterminada que se utilizará para los inicios de sesión iniciados por el IdP.

- Opcionalmente, añade el valor del sitio con o sin marca no utilizado al nombre de host secundario de NinjaOne como URL alternativa del sitio. El nombre de host secundario es necesario si pretendes iniciar sesión en la consola de NinjaOne a través de un flujo de trabajo iniciado por el SP con tu URL secundaria. Si la URL sin marca es tu URL secundaria, te recomendamos añadirla, ya que los proveedores de identidad utilizan ocasionalmente la URL predeterminada como intermediario durante el proceso de inicio de sesión.
- Configure la visibilidad de la aplicación para mostrar la aplicación como disponible para los usuarios o no, según las necesidades de su organización.
- Haga clic en Hecho para crear la aplicación SAML.
- Permanece en la consola de administración de Okta y ve a la pestaña Asignaciones de la aplicación SAML recién creada.
- Utilice el menú desplegable Asignar para añadir usuarios o grupos de destino para la aplicación.
- Vaya a la pestaña Inicio de sesión y copie la URL de metadatos.
Complete la configuración de SSO en NinjaOne
Vuelve al modal «Configurar SSO» en NinjaOne para completar la configuración de SSO.
- En NinjaOne, pega la URL de metadatos que has copiado de Okta en el formulario «Importar metadatos» utilizando el tipo de envío de URL predeterminado.
- Active los interruptores de activación según las necesidades de su organización.

- Haga clic en Probar conexión para completar el proceso de autenticación final necesario para la configuración.
Una vez que la respuesta SAML se haya validado correctamente, verás un mensaje que confirma «Tu conexión ha sido validada».
- Haz clic en Guardar cuando hayas terminado.
Configurar NinjaOne SAML con una aplicación SAML 2.0 personalizada
Si las funcionalidades incluidas en la plantilla OIN de NinjaOne no cumplen los requisitos de configuración avanzada de la configuración de identidades de su organización, puede configurar NinjaOne SAML con una aplicación SAML 2.0 personalizada.
- En la consola de administración de Okta, ve a Aplicaciones → Crear integración de aplicación → SAML 2.0.
- Introduzca un identificador único para el Nombre de la aplicación que desee mostrar a los usuarios.
- Configure los ajustes de Visibilidad de la aplicación y Logotipo de la aplicación según las necesidades de su organización y haga clic en Siguiente.
- En NinjaOne, copie la URL de respuesta y pégela en el campo URL de inicio de sesión único de Okta. Si tiene intención de utilizar el SSO iniciado por el IdP, esta URL se utilizará para redirigir a los usuarios al sitio con o sin marca.
- En NinjaOne, copie el identificador del SP(ID de entidad) y péguelo en el campo URI de audiencia (ID de entidad del SP) en Okta
- Deje el campo «RelayState predeterminado » en blanco y mantenga el formato de «ID de nombre » como «Sin especificar».
- El campo «Nombre de usuario de la aplicación » para el nombre de usuario de Okta puede, por lo general, mantenerse con la entrada predeterminada. Sin embargo, debe establecer este atributo en «Correo electrónico» si el nombre de usuario de Okta no es una dirección de correo electrónico. Este valor debe coincidir con la dirección de correo electrónico en NinjaOne.
- Deja sin cambios el campo «Update application username ».
- Opcionalmente, si desea omitir la MFA nativa de NinjaOne al iniciar sesión: en la sección Declaraciones de atributos, cree un atributo con el nombre «amr» y un valor de «session.amr». Para obtener más información, consulte los materiales sobre omisión de MFA incluidos en la sección Requisitos previos al principio de este artículo.
- Siga estos pasos para configurar la URL de respuesta nativa (ejemplo: «https://app.ninjarmm.com»), que se puede utilizar para el SSO iniciado por el SP y la MFA nativa:
- Copia el identificador del SP (ID de entidad) del modal «Configurar SSO» en NinjaOne.
- Haga clic en Mostrar configuración avanzada en Okta.
- Pegue el identificador del SP (ID de entidad) en el campo «Otras URL de SSO solicitables ».
- Establezca el valor del índice en «1».

- Haga clic en Siguiente.
- Deja en blanco las entradas de la página Comentarios y haz clic en Finalizar.
- Completa los pasos 8-10 de la sección «Crear una integración SAML de NinjaOne en Okta utilizando la plantilla de Okta Integration Network (OIN)». Los pasos en cuestión son:
- Permanece en la consola de administración de Okta y navega a la pestaña Asignaciones de la aplicación SAML recién creada.
- Utilice el menú desplegable Asignar para añadir usuarios o grupos de destino para la aplicación.
- Vaya a la pestaña Inicio de sesión y copie la URL de metadatos.
- Completa todos los pasos de la sección «Completar la configuración de SSO en NinjaOne» para finalizar el proceso de configuración.
Pruebe los inicios de sesión iniciados por el SP y por el IdP
Recomendamos probar los flujos de inicio de sesión iniciados por el SP y por el IdP con una cuenta de prueba antes de cambiar los tipos de autenticación de todos los usuarios de NinjaOne de «Nativo» a «Inicio de sesión único». Esto evitará posibles problemas de acceso a la cuenta de NinjaOne.
- Inicie sesión en NinjaOne con una cuenta de administrador del sistema con la que se sienta cómodo para realizar pruebas y a la que se le haya asignado acceso a la aplicación del proveedor de identidad Okta.
- En NinjaOne, haz clic en el icono de tu avatar situado en la esquina superior derecha de la consola y haz clic en tu nombre para abrir la configuración de usuario.
- Vaya a la pestaña Seguridad y seleccione Inicio de sesión único en el menú desplegable Tipo de autenticación . Guarde los cambios.

Para probar el SSO iniciado por el SP
Para probar el SSO iniciado por el SP, sigue estos pasos:
- En una pestaña privada o de incógnito del navegador, ve al sitio de NinjaOne con o sin marca. La URL del sitio depende de la configuración de tu nombre de host principal y secundario en Okta.
- Introduzca su nombre de usuario de NinjaOne. El campo de la contraseña debería desaparecer; haga clic en Iniciar sesión con Okta.

Se le redirigirá a Okta para que introduzca sus credenciales y, una vez completada la autenticación, se le redirigirá a NinjaOne.
Esto confirma el flujo de SSO iniciado por el SP. Si la omisión de MFA está habilitada y ha completado la MFA a través de Okta, no se le solicitará la MFA nativa de NinjaOne.
Para probar el SSO iniciado por el IdP
Para probar el SSO iniciado por el IdP, sigue estos pasos:
- En una pestaña privada o de incógnito del navegador, acceda a su panel de control de usuario final de Okta.
- Haga clic en el icono de la aplicación NinjaOne situado en la sección Mis aplicaciones. Esto debería redirigirle al panel de control de NinjaOne y confirmar el flujo de SSO iniciado por el IdP.
Si la omisión de la autenticación de dos factores (MFA) está habilitada y ha completado la autenticación de dos factores (MFA) a través de Okta, no se le solicitará la autenticación de dos factores (MFA) nativa de NinjaOne.
Configurar el SSO para usuarios existentes
Puede configurar el SSO de Okta para los usuarios existentes de NinjaOne desde la consola de NinjaOne.
- Vaya a Administración → Cuentas → Todos los usuarios.
- Selecciona los técnicos o usuarios finales para los que deseas configurar el SSO.
- Haz clic en Acciones y selecciona Cambiar autenticación.
- Establezca el tipo de autenticación en Inicio de sesión único (SSO) y haga clic en Actualizar para guardar los cambios.
El tipo de autenticación también se puede actualizar por usuario en la sección Seguridad de la página de configuración de la cuenta.

Recursos adicionales
Para obtener más información sobre los servicios de identidad de NinjaOne, consulta identidades: Catálogo de recursos.
Para obtener más información sobre cómo habilitar SCIM para Okta, consulta NinjaOne SCIM en Okta.