Vous êtes déjà client NinjaOne ? Connectez-vous pour consulter d'autres guides et les dernières nouvelles.

Ignorer l’authentification multi-facteurs (MFA)

Sujet

Cet article explique comment contourner l'authentification multifactorielle (MFA) de NinjaOne lors de l'ajout d'un fournisseur d'identité (IdP) dans NinjaOne.

Environnement

  • Plateforme NinjaOne

Description

L'option « Ignorer l'authentification multifactorielle (MFA) lors de la connexion » permet de contourner l'authentification multifactorielle (MFA) de NinjaOne sous certaines conditions, en fonction des informations contenues dans la réponse SAML (Security Assertion Markup Language) indiquant que l'authentification multifactorielle a été effectuée lors de la connexion de l'utilisateur via un fournisseur d'identité (IdP). Cela garantit que l'utilisateur n'est pas obligé de saisir deux fois ses identifiants MFA pour accéder à NinjaOne.

Le contournement de l'authentification multifactorielle à la connexion ne remplace pas les demandes d'authentification multifactorielle pour les tâches administratives dans NinjaOne. Vous pouvez toujours être invité à effectuer l'authentification multifactorielle en fonction de vos actions. Les utilisateurs SSO doivent toujours configurer l'authentification multifactorielle pour NinjaOne lors de leur première connexion.

Sélectionnez une catégorie pour en savoir plus :

Remarques importantes

Veuillez tenir compte des informations suivantes.

  • NinjaOne prend en charge tous les fournisseurs d'identité (IdP) pour le contournement de l'authentification multifactorielle (MFA). Si vous utilisez un site personnalisé, vous devez ajouter à la fois les URL natives et personnalisées à la liste des URL affiliées (Uniform Resource Locator) de votre fournisseur d'identité (IdP).
    • Par exemple : https://<branding_hostname>/ws/account/saml-login.
  • Il existe deux flux de travail différents liés au protocole SAML.
    • Workflow initié par le fournisseur de services (SP) : vous accédez à NinjaOne pour vous connecter, puis vous êtes redirigé vers le fournisseur d'identité.
    • Workflow initié par le fournisseur d'identité (IdP) : vous accédez à votre fournisseur d'identité pour vous connecter, puis vous êtes redirigé vers NinjaOne pour vous connecter.

Configurer l'authentification multifactorielle (MFA) sans connexion

L'exemple suivant est configuré via Okta.

  1. Accédez à Administration → Comptes → Fournisseurs d'identité.
  2. Cliquez sur + Ajouter un fournisseur
accounts_idp_add provider.png
Figure 1 : Ajouter un nouveau fournisseur d'identité dans NinjaOne
  1. Ajoutez les métadonnées de votre fournisseur d'identité. Reportez-vous à la section Gestion des identités et des accès NinjaOne : Configurer l'authentification unique pour obtenir des instructions.
  2. Cliquez sur Tester la connexion.
  3. La plateforme de connexion de votre IdP devrait s'ouvrir dans un nouvel onglet. Saisissez vos identifiants et connectez-vous.
  4. Si vous êtes invité à recevoir une notification push, cliquez pour l'envoyer. La boîte de dialogue de configuration de l'authentification unique s'ouvre, indiquant que la connexion a été validée.
  5. Suivez toutes les instructions de l'IdP pour valider l'assertion.

Si vous importez correctement les métadonnées de votre IdP, vous pourrez activer le bouton bascule « Activer le contournement conditionnel de l'authentification multifactorielle (MFA) NinjaOne ». 

  1. Vous pouvez mettre à jour ces informations à tout moment ; pour modifier les paramètres d'un IdP existant, ouvrez les détails de l'IdP depuis la page Fournisseurs d'identité et cliquez sur Modifier.
Figure 2: Modifier les paramètres de l'IdP dans NinjaOne (cliquez pour agrandir)
  1. Sélectionnez le bouton approprié selon que vous souhaitez activer le contournement de l'authentification multifactorielle pour les techniciens ou les utilisateurs finaux.
idp_edit_configure sso.png
Figure 3: Configurer les paramètres SSO
  1. La boîte de dialogue « Configurer la condition de contournement de l'authentification multifactorielle » s'ouvre. Copiez le nom et la valeur de l'attribut d'authentification multifactorielle de votre fournisseur d'identité et collez-les dans le champ « Nom de l'attribut d'authentification multifactorielle SAML » pour contourner l'authentification multifactorielle NinjaOne.
  2. Sélectionnez l'option d'attribut MFA qui répond le mieux aux exigences de l'organisation. Deux options sont disponibles :
    • Contient N'IMPORTE QUELLE valeur d'attribut SAML MFA
    • Contient TOUTES les valeurs d'attribut MFA SAML
mfa_select all or any.png
Figure 4: Sélectionner une option d'attribut MFA
  1. Après avoir sélectionné l'option d'attribut MFA, sélectionnez la valeur dans le menu déroulant. Vous pouvez utiliser une valeur personnalisée en la saisissant dans le champ, puis en appuyant sur la touche Entrée de votre clavier. L'action Valider l'assertion évaluera l'assertion SAML pour vérifier si le nom et la valeur de l'attribut saisis étaient présents.
mfa_custom value.png
Figure 5: Créer une valeur personnalisée pour l'attribut SAML MFA
Cette boîte de dialogue ne s'ouvrira que si l'action Tester la connexion (Étape 4) ne contenait pas l'attribut et la valeur MFA par défaut attendus.
  1. Cliquez sur Valider l'assertion pour tester la connexion, puis cliquez sur Appliquer.
  2. Cliquez sur Enregistrer.

Ressources supplémentaires

Pour en savoir plus sur les services d'identité de NinjaOne, consultez la section Authentification et gestion des identités : Catalogue de ressources.

FAQ

Pour aller plus loin