Configuration de NinjaOne SCIM avec Duo Security

Sujet

Ce guide explique comment utiliser Duo pour configurer le système de gestion des identités interdomaines (SCIM) avec NinjaOne.

Environnement

Plateforme NinjaOne

Fournisseur intégré Duo Security

Description

Intégrez votre fournisseur d'identité (IDP) via SCIM pour créer et supprimer automatiquement des techniciens et des utilisateurs finaux dans NinjaOne.

Cet article est destiné à servir de point de départ pour la configuration SCIM avec NinjaOne. La configuration dépend de votre configuration Duo spécifique, nous vous recommandons donc de consulter la section Ressources supplémentaires pour trouver les processus associés.

Index

Prérequis et considérations importantes
Activer SCIM dans NinjaOne
Provisionner SCIM dans Duo
Mapper les attributs entre NinjaOne et Duo
Attribuer des utilisateurs ou des groupes au provisionnement SCIM
Mapper les groupes Duo aux rôles NinjaOne  
Ressources supplémentaires

Prérequis et considérations importantes

Avant de commencer cette procédure, assurez-vous que le langage SAML (Security Assertion Markup Language) et l'authentification unique (SSO) sont correctement configurés pour Duo dans NinjaOne. Pour plus d'informations, consultez la section Configuration de NinjaOne SAML dans Duo.

Avant de provisionner SCIM avec Duo, NinjaOne vous recommande de passer en revue plusieurs éléments de configuration et de déterminer s'ils doivent être inclus dans votre configuration de provisionnement.

Des points de départ et des instructions générales seront inclus pour chaque catégorie. Les éléments de configuration possibles sont les suivants :

Groupes : nécessaires si vous souhaitez mapper automatiquement des groupes d'utilisateurs Duo à des rôles utilisateur spécifiques dans NinjaOne. En savoir plus
Créer et mapper les attributs utilisateur: requis si vous devez mapper les utilisateurs finaux à une organisation spécifique ou créer des comptes techniciens. En savoir plus
Attribuer des attributs utilisateur: cela garantira que chaque utilisateur est mappé à la bonne organisation NinjaOne (utilisateurs finaux) et disposera du type de compte approprié (technicien ou utilisateur final). En savoir plus

Créer et utiliser des groupes

Vous pouvez utiliser les groupes Duo pour mapper les utilisateurs à des rôles spécifiques dans NinjaOne. Si vous n'utilisez pas de groupes, vous devez attribuer manuellement des rôles aux utilisateurs dans NinjaOne ; pour plus d'informations, consultez la section Rôles et autorisations des utilisateurs.

Nous recommandons au moins un groupe pour les utilisateurs finaux NinjaOne et un groupe pour les techniciens.

Pour créer un nouveau groupe Duo, procédez comme suit :

Connectez-vous au panneau d'administration Duo (externe).
Accédez à Utilisateurs → Groupes et cliquez sur Ajouter un groupe.
Saisissez un nom pour votre nouveau groupe dans le champ Nom du groupe.
Cliquez sur Ajouter un groupe pour enregistrer le groupe. Attribuez le statut Actif (recommandé) ou Contourner selon vos besoins.
Cliquez sur + Ajouter des utilisateurs au groupe et ajoutez les utilisateurs cibles.
Répétez le processus si nécessaire.

Duo groups.png — **Figure 1**: Exemple de groupes dans Duo

Créer et mapper les attributs utilisateur

Avant de provisionner SCIM avec Duo, nous vous recommandons de prendre en compte les cas d'utilisation suivants et de créer les attributs correspondants si nécessaire. Ces attributs utilisateur personnalisés seront ensuite mappés aux attributs NinjaOne lors du processus de configuration SCIM.

Vous pouvez également ajouter et importer ces attributs à partir de votre répertoire externe (externe) s'il est synchronisé avec Duo.

Exigence 1: mapper les utilisateurs finaux à une organisation. Créez un attribut utilisateur Duo personnalisé qui sera mappé à l'attribut NinjaOne facultatif « organizationid ».
Exigence 2: créer des comptes techniciens NinjaOne. Créez un attribut utilisateur Duo personnalisé qui sera mappé à l'attribut NinjaOne facultatif « userType ».

Si l'attribut Type d'utilisateur est manquant ou ne contient pas la valeur correcte, l'attribut prend par défaut la valeur d'un compte utilisateur final global.

Une fois que vous avez déterminé les attributs utilisateur requis pour votre provisionnement SCIM, procédez comme suit pour créer les attributs personnalisés dans Duo :

Connectez-vous au panneau d'administration Duo (externe).
Accédez à Utilisateurs →Attributs utilisateur. Cliquez sur Ajouter un attribut personnalisé.
Saisissez un identifiant unique pour votre nouvel attribut dans le champ Nom . Vous pouvez choisir la valeur de votre choix.
Cliquez sur Ajouter un attribut personnalisé pour enregistrer les données.
Répétez ces étapes pour chaque exigence.

duo user attributes.png — **Figure 2**: Exemple d'attributs utilisateur dans Duo

Attribuer des attributs aux utilisateurs

Maintenant que les attributs personnalisés ont été créés, vous devez les attribuer aux utilisateurs cibles. Le SCIM de NinjaOne provisionnera un compte en fonction des valeurs d'attribut attribuées à un utilisateur. Ces valeurs sont utilisées pour définir le type d'utilisateur (technicien ou utilisateur final) et l'organisation (toutes les organisations ou une organisation spécifique). Vous devrez attribuer les valeurs nécessaires à chaque utilisateur afin que leurs comptes soient créés avec la configuration souhaitée.

Vous pouvez attribuer des attributs à un utilisateur via les méthodes suivantes (externes) :

Lorsque vous attribuez des attributs aux utilisateurs, vous devez attribuer la valeur correcte à l'attribut correspondant. Les valeurs suivantes sont les seules que vous devrez utiliser pendant le processus de provisionnement des comptes.

Vous pouvez modifier les attributs génériques selon vos besoins.

Attribut	Valeur requise
organizationID	« All » (crée un utilisateur final global)
organizationID	« <InsertOrganizationID> » (attribue un utilisateur final à l'organisation correspondante ; reportez-vous à NinjaOne Platform : Comment trouver un ID d'organisation pour obtenir des instructions sur l'obtention de l'ID)
userType	« technicien » (crée un compte technicien NinjaOne)
userType	« endUser » (crée un compte d'utilisateur final NinjaOne)

La figure 3 ci-dessous fournit un exemple de compte utilisateur non synchronisé avec des valeurs attribuées aux attributs personnalisés userType et organizationID . La valeur userType créera un compte utilisateur final, et la valeur organizationID attribuera cet utilisateur à l'organisation NinjaOne spécifique.

duo_attribute values.png — **Figure 3**: Exemple de valeurs d'attributs d'utilisateur final attribuées dans Duo

La figure 4 ci-dessous fournit un exemple de compte utilisateur non synchronisé auquel une valeur est attribuée à l'attribut personnalisé userType. La valeur « technicien » créera un compte technicien dans NinjaOne.

duo_attribute values_technician.png — **Figure 4**: Exemple de valeurs d'attributs de technicien attribuées dans Duo

Activer SCIM dans NinjaOne

Pour en savoir plus sur l'utilisation de SCIM dans NinjaOne, consultez notre guide NinjaOne Identity Management : gestion des identités avec SCIM.

Pour activer SCIM et générer le jeton secret, procédez comme suit :

Dans la console NinjaOne, accédez à Administration → Comptes → Fournisseurs d'identité et ouvrez l'entrée IDP.
Cliquez sur Activer pour Système de gestion des identités interdomaines (SCIM).

idp_entra_enable scim.png — **Figure 5 :** Activer SCIM pour votre fournisseur d'identité

Activez le bouton Enable SCIM provisioning (Activer le provisionnement SCIM) dans la fenêtre de configuration, puis cliquez sur Generate token (Générer un jeton). Laissezcette fenêtre de configuration ouverte afin de pouvoir copier les données pour les étapes suivantes.

enable scim_generate token.png — **Figure 6 :** Activer SCIM et générer un jeton pour le fournisseur d'identité

Copiez et conservez le jeton en lieu sûr. Le système ne l'affichera qu'une seule fois. Le jeton secret SCIM expire six mois après sa génération. À ce moment-là, un nouveau jeton doit être créé, puis copié/collé dans votre IDP.

Provisionner SCIM dans Duo

Dans Duo, accédez à Applications → Gérer → Applications. Sélectionnez votre application Duo Generic SAML Service Provider pour NinjaOne.
Ouvrez l'onglet Provisioning et sélectionnez « Bearer Token » dans le menu déroulant Authentication mode.
Copiez l'URL du point de terminaison API et le jeton secret SCIM depuis la console NinjaOne.

copy SCIM data.png — **Figure 7 :** Copiez les données SCIM depuis NinjaOne

Collez les données dans les champs URL de base et Jeton dans Duo, respectivement.

duo authentication_paste token.png — **Figure 8 :** Coller les données SCIM NinjaOne dans Duo

Testez la connexion pour vérifier qu'elle fonctionne, puis connectez-vous à l'application.

Mapper les attributs entre NinjaOne et Duo

Une fois l'authentification réussie, vous recevrez une liste des attributs NinjaOne requis et par défaut qui devront être mappés aux attributs utilisateur Duo.

Prenez note des attributs NinjaOne suivants :

name.familyName
nom.prénom
username

Vous devez mapper les attributs NinjaOne aux attributs utilisateur Duo correspondants (comme suit) pour que le provisionnement SCIM aboutisse :

L'attribut username de NinjaOne nécessite une entrée au format d'adresse e-mail. Mappez l'attribut Duo associé à l'adresse e-mail que vous utilisez pour le compte NinjaOne. Tous les autres attributs doivent être désactivés dans le mappage, car ils ne sont pas utilisés.

Attribut utilisateur Duo	Attribut NinjaOne
Nom	name.familyName
Prénom	nom.prénom
Adresse	nomdutilisateur
<organizationId>	(facultatif) organisationID
<userType>	(facultatif) userType

Mapper les utilisateurs finaux à une organisation spécifique

Mappez votre attribut utilisateur Duo personnalisé (<organizationId>) à l'attribut NinjaOne facultatif « organizationId ». Si la valeur d'ID d'organisation est manquante ou si elle est « all » pour un utilisateur final, un utilisateur final global sera créé.

Créer des comptes technicien NinjaOne ou à la fois des comptes utilisateur final et technicien

Mappez votre attribut utilisateur Duo personnalisé (<userType>) à l'attribut NinjaOne facultatif « userType ».

L'attribut userType accepte deux valeurs :

« technicien » crée un compte technicien NinjaOne.
« endUser » (sensible à la casse) crée un compte d'utilisateur final NinjaOne.

Affecter des utilisateurs ou des groupes au provisionnement SCIM

Une fois les attributs mappés, vous devez attribuer des groupes ou des utilisateurs cibles au provisionnement SCIM.

La décision d'attribuer des utilisateurs spécifiques, tous les utilisateurs disposant d'un accès SSO ou des groupes d'utilisateurs spécifiques à gérer via SCIM dépend des objectifs de votre organisation et de la configuration Duo.

Cette section présente une approche couramment utilisée consistant à utiliser des groupes pour attribuer des utilisateurs au provisionnement SCIM. Veuillez vous reporter à la documentation Duo pour déterminer la méthode qui vous convient le mieux.

Dans l'exemple suivant, nous avons créé un groupe pour les utilisateurs finaux et un groupe pour les techniciens. Une fois la configuration enregistrée, le processus de provisionnement des utilisateurs démarre automatiquement.

duo groups_select groups.png — **Figure 9 :** Sélectionnez les groupes dans Duo qui seront affectés au provisionnement SCIM

Mapper les groupes Duo aux rôles NinjaOne

Si vous affectez des groupes au provisionnement SCIM dans Duo, ils apparaîtront dans la section Mappage des groupes de la page Fournisseur d'identité dans la console NinjaOne. Le mappage des groupes vous permet d'affecter des rôles d'utilisateur final ou de technicien à un groupe d'identité.

Pour en savoir plus sur la création et la gestion des rôles dans NinjaOne, consultez la section Rôles et autorisations des utilisateurs.

Groupe d'identités: il s'agit des groupes mappés à partir de l'IDP.
Rôles utilisateur: il s'agit des rôles attribués au groupe.

Pour définir le mappage des groupes pour votre fournisseur d'identité, procédez comme suit :

Dans la console NinjaOne, accédez à Administration → Comptes → Fournisseurs d'identité et ouvrez l'entrée du fournisseur.
Cliquez sur Modifier dans la section Mappage des groupes.

IDP_group mapping.png — **Figure 10 :** Configurer le mappage des groupes pour NinjaOne IDP

Mappez les rôles NinjaOne à leurs groupes Duo respectifs. Si vous n'avez pas configuré les groupes à mapper depuis Duo vers votre division NinjaOne, vous ne verrez pas les options de mappage éligibles dans la fenêtre modale Mapper les groupes. Pour corriger ce problème, consultez les étapes décrites dans les sections Mapper les attributs entre NinjaOne et Duo et Attribuer des utilisateurs ou des groupes au provisionnement SCIM.

Chaque utilisateur et son rôle s'afficheront dans la page de configuration de leur compte NinjaOne afin que vous puissiez suivre le mappage ou modifier les autorisations si nécessaire.

Ressources supplémentaires

Consultez les ressources suivantes pour en savoir plus sur la gestion des identités dans NinjaOne :

Configuration de NinjaOne SAML dans Duo
Attributs utilisateur | Duo Security (externe)
Provisionnement automatisé Duo | Duo Security (externe)
Administration Duo - Importer des utilisateurs à partir d'un fichier CSV | Duo Security (externe)