Tema
Este artículo trata sobre la gestión de identidades de usuario mediante el uso del Sistema para la gestión de identidades entre dominios (SCIM) con NinjaOne.
Entorno
- Plataforma NinjaOne
- Integraciones de NinjaOne
- Microsoft Entra ID
Descripción
Integre su proveedor de identidad (IdP) a través de SCIM para crear y eliminar automáticamente técnicos y usuarios finales dentro de NinjaOne.
Este artículo sirve como punto de partida para la configuración de SCIM en NinjaOne. La configuración depende de su configuración específica de Microsoft Entra, por lo que le recomendamos que consulte la sección Recursos adicionales para encontrar los procesos relacionados.
Seleccione una categoría para obtener más información:
- Consideraciones importantes
- Configuración de SCIM
- Asignación de grupos en NinjaOne
- Desactivar SSO y SCIM
- Ver actividades SCIM y SSO
- Recursos adicionales
Consideraciones importantes
Tenga en cuenta lo siguiente:
- Los usuarios gestionados a través de SCIM no se pueden editar ni eliminar en la consola de NinjaOne, a menos que SCIM se desactive temporalmente. Sin embargo, puede cambiar el número de teléfono, el idioma y otros ajustes menores que no gestiona SCIM. La eliminación y edición de usuarios debe realizarse en el IDP.
- Los usuarios aprovisionados a través de SCIM no recibirán una invitación para configurar su contraseña o MFA, ya que sus direcciones de correo electrónico ya se considerarán activadas por el proveedor de identidad.
- Al revocar los tokens SCIM o desactivar el SSO (inicio de sesión único), se le pedirá al usuario que verifique la MFA introduciendo el código temporal.
- No se pueden asignar administradores del sistema a través de SCIM. Debe asignarlos manualmente en la consola de NinjaOne. Para obtener instrucciones sobre cómo añadir un administrador del sistema, consulte Plataforma NinjaOne: Crear una cuenta de técnico.
- Cuando los usuarios dejan de ser miembros de una empresa, el IDP los marcará automáticamente como inactivos en la consola de NinjaOne. Sin embargo , seguirán apareciendo en la lista de usuarios.
Configuración de SCIM
Se ha confirmado que las siguientes instrucciones son compatibles con Microsoft Entra ID. Si desea utilizar Okta como su IDP, lea Gestión de la autenticación de identidad de NinjaOne: Activar SCIM para su proveedor de identidad. Las instrucciones de este artículo dan por supuesto que su IDP es compatible con SCIM. Debe probar una configuración híbrida de SSO (inicio de sesión único) antes de activarla a través de NinjaOne.
Para habilitar SCIM y generar el token secreto, siga estos pasos:
- Cree una aplicación Microsoft Entra ID Enterprise en Microsoft Azure. Consulte Seguridad de inicio de sesión: Configurar el inicio de sesión único en NinjaOne para obtener más información.
- Vaya a Administración → Cuentas → Proveedores de identidad y abra la entrada del proveedor Microsoft Entra ID que ha creado en el paso anterior.
- Haga clic en Habilitar para el sistema de gestión de identidades entre dominios (SCIM).
Figura 1: Habilitar SCIM para su proveedor de identidad
- Active el interruptor de activación de aprovisionamiento SCIM en el modal de configuración y, a continuación, haga clic en Generar token. Mantengaabierto este modal de configuración para poder copiar los datos para los siguientes pasos.
Figura 2: Habilitar SCIM y generar un token para el proveedor de identidad
Aprovisionar SCIM
Para gestionar el aprovisionamiento de SCIM, siga estos pasos:
- Abra su aplicación Microsoft Azure Enterprise en una pestaña o ventana separada del navegador. En Administrar, seleccione la pestaña Aprovisionamiento y, a continuación, haga clic en Comenzar.
- En NinjaOne, copie la URL del punto final de la API SCIM (URL del inquilino) y el token secreto de NinjaOne y péguelos en la configuración de aprovisionamiento de Azure. Puede encontrar estos datos en el paso 4, que se encuentra anteriormente en este proceso.
- La URL es el punto final del IDP y apuntará a la URL del punto final de la API SCIM.
- La URL del punto final de la API SCIM debe ser
https://{tenant-hostname}/ws/scim/v2, donde{tenant-hostname}es el nombre de host nativo de su inquilino, como app.ninjarmm.com, eu.ninjarmm.com o similar.
Figura 3: Copie los datos SCIM de NinjaOne
- Pegue los datos copiados en su aplicación Microsoft Azure Enterprise. Pruebe la conexión para verificar que funciona correctamente.
Configurar atributos
Para configurar los atributos de su proveedor de identidad, siga estos pasos:
- En su aplicación Microsoft Azure Enterprise, expanda la sección Asignaciones y haga clic en Aprovisionar usuarios de Azure Active Directory.
Figura 4: Pantalla Provisioning (Aprovisionamiento) en Entra ID (haga clic para ampliar)
- Configure los siguientes atributos utilizando la tabla siguiente. Elimine todos los demás atributos de la asignación, ya que no se utilizan.
| Atributos de Azure Active Directory | Atributo customappsso |
|---|---|
| userPrincipalName | userName |
| Switch([IsSoftDeleted], , "False", "True", "True", "False") | active |
| correo | emails[tipo eq "trabajo"].valor |
| nombre | nombre.nombre |
| apellido | nombre.apellido |
| apodo de correo | externalId |
- Seleccione la casilla Mostrar opciones avanzadas y, a continuación, haga clic en Editar lista de atributos para customappsso.
Figura 5: Opciones avanzadas de atributos en Entra ID (haga clic para ampliar)
- Añada un nuevo atributo en la parte inferior y, a continuación, añada lo siguiente:
- Nombre:urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:organizationId
- Tipo: Cadena
- ¿Obligatorio?: Seleccione esta opción
- Deje el resto de opciones en blanco. Cuando haya terminado, haga clic en Guardar.
- Si está creando técnicos de NinjaOne con SCIM, añada el siguiente atributo para Nombre:
urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:userTypeAsignar usuarios finales
Puede asignar usuarios finales a organizaciones específicas en NinjaOne o asignarlos como usuarios finales globales (no asignados a un grupo en particular). En la mayoría de los casos, debe utilizar expresiones para asignar usuarios a su organización correcta de forma dinámica.
- En su cuenta de Microsoft Entra, vaya a Aprovisionamiento → Asignación de atributos → Aprovisionar usuarios de Microsoft Entra ID.
- Abra NinjaOne en una pestaña o ventana separada y vaya a Administración → Organizaciones. Mueva el cursor sobre los tres puntos de Acciones en el borde derecho de la fila Organización y seleccione Copiar ID de organización.
Figura 6: Copie el ID de la organización en NinjaOne (haga clic para ampliar)
- Vuelva a su cuenta de Microsoft Entra y haga clic en Añadir nueva asignación.
Figura 7: Añadir una nueva asignación en Microsoft Entra (haga clic para ampliar)
- Seleccione el tipo de asignación en función de si está asignando usuarios finales a una sola organización o a varias:
- Seleccione Constante si está asignando los usuarios finales a una sola organización. A continuación, pegue el ID de la organización única en el campo Valor constante.
- Seleccione Expresión si está asignando usuarios finales a varias organizaciones. A continuación, cree una expresión que haga referencia a los ID de organización NinjaOne de destino e introdúzcala en el campo Valor constante. Los usuarios finales se asignan en función de los resultados de la expresión. Para obtener más información sobre cómo crear expresiones para la asignación de organizaciones, consulte Referencia para escribir expresiones para asignaciones de atributos en Microsoft Entra Application Provisioning - Microsoft Entra ID | Microsoft Learn (enlace externo).
- Introduzca lo siguiente en el campo Atributo de destino para asignar los usuarios finales a su respectivo ID de organización de NinjaOne:
urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:organizationId - Utilice «All» como ID de organización del usuario final para crear un usuario final global.
Figura 8: Uso de un tipo de asignación constante al editar un atributo de destino (haga clic para ampliar)
- Haga clic en Aceptar y, a continuación, en Guardar.
Establezca el tipo de usuario para el usuario final o el técnico
De forma predeterminada, Entra ID crea usuarios gestionados por SCIM como cuentas de usuario final. Si ha añadido el atributo opcional Tipo de usuario a su configuración SCIM (consulte el paso 5 de la sección Configurar atributos ), ahora tiene la opción de crear cuentas de técnico a través de SCIM.
- En su cuenta de Microsoft Entra, vaya a Aprovisionamiento → Asignación de atributos → Aprovisionar usuarios de Microsoft Entra ID.
- Haga clic en Añadir nueva asignación.
- Seleccione el tipo de asignación en función de si está creando usuarios finales o técnicos:
- Seleccione «Constante» si va a crear técnicos. A continuación, introduzca «técnico» (distingue entre mayúsculas y minúsculas) en el campo Valor constante.
- Seleccione «Expresión» si va a crear cuentas de usuario final y de técnico . A continuación, cree una expresión que asigne a las cuentas de usuario final el valor «endUser» y a las de técnico el valor «technician» (distingue entre mayúsculas y minúsculas). Para obtener más información sobre la creación de expresiones para la asignación de organizaciones, consulte Referencia para escribir expresiones para asignaciones de atributos en el aprovisionamiento de aplicaciones de Microsoft Entra - Microsoft Entra ID | Microsoft Learn (externo).
Figura 9: Uso de un tipo de asignación de expresiones al editar un atributo de destino (haga clic para ampliar)
- Introduzca lo siguiente en el campo Atributo de destino para asignar a los usuarios finales su respectivo ID de organización de NinjaOne:
urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:userType - Haga clic en Aceptar y, a continuación, en Guardar.
Guarde la configuración
Vuelva a Provisioning, active el interruptor de estado de aprovisionamiento en la parte inferior de la página y, a continuación, haga clic en Guardar. NinjaOne aprovisionará a los usuarios automáticamente.
Figura 10: Pantalla Provisioning (Aprovisionamiento) en Entra ID (haga clic para ampliar)
Asignación de grupos en NinjaOne
Una vez que haya aprovisionado el grupo en su IDP, aparecerá en la sección Asignación de grupos de la página Proveedor de identidad de la consola de NinjaOne. La asignación de grupos le permite asignar roles de usuario final o técnico a un grupo de identidades. Para obtener más información sobre cómo crear y administrar roles en NinjaOne, consulte Roles y permisos de usuario.
- Grupo de identidades: grupos asignados desde el IDP
- Roles de usuario: roles asignados al grupo
Para cambiar la asignación de grupos de su proveedor de identidad, siga estos pasos:
- Si es administrador del sistema, puede añadir roles a los usuarios de cada grupo haciendo clic en Editar.
Figura 11: Editar asignación de grupos
- Añada uno o más roles a cada menú desplegable según sea necesario. A los usuarios marcados como usuarios finales se les asignarán roles de usuario final, y a los usuarios marcados como técnicos se les asignarán roles de técnico.
Figura 12: Asignar grupos de técnicos y usuarios finales
NinjaOne mostrará cada usuario y su rol en la página de configuración de la cuenta de NinjaOne, lo que le permitirá realizar un seguimiento de la asignación o editarla según sea necesario.
- La columna Origen de la página de configuración de la cuenta, en Funciones, indicará si una función se ha asignado manualmente o a través de SCIM. Las funciones que indican «Nativo»se han asignado manualmente.
- No puede editar las funciones asignadas a través de SCIM en la consola de NinjaOne. Debe actualizarlas a través del IDP utilizado para asignar inicialmente las funciones (en los ejemplos utilizados en este artículo, actualizaría las funciones en Microsoft Entra).
Figura 13: Fuente de asignación de roles (haga clic para ampliar)
Desactivar SSO y SCIM
En la página Inicio de sesión único, puede desactivar el SSO, el aprovisionamiento SCIM y revocar tokens.
Desactivar SSO
Para desactivar el SSO como proveedor, siga estos pasos:
- Vaya aAdministración→Cuentas→Proveedor de identidad.
- Mueva el cursor sobre el IDP y haga clic en el botón del menú de puntos suspensivos. Seleccione Desactivar SSO.
Figura 14: Desactivar SSO para un IDP
Desactivar SCIM
Para desactivar el aprovisionamiento SCIM, siga estos pasos:
- Vaya aAdministración→Cuentas→Proveedor de identidad y haga clic en el nombre del proveedor para editar la configuración.
- Haga clic en Editar en la sección Sistema para la gestión de identidades entre dominios (SCIM).
- Desactive el interruptor Activar aprovisionamiento SCIM y, a continuación, haga clic en Desactivar SCIM en la ventana de confirmación.
Figura 15: Desactivar el aprovisionamiento SCIM para un IDP (haga clic para ampliar)
- Haga clic en Cerrar.
Revocar token
Para revocar un token, siga estos pasos:
- Vaya aAdministración→Cuentas→Proveedor de identidades y haga clic en el nombre del proveedor para editar la configuración.
- Haga clic en Editar en la sección Sistema para la gestión de identidades entre dominios (SCIM).
- Haga clic en Revocar token y , a continuación, vuelva a hacer clic en Revocar token en la ventana de confirmación.
- Haga clic en Cerrar.
Ver actividades SCIM y SSO
- En la consola de NinjaOne, vaya a Panel de control ( sistema u organización) → Actividades → Todas.
- Seleccione «SSO» en el menú desplegable Tipo de actividad.
Figura 16: Ver todas las actividades relacionadas con SSO y SCIM (haga clic para ampliar)
Utilice el menú desplegable Estado para filtrar aún más los resultados. Hay opciones disponibles para las siguientes actividades:
- SCIM:
- Usuario final creado, actualizado o desactivado
- Creado, eliminado o actualizado por el técnico
- Token creado eliminado
- Grupo de usuarios creado, eliminado o actualizado
- SSO: creado, eliminado, desactivado, activado
Figura 17: Filtrar actividades SSO y SCIM por estado
Recursos adicionales
Consulte los siguientes recursos para obtener más información sobre NinjaOne SCIM: