Tema
En este artículo se explica cómo configurar el Sistema de gestión de identidades entre dominios (SCIM) con la aplicación personalizada Security Assertion Markup Language (SAML) 2.0 de Okta.
Recomendamos configurar el inicio de sesión único (SSO) y SCIM utilizando la aplicación NinjaOne Okta Integration Network, ya que simplifica enormemente el proceso de configuración. Utilice los siguientes recursos para obtener instrucciones de configuración. Si su organización requiere configuraciones de identidad avanzadas que no son compatibles con la plantilla OIN, este artículo proporciona los pasos de configuración de SCIM utilizando la aplicación SAML 2.0 personalizada de Okta.
- Sistema para la gestión de identidades entre dominios (SCIM) con Okta
- Configuración de NinjaOne SAML en Okta
Entorno
- Gestión de identidades y accesos (IAM) de NinjaOne
- Integraciones de NinjaOne: Okta
Descripción
La integración de Okta con NinjaOne a través de SCIM le permite crear, eliminar y aprovisionar automáticamente técnicos y usuarios finales dentro de NinjaOne. Este artículo sirve como punto de partida para la configuración de SCIM con NinjaOne. La configuración depende de su configuración específica de Okta, por lo que le recomendamos que revise la sección Recursos adicionales para encontrar los procesos relacionados.
Para obtener más detalles sobre los conceptos que subyacen a la gestión del ciclo de vida con SCIM y Okta, consulte Comprender SCIM | Desarrollador de Okta (enlace externo).
Seleccione una categoría para obtener más información:
- Requisitos previos
- Configurar SCIM en Okta con una aplicación SAML 2.0 personalizada
- Configurar la asignación de grupos a roles en NinjaOne
- Recursos adicionales
Requisitos
Antes de poder aprovisionar cuentas de usuario a través de SCIM, debe crear el IDP y habilitar el SSO. Para ello, consulte Configuración de NinjaOne SAML en Okta.
Configurar SCIM en Okta con una aplicación SAML 2.0 personalizada
Para configurar SCIM con la aplicación SAML 2.0 personalizada de Okta, siga estos pasos:
- Inicie sesión en su cuenta de Okta como administrador.
- En el panel de navegación, expanda el menú desplegable Aplicaciones y seleccione Aplicaciones.
- Seleccione la aplicación NinjaOne.
- Abra la pestaña General y seleccione SCIM en la sección Aprovisionamiento .
- Haga clic en Guardar.
- Abra la pestaña Aprovisionamiento y seleccione Editar. Haga clic en Configurar integración API.
- En una pestaña separada del navegador, inicie sesión en la consola NinjaOne como administrador del sistema.
- Vaya a Administración → Cuentas → Proveedores de identidad y seleccione su entrada de Okta.
- Haga clic en Editar en el widget Sistema para la gestión de identidades entre dominios.
- En el modal Configurar SCIM, haga clic en el interruptor para habilitar el aprovisionamiento SCIM.
- Haga clic en Generar token.
- Haga clic en el icono del papel para copiar el token secreto SCIM y también la URL del punto final de la API SCIM. Vuelva a la consola de administración de Okta.
- Desde su ubicación anterior en la consola de administración de Okta (aplicación NinjaOne), pegue la URL del punto final de la API SCIM de NinjaOne en la URL base del conector SCIM. Seleccione la casilla de verificación Habilitar integración de API y, a continuación, pegue el token secreto SCIM de NinjaOne.
- Establezca el campo Identificador único para los usuarios en un atributo de usuario de Okta que contenga un valor de dirección de correo electrónico. Los atributos comunes incluyen userName ( nombre de usuario de Okta) y email ( correo electrónico principal). Para obtener más información, consulte Perfiles de usuario | Desarrollador de Okta (enlace externo).
- Seleccione las casillas de verificación de las siguientes acciones de aprovisionamiento compatibles:
- Enviar nuevos usuarios
- Enviar actualizaciones de perfil
- Enviar grupos
- Establezca el Modo de autenticación en Encabezado HTTP.
- Abra la pestaña Aprovisionamiento para encontrar nuevas opciones disponibles para la configuración.
- Abra la pestaña A la aplicación y haga clic en Editar.
- Seleccione las casillas de verificación de las siguientes opciones de aprovisionamiento:
- Crear usuarios
- Actualizar atributos de usuario
- Desactivar usuarios
- Desplácese hasta la sección Asignaciones de atributos y haga clic en Ir al editor de perfiles.
-
Si va a asignar usuarios finales a organizaciones específicas, seleccione «Añadir atributo» y, a continuación, configure los siguientes campos:
Campo de atributo Valor Tipo de datos «Cadena» Nombre para mostrar Introduzca un identificador único Nombre externo «organizationId» Espacio de nombres externo «urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User» Tipo de atributo «Grupo» (recomendado)
- Si tiene intención de crear cuentas de técnico de NinjaOne, primero debe desasignar y eliminar el atributo de tipo de usuario predeterminado. Consulte los siguientes pasos para obtener instrucciones.
-
En el Editor de perfiles, haga clic en Asignaciones y establezca el atributo
userTypeen No asignar. Repita este paso en las pestañas NinjaOne SCIM a usuario de Okta y Usuario de Okta a NinjaOne SCIM. Guarde las asignaciones cuando haya terminado.
Figura 9: Asignaciones de perfiles de usuario de la configuración SCIM - Busque el atributo Tipo de usuario en la lista Atributos y elimine la entrada. Espere unos minutos para que el cambio surta efecto.
-
- Haga clic en Añadir atributo y, a continuación, utilice la siguiente tabla para configurar los campos aplicables:
| Campo de atributo | Valor |
|---|---|
| Tipo de datos | «Cadena» |
| Nombre para mostrar | Introduzca un identificador único |
| Nombre externo | «userType» |
| Espacio de nombres externo | «urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User» |
| Tipo de atributo | «Grupo» (recomendado) |
- Vuelva a la sección Aprovisionamiento de la aplicación SCIM de NinjaOne. En la sección A la aplicación , elimine todas las asignaciones de la sección Asignaciones de atributos , excepto las siguientes:
| Atributo | Valor |
|---|---|
| userName | Okta establece automáticamente este campo |
| nombre | «user.firstname» |
| apellido | «user.lastName» |
| organizacionId (opcional) | Seleccione cualquier valor |
| tipoDeUsuario | Seleccione cualquier valor |
Crear cuentas de técnico de NinjaOne
Al crear cuentas de técnico, debe asignar un valor único al atributo userType . Si no lo hace, se creará una cuenta de usuario final.
El atributo userType tiene dos valores aceptados:
- Establezca el atributo en «technician» para crear una cuenta de técnico.
- Establezca el atributo en «endUser» (distingue entre mayúsculas y minúsculas) para crear una cuenta de usuario final.
Para asignar el atributo userType , siga estos pasos:
- Haga clic en el icono del lápiz para editar los campos.
- Consulte la siguiente tabla como guía para configurar un valor de atributo que se adapte a las necesidades de su organización:
| Valor del atributo | Definición o finalidad |
|---|---|
| Mismo valor para todos los usuarios | Asigne a la aplicación NinjaOne Okta a todos los usuarios que sean del mismo tipo. |
| Asignar desde el perfil de Okta | Crear una cuenta de usuario final o técnico basada en el valor del atributo de perfil seleccionado. |
| Expresión | Cree un usuario final o un técnico basándose en el resultado de su expresión Okta personalizada. Para obtener más información, consulte la guía general del lenguaje de expresiones Okta | Okta Developer (enlace externo). |
- Seleccione Crear y actualizar en el campo Aplicar en .
- Recomendamos insertar varios usuarios de prueba en el campo Vista previa para confirmar que la asignación de atributos produce el resultado deseado.
- Haga clic en Guardar.
Asignar usuarios finales a una organización NinjaOne
Si está asignando cuentas de usuario final a una organización NinjaOne específica o a varias organizaciones NinjaOne, debe asignar un valor al atributo organizationID. Las cuentas que no tengan un valor de atributo aceptado se crearán automáticamente como usuarios finales globales.
El atributo organizationID tiene dos valores aceptados:
- Establezca el atributo en «all» para crear un usuario final global.
- Establezca el atributo en «<su ID de organización>» para asignar un usuario a la organización NinjaOne correspondiente.
Si necesita ayuda para encontrar el ID de la organización en NinjaOne, consulte Plataforma NinjaOne: Cómo encontrar un ID de organización.
Para asignar el atributo de organización, siga estos pasos:
- Haga clic en el icono del lápiz para editar los campos.
- Consulte la siguiente tabla como guía para configurar un valor de atributo que se adapte a las necesidades de su organización:
| Valor del atributo | Definición o finalidad |
|---|---|
| Mismo valor para todos los usuarios | Asigne a la aplicación NinjaOne Okta a todos los usuarios que sean del mismo tipo. |
| Asignar desde el perfil de Okta | Crear una cuenta de usuario final o técnico basada en el valor del atributo de perfil seleccionado. |
| Expresión | Cree un usuario final o un técnico basándose en el resultado de su expresión Okta personalizada. Para obtener más información, consulte la guía general del lenguaje de expresiones Okta | Okta Developer (enlace externo). |
- Seleccione Crear y actualizar en el campo Aplicar en .
- Le recomendamos que inserte varios usuarios de prueba en el campo Vista previa para confirmar que la asignación de atributos produce el resultado deseado.
- Haga clic en Guardar.
Asignar usuarios para el aprovisionamiento SCIM
Para asignar usuarios para el aprovisionamiento SCIM, siga estos pasos:
- Vuelva a la página de configuración de la aplicación NinjaOne en Okta y abra la pestaña Asignaciones .
- Haga clic en Asignar y seleccione la opción que mejor se adapte a sus necesidades. Durante la asignación, tendrá la opción de anular sus asignaciones de atributos y establecer el tipo de usuario y el ID de la organización. Si está asignando un grupo, este cambio afectará a todos los miembros del grupo.
Se iniciará el proceso de aprovisionamiento SCIM.
Configurar la asignación de grupos a roles en NinjaOne
Opcionalmente, puede utilizar la asignación de grupos en Okta para asignar automáticamente a los miembros de los grupos de Okta a roles en NinjaOne. Para ello, siga los siguientes pasos.
- En Okta, abra la pestaña Push Groups (Enviar grupos) en la aplicación Ninja SSO y SCIM . Haga clic en Push Groups (Enviar grupos) para establecer los grupos de destino.
- Establezca la acción en Crear grupo y guarde los cambios. Esta acción puede tardar hasta una hora en completarse.
- Inicie sesión en NinjaOne como administrador del sistema.
- Vaya a Administración → Cuentas → Proveedor de identidad.
- Seleccione el IDP OIN de Okta.
- Junto a Asignación de grupos, haga clic en Editar.
- Seleccione las funciones del menú desplegable para asociarlas a los grupos que ha sincronizado con Okta, si procede. El menú incluirá tanto funciones de usuario final como funciones de técnico. El tipo de usuario asignado al usuario en Okta determina qué funciones se asignan a cada usuario. Si necesita crear nuevas funciones, consulte Funciones y permisos de usuario para obtener instrucciones.
Recursos adicionales
Consulte los siguientes recursos para obtener más información sobre las opciones SCIM y SAML con NinjaOne y Okta: