Contourner la MFA de NinjaOne : FAQ

Sujet

Cet article explique comment activer le contournement conditionnel pour l'authentification multifactorielle (MFA) de NinjaOne.

Environnement

Plateforme NinjaOne

Description

Activez le contournement conditionnel de l'authentification multifactorielle NinjaOne afin de garantir qu'elle ne soit effectuée qu'une seule fois lors d'une connexion SSO, soit chez le fournisseur d'identité, soit chez NinjaOne, mais pas les deux. Cela garantit toujours un niveau de sécurité élevé tout en offrant l'avantage d'une meilleure ergonomie, puisqu'une seule authentification multifactorielle est requise.

Index

Sélectionnez une catégorie pour en savoir plus : 

• Qu'est-ce que le workflow MFA ?
• Comment NinjaOne utilise-t-il l'authentification multifactorielle (MFA) ?
• Quels fournisseurs d'identité NinjaOne prend-il en charge ?
• Quels attributs NinjaOne recherche-t-il ?
• Pourquoi l'option « Activer le contournement conditionnel de l'authentification multifactorielle NinjaOne » est-elle masquée après le test du fournisseur d'identité ?
• Pourquoi les utilisateurs reçoivent-ils toujours la MFA Ninja lors de la connexion alors que j'ai activé cette fonctionnalité ?
• Cela affecte-t-il l'authentification multifactorielle NinjaOne pour les opérations sensibles en matière de sécurité dans NinjaOne après la connexion ?
• Pourquoi est-ce que je reçois toujours une invite d'authentification multifactorielle lors de la connexion, même si j'ai activé le contournement ?

FAQ

En quoi consiste le workflow MFA ?

La figure suivante illustre l'utilisation de l'authentification multifactorielle (MFA) uniquement en tant que fournisseur d'identité (IdP) :

La figure suivante montre comment NinjaOne utilise l'authentification multifactorielle (MFA) :

Comment NinjaOne utilise-t-il l'authentification multifactorielle (MFA) ?

Certains IdP, notamment Okta et Azure, ajoutent un attribut SAML à la réponse de connexion de l'utilisateur qui indique si l'authentification multifactorielle a été effectuée pendant la session de connexion. Nous recherchons cet attribut dès réception de la réponse SAML afin de déterminer s'il convient d'ignorer l'authentification multifactorielle NinjaOne en fonction de cette condition. 

La réponse SAML est un document signé cryptographiquement qui établit une relation de confiance entre NinjaOne et l'IdP. Elle ne peut pas être modifiée entre l'IdP et NinjaOne sans être détectée. Si nous ne trouvons pas cet attribut MFA spécifique dans la réponse SAML, nous ne contournerons pas l'authentification multifactorielle (MFA) de NinjaOne pour la connexion de l'utilisateur.

Quels fournisseurs d'identité NinjaOne prend-il en charge ?

Actuellement, seuls Azure et Okta sont pris en charge pour cette fonctionnalité. Nous prendrons en charge d'autres fournisseurs d'identité dès que nous aurons déterminé qu'ils autorisent un attribut MFA basé sur la session tel que décrit ci-dessus.

Quels attributs NinjaOne recherche-t-il ?

NinjaOne recherchera les attributs suivants dans la réponse SAML pour Okta et Azure. S'ils sont trouvés, NinjaOne contournera l'authentification multifactorielle pour cette requête. S'ils ne sont pas trouvés, NinjaOne effectuera l'authentification multifactorielle pour la requête de connexion.

Attributs Okta :

<saml2:Attribute Name=“amr” NameFormat=“urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified”>
<saml2:AttributeValue xmlns:xs=“http://www.w3.org/2001/XMLSchema” xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>swk</saml2:AttributeValue>
<saml2:AttributeValue xmlns:xs=“http://www.w3.org/2001/XMLSchema” xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>mfa</saml2:AttributeValue>
<saml2:AttributeValue xmlns:xs=“http://www.w3.org/2001/XMLSchema” xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>pwd</saml2:AttributeValue>
</saml2:Attribute>

Attributs Azure :

<Attribute Name="http://schemas.microsoft.com/claims/authnmethodsreferences">
<AttributeValue>http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password</AttributeValue>
<AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</AttributeValue>
</Attribute>

Pourquoi l'option « Activer le contournement conditionnel de l'authentification multifactorielle NinjaOne » est-elle masquée après le test de l'IdP ?

Comme cette version ne prend en charge qu'Azure et Okta, nous recherchons actuellement une URL d'IdP contenant .okta.com (Okta) ou .microsoftonline.com (Azure). Si votre fournisseur d'identité dispose d'une URL personnalisée, celle-ci n'est actuellement pas prise en charge, mais cela est susceptible de changer à l'avenir. Pour l'instant, cette option sera masquée pour tous les autres IdP une fois le test de connexion à l'IdP terminé.

Pourquoi les utilisateurs reçoivent-ils toujours la MFA NinjaOne lors de la connexion alors que j'ai activé cette fonctionnalité ?

Cela peut se produire pour plusieurs raisons :

• La fonctionnalité n'est pas activée dans la configuration IdP de NinjaOne.
• Il est possible que l'attribut défini dans la réponse SAML par l'IdP soit soit absent, soit différent du nom d'attribut que nous recherchons. Assurez-vous que l'attribut figure bien dans la réponse SAML reçue par NinjaOne.
• L'utilisateur n'a peut-être pas effectué l'authentification multifactorielle (MFA) au niveau de l'IdP. Assurez-vous que la politique de l'IdP impose l'authentification multifactorielle (MFA) pour l'application NinjaOne.
• Si l'IdP est configuré avec un service tiers pour l'authentification multifactorielle (par exemple, l'utilisation de Duo avec Azure IdP), il est possible que l'IdP n'ajoute pas l'attribut d'authentification multifactorielle que nous recherchons.

• L'utilisateur n'a peut-être qu'une seule méthode d'authentification configurée pour son compte (comme un mot de passe, une application d'authentification, Okta Verify ou autre). Par conséquent, le compte ne répond pas à l'exigence d'authentification multifactorielle (MFA) de NinjaOne et recevra l'invite. Ajoutez une option d'authentification secondaire et réessayez.

Cette fonctionnalité affecte-t-elle l'authentification multifactorielle (MFA) de NinjaOne pour les opérations sensibles en matière de sécurité dans NinjaOne après la connexion ?

Non, cette fonctionnalité n'affecte pas les exigences MFA post-connexion. Même si la MFA de NinjaOne est contournée lors de la connexion, tous les techniciens et utilisateurs finaux de NinjaOne doivent toujours avoir une MFA NinjaOne configurée et seront toujours tenus d'effectuer une MFA pour les opérations sensibles en matière de sécurité après la connexion.

Pourquoi est-ce que je reçois toujours une invite d'authentification multifactorielle lors de la connexion, même si j'ai activé le contournement ?

Il se peut que vous n'ayez configuré qu'une seule méthode d'authentification pour votre compte (par exemple, un mot de passe de compte, une application d'authentification, Okta Verify ou similaire). Par conséquent, le compte ne répond pas à l'exigence d'authentification multifactorielle et recevra l'invite NinjaOne MFA. Ajoutez une option d'authentification secondaire et réessayez.