Sujet
Cet article explique comment configurer le système de gestion des identités interdomaines (SCIM) avec l'application personnalisée Security Assertion Markup Language (SAML) 2.0 d'Okta.
Nous vous recommandons de configurer l'authentification unique (SSO) et SCIM à l'aide de l'application NinjaOne Okta Integration Network, car cela simplifie considérablement le processus de configuration. Utilisez les ressources suivantes pour obtenir des instructions de configuration. Si votre organisation nécessite des configurations d'identité avancées non prises en charge par le modèle OIN, cet article fournit les étapes de configuration SCIM à l'aide de l'application SAML 2.0 personnalisée d'Okta.
- Système de gestion des identités interdomaines (SCIM) avec Okta
- Configuration de NinjaOne SAML dans Okta
Environnement
- Gestion des identités et des accès (IAM) NinjaOne
- Intégrations NinjaOne : Okta
Description
L'intégration d'Okta à NinjaOne via SCIM vous permet de créer, supprimer et provisionner automatiquement des techniciens et des utilisateurs finaux dans NinjaOne. Cet article sert de point de départ pour la configuration SCIM avec NinjaOne. La configuration dépend de votre configuration Okta spécifique, nous vous recommandons donc de consulter la section Ressources supplémentaires pour trouver les processus associés.
Pour plus de détails sur les concepts qui sous-tendent la gestion du cycle de vie avec SCIM et Okta, consultez Comprendre SCIM | Okta Developer (lien externe).
Sélectionnez une catégorie pour en savoir plus :
- Prérequis
- Configurer SCIM dans Okta avec une application SAML 2.0 personnalisée
- Configurer le mappage des groupes aux rôles dans NinjaOne
- Ressources supplémentaires
Prérequis
Avant de pouvoir provisionner des comptes utilisateur via SCIM, vous devez créer l'IDP et activer l'authentification unique (SSO). Pour ce faire, reportez-vous à la section Configuration de NinjaOne SAML dans Okta.
Configurer SCIM dans Okta avec une application SAML 2.0 personnalisée
Pour configurer SCIM avec l'application SAML 2.0 personnalisée d'Okta, procédez comme suit :
- Connectez-vous à votre compte Okta en tant qu'administrateur.
- Dans le volet de navigation, développez le menu déroulant Applications et sélectionnez Applications.
- Sélectionnez l'application NinjaOne.
- Ouvrez l'onglet Général et sélectionnez SCIM dans la section Provisioning .
- Cliquez sur Enregistrer.
- Ouvrez l'onglet Provisioning et sélectionnez Modifier. Cliquez sur Configurer l'intégration API.
- Dans un autre onglet du navigateur, connectez-vous à la console NinjaOne en tant qu'administrateur système.
- Accédez à Administration → Comptes → Fournisseurs d'identité et sélectionnez votre entrée Okta.
- Cliquez sur Modifier dans le widget Système pour la gestion des identités interdomaines.
- Dans la fenêtre modale Configurer SCIM, cliquez sur le bouton bascule pour activer le provisionnement SCIM.
- Cliquez sur Générer un jeton.
- Cliquez sur l'icône en forme de feuille pour copier le jeton secret SCIM ainsi que l'URL du point de terminaison de l'API SCIM. Revenez à la console d'administration Okta.
- Depuis votre emplacement précédent dans la console d'administration Okta (application NinjaOne), collez l'URL du point de terminaison de l'API SCIM de NinjaOne dans l'URL de base du connecteur SCIM. Cochez la case Activer l'intégration API, puis collez le jeton secret SCIM de NinjaOne.
- Définissez le champ Identifiant unique pour les utilisateurs sur un attribut utilisateur Okta contenant une valeur d'adresse e-mail. Les attributs courants incluent userName ( nom d'utilisateur Okta) et email ( adresse e-mail principale). Pour plus d'informations, consultez Profils utilisateur | Okta Developer (lien externe).
- Cochez les cases correspondant aux actions de provisionnement prises en charge suivantes :
- Pousser les nouveaux utilisateurs
- Publier les mises à jour de profil
- Pousser les groupes
- Définissez le mode d'authentification sur En-tête HTTP.
- Ouvrez l'onglet Provisioning pour trouver les nouveaux paramètres disponibles pour la configuration.
- Ouvrez l'onglet Vers l'application et cliquez sur Modifier.
- Cochez les cases correspondant aux options de provisionnement suivantes :
- Créer des utilisateurs
- Mettre à jour les attributs utilisateur
- Désactiver les utilisateurs
- Faites défiler jusqu'à la section Mappages d'attributs et cliquez sur Accéder à l'éditeur de profil.
Si vous souhaitez affecter des utilisateurs finaux à des organisations spécifiques, sélectionnez Ajouter un attribut, puis configurez les champs suivants :
Champ d'attribut Valeur Type de données « Chaîne » Nom d'affichage Entrez un identifiant unique Nom externe « organizationId » Espace de noms externe « urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User » Type d'attribut « Groupe » (recommandé)
- Si vous avez l'intention de créer des comptes de techniciens NinjaOne, vous devez d'abord désactiver le mappage et supprimer l'attribut de type utilisateur par défaut. Reportez-vous aux étapes suivantes pour obtenir des instructions.
Dans l'éditeur de profil, cliquez sur Mappages et définissez l'attribut
userTypesur Ne pas mapper. Répétez cette étape dans les onglets NinjaOne SCIM vers Okta User et Okta User vers NinjaOne SCIM. Enregistrez les mappages lorsque vous avez terminé.
Figure 9: Mappages des profils utilisateur de la configuration SCIM - Recherchez l'attribut Type d'utilisateur dans la liste Attributs et supprimez l'entrée. Patientez quelques minutes pour que la modification prenne effet.
- Cliquez sur Ajouter un attribut, puis utilisez le tableau suivant pour configurer les champs applicables :
| Champ d'attribut | Valeur |
|---|---|
| Type de données | « Chaîne » |
| Nom d'affichage | Entrez un identifiant unique |
| Nom externe | « userType » |
| Espace de noms externe | « urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User » |
| Type d'attribut | « Group » (recommandé) |
- Revenez à la section Provisioning (Provisionnement) de l'application NinjaOne SCIM. Dans la section To App (Vers l'application), supprimez tous les mappages de la section Attribute Mappings (Mappages d'attributs), à l'exception des suivants :
| Attribut | Valeur |
|---|---|
| userName | Okta définit automatiquement ce champ. |
| givenName | « user.firstname » |
| nom | « user.lastName » |
| organiztionId (facultatif) | Sélectionnez n'importe quelle valeur |
| userType | Sélectionnez n'importe quelle valeur |
Créer des comptes technicien NinjaOne
Lorsque vous créez des comptes techniciens, vous devez attribuer une valeur unique à l'attribut userType . Si vous ne le faites pas, un compte utilisateur final sera créé.
L'attribut userType accepte deux valeurs :
- Définissez l'attribut sur « technicien » pour créer un compte technicien.
- Définissez l'attribut sur « endUser » (sensible à la casse) pour créer un compte d'utilisateur final.
Pour mapper l'attribut userType , procédez comme suit :
- Cliquez sur l'icône en forme de crayon pour modifier les champs.
- Reportez-vous au tableau suivant pour vous aider à configurer une valeur d'attribut qui répond aux besoins de votre organisation :
| Valeur d'attribut | Définition ou objectif |
|---|---|
| Même valeur pour tous les utilisateurs | Affectez tous les utilisateurs de même type à l'application NinjaOne Okta. |
| Mappage à partir du profil Okta | Créer un compte d'utilisateur final ou de technicien en fonction de la valeur de l'attribut de profil sélectionné. |
| Expression | Créez un utilisateur final ou un technicien en fonction du résultat de votre expression Okta personnalisée. Pour plus d'informations, consultez le guide de présentation du langage d'expression Okta | Okta Developer (lien externe). |
- Sélectionnez Créer et mettre à jour dans le champ Appliquer à.
- Nous vous recommandons d'insérer plusieurs utilisateurs test dans le champ Aperçu afin de vérifier que votre mappage d'attributs produit le résultat souhaité.
- Cliquez sur Enregistrer.
Attribuer des utilisateurs finaux à une organisation NinjaOne
Si vous affectez des comptes d'utilisateurs finaux à une organisation NinjaOne spécifique ou à plusieurs organisations NinjaOne, vous devez attribuer une valeur à l'attribut organizationID. Les comptes pour lesquels une valeur d'attribut acceptée est manquante seront automatiquement créés en tant qu'utilisateurs finaux globaux.
L'attribut organizationID a deux valeurs acceptées :
- Définissez l'attribut sur « all » pour créer un utilisateur final global.
- Définissez l'attribut sur « <votre ID d'organisation> » pour attribuer un utilisateur à l'organisation NinjaOne correspondante.
Si vous avez besoin d'aide pour trouver l'ID d'organisation dans NinjaOne, consultez Plateforme NinjaOne : comment trouver un ID d'organisation.
Pour mapper l'attribut organisation, procédez comme suit :
- Cliquez sur l'icône en forme de crayon pour modifier les champs.
- Reportez-vous au tableau suivant pour obtenir des conseils sur la configuration d'une valeur d'attribut qui répond aux besoins de votre organisation :
| Valeur de l'attribut | Définition ou objectif |
|---|---|
| Même valeur pour tous les utilisateurs | Affectez tous les utilisateurs de même type à l'application NinjaOne Okta. |
| Mappage à partir du profil Okta | Créer un compte d'utilisateur final ou de technicien en fonction de la valeur de l'attribut de profil sélectionné. |
| Expression | Créez un utilisateur final ou un technicien en fonction du résultat de votre expression Okta personnalisée. Pour plus d'informations, consultez le guide de présentation du langage d'expression Okta | Okta Developer (lien externe). |
- Sélectionnez Créer et mettre à jour pour le champ Appliquer sur .
- Nous vous recommandons d'insérer plusieurs utilisateurs test dans le champ Aperçu afin de vérifier que votre mappage d'attributs produit le résultat souhaité.
- Cliquez sur Enregistrer.
Attribuer des utilisateurs pour l'approvisionnement SCIM
Pour attribuer des utilisateurs pour l'approvisionnement SCIM, procédez comme suit :
- Revenez à la page de configuration de l'application NinjaOne dans Okta et ouvrez l'onglet Affectations .
- Cliquez sur Attribuer et sélectionnez l'option qui correspond à vos besoins. Lors de l'attribution, vous aurez la possibilité de remplacer vos mappages d'attributs et de définir le type d'utilisateur et l'ID de l'organisation. Si vous attribuez un groupe, cette modification affectera tous les membres du groupe.
Le processus de provisionnement SCIM va commencer.
Configurer le mappage des groupes aux rôles dans NinjaOne
Vous pouvez également utiliser le mappage de groupes dans Okta pour attribuer automatiquement les membres des groupes Okta à des rôles dans NinjaOne. Pour ce faire, procédez comme suit.
- Dans Okta, ouvrez l'onglet Push Groups (Pousser les groupes) dans l'application Ninja SSO et SCIM . Cliquez sur Push Groups (Pousser les groupes) pour définir les groupes cibles.
- Définissez l'action sur Créer un groupe et enregistrez. Cette action peut prendre jusqu'à une heure.
- Connectez-vous à NinjaOne en tant qu'administrateur système.
- Accédez à Administration → Comptes → Fournisseur d'identité.
- Sélectionnez l'IDP Okta OIN.
- À côté de Mappage des groupes, cliquez sur Modifier.
- Sélectionnez les rôles dans le menu déroulant à associer aux groupes que vous avez synchronisés avec Okta, le cas échéant. Le menu comprend à la fois les rôles des utilisateurs finaux et ceux des techniciens. Le type d'utilisateur attribué à l'utilisateur dans Okta détermine les rôles à attribuer à chaque utilisateur. Si vous devez créer de nouveaux rôles, consultez la section Rôles et autorisations des utilisateurs pour obtenir des instructions.
Ressources supplémentaires
Consultez les ressources suivantes pour en savoir plus sur les options SCIM et SAML avec NinjaOne et Okta :