Tema
En este artículo se explica cómo configurar el Sistema para la gestión de identidades entre dominios (SCIM) con la aplicación personalizada de Lenguaje de marcado de aserción de seguridad (SAML) 2.0 de Okta.
Recomendamos configurar el inicio de sesión único (SSO) y SCIM utilizando la aplicación NinjaOne Okta Integration Network, ya que simplifica enormemente el proceso de configuración. Utilice los siguientes recursos para obtener instrucciones de configuración. Si su organización requiere configuraciones de identidad avanzadas que no son compatibles con la plantilla OIN, este artículo proporciona los pasos de configuración de SCIM utilizando la aplicación SAML 2.0 personalizada de Okta.
- Sistema de gestión de identidades entre dominios (SCIM) con Okta
- Configuración de NinjaOne SAML en Okta
Entorno
- Gestión de identidades y accesos (IAM) de NinjaOne
- Integraciones de NinjaOne: Okta
Descripción
La integración de Okta con NinjaOne a través de SCIM te permite crear, eliminar y aprovisionar automáticamente técnicos y usuarios finales dentro de NinjaOne. Este artículo sirve como punto de partida para la configuración de SCIM con NinjaOne. La configuración depende de tu configuración específica de Okta, por lo que te recomendamos consultar la sección «Recursos adicionales» para encontrar procesos relacionados.
Para obtener más detalles sobre los conceptos que subyacen a la gestión del ciclo de vida con SCIM y Okta, consulte «Understanding SCIM | Okta Developer» (enlace externo).
Seleccione una categoría para obtener más información:
- Requisitos previos
- Configurar SCIM en Okta con una aplicación SAML 2.0 personalizada
- Configurar la asignación de grupos a roles en NinjaOne
- Recursos adicionales
Requisitos previos
Antes de poder aprovisionar cuentas de usuario a través de SCIM, debe crear el IDP y habilitar el SSO. Para ello, consulte NinjaOne SAML en Okta.
Configurar SCIM en Okta con una aplicación SAML 2.0 personalizada
Para configurar SCIM con la aplicación SAML 2.0 personalizada de Okta, sigue estos pasos:
- Inicie sesión en su cuenta de Okta como administrador.
- En el panel de navegación, expande el menú desplegable Aplicaciones y selecciona Aplicaciones.
- Seleccione la aplicación NinjaOne.
- Abre la pestaña General y selecciona SCIM en la sección Aprovisionamiento .
- Haga clic en Guardar.
- Abre la pestaña Aprovisionamiento y selecciona Editar. Haz clic en Configurar integración de API.
- En una pestaña separada del navegador, inicie sesión en la consola de NinjaOne como administrador del sistema.
- Vaya a Administración → Cuentas → Proveedores de identidad y seleccione su entrada de Okta.
- Haga clic en Editar en el widget Sistema para la gestión de identidades entre dominios.
- En la ventana modal «Configurar SCIM », haz clic en el interruptor para habilitar el aprovisionamiento SCIM.
- Haz clic en Generar token.
- Haga clic en el icono del papel para copiar el token secreto SCIM y también la URL del punto final de la API SCIM. Vuelva a la consola de administración de Okta.
- Desde la ubicación anterior en la consola de administración de Okta (aplicación NinjaOne), pega la URL del punto final de la API SCIM de NinjaOne en la URL base del conector SCIM. Marca la casilla Habilitar integración de API y, a continuación, pega el token secreto SCIM de NinjaOne.
- Establezca el campo Identificador único para usuarios en un atributo de usuario de Okta que contenga el valor de una dirección de correo electrónico. Entre los atributos habituales se incluyen userName ( nombre de usuario de Okta) y email ( correo electrónico principal). Para obtener más información, consulte Perfiles de usuario | Okta Developer (enlace externo).
- Seleccione las casillas de verificación de las siguientes acciones de aprovisionamiento compatibles:
- Enviar nuevos usuarios
- Enviar actualizaciones de perfil
- Insertar grupos
- Establezca el modo de autenticación en «Encabezado HTTP».
- Abra la pestaña «Provisioning» para ver los nuevos ajustes disponibles para la configuración.
- Abra la pestaña «A la aplicación » y haga clic en «Editar».
- Marque las casillas de las siguientes opciones de aprovisionamiento:
- Crear usuarios
- Actualizar atributos de usuario
- Desactivar usuarios
- Desplácese hasta la sección «Asignaciones de atributos » y haga clic en «Ir al editor de perfiles».
Si va a asignar usuarios finales a organizaciones específicas, seleccione «Añadir atributo » y, a continuación, configure los siguientes campos:
Campo de atributo Valor Tipo de datos «Cadena» Nombre para mostrar Introduzca un identificador único Nombre externo «organizationId» Espacio de nombres externo "urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User" Tipo de atributo «Grupo» (recomendado)
- Si tiene intención de crear cuentas de técnico de NinjaOne, primero debe desasignar y eliminar el atributo de tipo de usuario predeterminado. Consulte los siguientes pasos para obtener instrucciones.
En el Editor de perfiles, haz clic en Asignaciones y configura el atributo
userTypeen No asignar. Repite este paso en las pestañas NinjaOne SCIM a usuario de Okta y Usuario de Okta a NinjaOne SCIM. Guarda las asignaciones cuando hayas terminado.
Figura 9: Asignaciones de perfiles de usuario en la configuración de SCIM - Busque el atributo «Tipo de usuario» en la lista de atributos y elimine la entrada. Espere unos minutos a que el cambio surta efecto.
- Haga clic en «Añadir atributo » y, a continuación, utilice la siguiente tabla para configurar los campos correspondientes:
| Campo de atributo | Valor |
|---|---|
| Tipo de datos | «Cadena» |
| Nombre de visualización | Introduzca un identificador único |
| Nombre externo | «userType» |
| Espacio de nombres externo | «urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User» |
| Tipo de atributo | «Grupo» (recomendado) |
- Vuelve a la sección «Provisioning» de la aplicación SCIM de NinjaOne. En la sección «To App» , elimina todas las asignaciones de la sección «Attribute Mappings» excepto las siguientes:
| Atributo | Valor |
|---|---|
| userName | Okta configura automáticamente este campo |
| nombre | «user.firstname» |
| apellido | "user.lastName" |
| organiztionId (opcional) | Selecciona cualquier valor |
| tipo de usuario | Selecciona cualquier valor |
Crear cuentas de técnico de NinjaOne
Al crear cuentas de técnico, debe asignar un valor único al atributo userType . Si no lo hace, se creará una cuenta de usuario final.
El atributo userType admite dos valores:
- Establezca el atributo en «technician» para crear una cuenta de técnico.
- Establezca el atributo en «endUser» (distingue entre mayúsculas y minúsculas) para crear una cuenta de usuario final.
Para asignar el atributo userType , siga estos pasos:
- Haga clic en el icono del lápiz para editar los campos.
- Consulte la siguiente tabla como guía para configurar un valor de atributo que se ajuste a las necesidades de su organización:
| Valor del atributo | Definición o finalidad |
|---|---|
| Mismo valor para todos los usuarios | Asigne a la aplicación NinjaOne Okta a todos los usuarios que sean del mismo tipo. |
| Asignar desde el perfil de Okta | Crear una cuenta de usuario final o técnico en función del valor del atributo de perfil seleccionado. |
| Expresión | Crea un usuario final o un técnico basándote en el resultado de tu expresión personalizada de Okta. Para obtener más información, consulta la guía general del lenguaje de expresiones de Okta | Okta Developer (enlace externo). |
- Seleccione Crear y actualizar para el campo Aplicar en .
- Recomendamos introducir varios usuarios de prueba en el campo Vista previa para confirmar que la asignación de atributos produce el resultado deseado.
- Haga clic en Guardar.
Asignar usuarios finales a una organización de NinjaOne
Si está asignando cuentas de usuario final a una organización específica de NinjaOne o a varias organizaciones de NinjaOne, debe asignar un valor al atributo organizationID. Las cuentas que carezcan de un valor de atributo válido se crearán automáticamente como usuarios finales globales.
El atributo organizationID tiene dos valores aceptados:
- Establezca el atributo en «all» para crear un usuario final global.
- Establezca el atributo en «<su ID de organización>» para asignar un usuario a la organización de NinjaOne correspondiente.
Si necesita ayuda para encontrar el ID de organización en NinjaOne, consulte Plataforma NinjaOne: Cómo encontrar un ID de organización.
Para asignar el atributo de organización, siga estos pasos:
- Haz clic en el icono del lápiz para editar los campos.
- Consulte la siguiente tabla como guía para configurar un valor de atributo que se adapte a las necesidades de su organización:
| Valor del atributo | Definición o finalidad |
|---|---|
| Mismo valor para todos los usuarios | Asigne a la aplicación NinjaOne Okta a todos los usuarios que sean del mismo tipo. |
| Asignar desde el perfil de Okta | Crear una cuenta de usuario final o técnico en función del valor del atributo de perfil seleccionado. |
| Expresión | Crea un usuario final o un técnico basándote en el resultado de tu expresión personalizada de Okta. Para obtener más información, consulta la guía general del lenguaje de expresiones de Okta | Okta Developer (enlace externo). |
- Seleccione Crear y actualizar en el campo Aplicar a .
- Recomendamos introducir varios usuarios de prueba en el campo Vista previa para confirmar que la asignación de atributos produce el resultado deseado.
- Haga clic en Guardar.
Asignar usuarios para el aprovisionamiento SCIM
Para asignar usuarios para el aprovisionamiento SCIM, siga estos pasos:
- Vuelve a la página de configuración de la aplicación NinjaOne en Okta y abre la pestaña Asignaciones .
- Haga clic en Asignar y seleccione la opción adecuada para sus necesidades. Durante la asignación, tendrá la opción de anular sus asignaciones de atributos y establecer el tipo de usuario y el ID de la organización. Si está asignando un grupo, este cambio afectará a todos los miembros del grupo.
Se iniciará el proceso de aprovisionamiento SCIM.
Configurar la asignación de grupos a roles en NinjaOne
Opcionalmente, puede utilizar la asignación de grupos en Okta para asignar automáticamente a los miembros de los grupos de Okta a roles en NinjaOne. Para ello, siga estos pasos.
- En Okta, abra la pestaña «Push Groups» en la aplicación Ninja SSO y SCIM . Haga clic en «Push Groups» para establecer los grupos de destino.
- Establezca la acción en «Crear grupo » y guarde. Esta acción puede tardar hasta una hora en completarse.
- Inicie sesión en NinjaOne como administrador del sistema.
- Vaya a Administración → Cuentas → Proveedor de identidad.
- Seleccione el IDP OIN de Okta.
- Junto a Asignación de grupos, haz clic en Editar.
- Seleccione los roles del menú desplegable para asociarlos a los grupos que haya sincronizado con Okta, si procede. El menú incluirá tanto roles de usuario final como roles de técnico. El Tipo de usuario asignado al usuario en Okta determina qué roles se asignan a cada usuario. Si necesita crear nuevos roles, consulte Roles y permisos de usuario para obtener instrucciones.
Recursos adicionales
Consulte los siguientes recursos para obtener más información sobre las opciones SCIM y SAML con NinjaOne y Okta: