Tema
En este artículo se explica cómo habilitar el bypass condicional para la autenticación multifactorial (MFA) de NinjaOne.
Entorno
Plataforma NinjaOne
Descripción
Habilite la omisión condicional de la MFA de NinjaOne para garantizar que solo se realice una vez durante un inicio de sesión SSO, ya sea en el proveedor de identidad o en NinjaOne, pero no en ambos. Esto sigue garantizando un alto nivel de seguridad con la ventaja añadida de que solo se solicita una única MFA.
Índice
Selecciona una categoría para obtener más información:
- ¿En qué consiste el flujo de trabajo de la MFA?
- ¿Cómo utiliza NinjaOne la MFA?
- ¿Qué proveedores de identidad admite NinjaOne?
- ¿Qué atributos busca NinjaOne?
- ¿Por qué la opción «Habilitar omisión condicional de la MFA de NinjaOne» aparece oculta tras la prueba del proveedor de identidad?
- ¿Por qué los usuarios siguen recibiendo la MFA de Ninja al iniciar sesión aunque tenga esta función activada?
- ¿Afecta esto a la MFA de NinjaOne para operaciones sensibles en materia de seguridad en NinjaOne tras el inicio de sesión?
- ¿Por qué sigo recibiendo una solicitud de MFA al iniciar sesión, aunque haya activado la omisión?
Preguntas frecuentes
¿En qué consiste el flujo de trabajo de MFA?
La siguiente figura muestra la MFA utilizada únicamente como proveedor de identidad (IdP):

La siguiente figura muestra cómo utiliza NinjaOne la MFA:

¿Cómo utiliza NinjaOne la MFA?
Algunos IdP, como Okta y Azure, añaden un atributo SAML a la respuesta de inicio de sesión del usuario que indica si se ha realizado la MFA durante la sesión de inicio de sesión. Buscamos este atributo una vez recibida la respuesta SAML para determinar si se debe omitir la MFA de NinjaOne en función de esta condición.
La respuesta SAML es un documento firmado criptográficamente que establece la confianza entre NinjaOne y el IdP. No puede modificarse entre el IdP y NinjaOne sin ser detectado. Si no encontramos este atributo específico de MFA en la respuesta SAML, no omitiremos la MFA de NinjaOne para el inicio de sesión del usuario.
¿Qué proveedores de identidad admite NinjaOne?
Actualmente, solo Azure y Okta son proveedores de identidad compatibles con esta función. Admitiremos otros proveedores de identidad una vez que hayamos determinado que permiten un atributo de MFA basado en la sesión como el descrito anteriormente.
¿Qué atributos busca NinjaOne?
NinjaOne buscará los siguientes atributos en la respuesta SAML para Okta y Azure. Si los encuentra, NinjaOne omitirá la MFA para esa solicitud. Si no los encuentra, NinjaOne aplicará la MFA para la solicitud de inicio de sesión.
Atributos de Okta:
<saml2:Attribute Name=“amr” NameFormat=“urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified”>
<saml2:AttributeValue xmlns:xs=“http://www.w3.org/2001/XMLSchema” xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>swk</saml2:AttributeValue>
<saml2:AttributeValue xmlns:xs=“http://www.w3.org/2001/XMLSchema” xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>mfa</saml2:AttributeValue>
<saml2:AttributeValue xmlns:xs=“http://www.w3.org/2001/XMLSchema” xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>pwd</saml2:AttributeValue>
</saml2:Attribute>Atributos de Azure:
<Attribute Name="http://schemas.microsoft.com/claims/authnmethodsreferences">
<AttributeValue>http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password</AttributeValue>
<AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</AttributeValue>
</Attribute>¿Por qué la opción «Habilitar omisión condicional de NinjaOne MFA » aparece oculta tras la prueba del IdP?
Dado que esta versión solo es compatible con Azure y Okta, actualmente buscamos una URL de IdP que contenga .okta.com (Okta) o .microsoftonline.com (Azure). Si su proveedor de identidad tiene una URL de marca propia, actualmente no es compatible, pero es probable que esto cambie en el futuro. Por ahora, todos los demás IdP tendrán esta opción oculta una vez completada la prueba de conexión del IdP.
¿Por qué los usuarios siguen recibiendo la autenticación multifactorial (MFA) de NinjaOne al iniciar sesión aunque tenga esta función activada?
Esto puede ocurrir por varias razones:
- La función no está activada en la configuración del IdP de NinjaOne.
- Es posible que el atributo establecido en la respuesta SAML por el IdP no esté presente o no sea el nombre de atributo que buscamos. Asegúrate de que el atributo aparece en la respuesta SAML recibida por NinjaOne.
- Es posible que el usuario no haya realizado la MFA en el IdP. Asegúrese de que la política del IdP exige la MFA para la aplicación NinjaOne.
- Si el IdP está configurado con un proveedor externo para la MFA (como el uso de Duo con Azure IdP), es posible que el IdP no esté añadiendo el atributo de MFA que estamos buscando.
Es posible que el usuario solo tenga un único método de autenticación configurado para su cuenta (como la contraseña de la cuenta, una aplicación de autenticación, Okta Verify u otros). Por lo tanto, la cuenta no cumple el requisito de MFA en NinjaOne y recibirá el aviso. Añada una opción de autenticación secundaria e inténtelo de nuevo.
¿Afecta esta función a la MFA de NinjaOne para operaciones sensibles en materia de seguridad en NinjaOne tras el inicio de sesión?
No, esta función no afecta a los requisitos de MFA posteriores al inicio de sesión. Aunque se omita la MFA de NinjaOne durante el inicio de sesión, todos los técnicos y usuarios finales de NinjaOne deben tener configurada la MFA de NinjaOne y seguirán estando obligados a realizar la MFA para operaciones sensibles en materia de seguridad tras iniciar sesión.
¿Por qué sigo recibiendo un mensaje de MFA durante el inicio de sesión, aunque haya activado la opción de omisión?
Es posible que solo tenga un método de autenticación configurado para su cuenta (por ejemplo, una contraseña de cuenta, una aplicación de autenticación, Okta Verify o similar). Por lo tanto, la cuenta no cumple el requisito de MFA y recibirá el mensaje de MFA de NinjaOne. Añada una opción de autenticación secundaria e inténtelo de nuevo.