Vous êtes déjà client NinjaOne ? Connectez-vous pour consulter d'autres guides et les dernières nouvelles.

Configurer le SAML de NinjaOne dans Okta

  • Dernière mise à jour décembre 17, 2025

Contenu

Cet article décrit comment intégrer l'application Okta à NinjaOne en utilisant le langage SAML (Security Assertion Markup Language).

Environnement

  • Intégrations NinjaOne
  • Okta

Description

SAML permet aux techniciens d'accéder à l'application NinjaOne en utilisant une connexion unique (SSO) avec leur fournisseur préféré. SAML peut être utilisé avec l'application web standard et l'application web de marque NinjaOne, qui prend en charge plusieurs IDP (fournisseurs d'identité). Pour plus d'informations sur l'utilisation de SAML avec NinjaOne, consultez NinjaOne Identity Authentication Management : A propos du langage SAML (Security Assertion Markup Language) initié par l'IDP.

Indexer

Intégration SAML de NinjaOne

Prérequis

S'assurer que pour chaque utilisateur SSO dans NinjaOne, il y a un email dans Okta qui correspond.

NinjaOne ne prend pas en charge les fonctionnalités d'importation d'utilisateurs et de mise à jour de profils d'Okta via NinjaOne SSO ou SCIM.
  • Si vous utilisez une URL de marque, assurez-vous que les noms d'hôtes de marque et natifs sont spécifiés dans la configuration de l'intégration Okta. Cela permettra de s'assurer que les deux sont définis en tant qu'URL du service de consommateurs d'assertions (ACS).
  • Si vous prévoyez d'utiliser l'option de contournement de l'authentification multi-facteurs (MFA) de NinjaOne :
    • Configurez vos politiques d'authentification dans Okta pour effectuer le MFA lors de la connexion à Okta.
    • Vous devrez configurer une propriété dans votre application Okta qui fait référence à "session.amr" en suivant ces instructions. Par défaut, NinjaOne recherche un attribut SAML nommé "amr" qui doit contenir la valeur "mfa" lorsque l'utilisateur effectue le MFA pour la session. NinjaOne ajoute cet attribut par défaut à l'application, qui se trouve dans le catalogue du réseau d'intégration Okta (OIN).
    • Le contournement de l'authentification multifactorielle ne se produira que pour les comptes qui ont accédé à Okta avec l'authentification multifactorielle. Si Okta ne renvoie pas l'attribut "mfa" de l'Authentication Methods Reference (AMR), NinjaOne ne contournera pas le MFA natif de NinjaOne. Vérifiez votre politique d'authentification dans Okta pour confirmer que le MFA est requis pour accéder au moins à NinjaOne en accédant aux politiques d'ouverture de session d'App Identity Engine(externe). Okta Verify ne renvoie pas une valeur AMR de "mfa" et nécessite une méthode MFA pour contourner le MFA de NinjaOne. 
  • Si vous avez une configuration SSO NinjaOne existante avec Okta et que vous souhaitez ajouter la fonctionnalité SSO initiée par IDP, vous devrez supprimer et recréer l'application Identity Provider dans NinjaOne et Okta.

Caractéristiques prises en charge

Pour plus d'informations sur les fonctionnalités énumérées, consultez le glossaire Okta. 

  • SSO initié par le SP
  • SSO à l'initiative de l'IDP 

Configurer le SSO dans NinjaOne

Reportez-vous à Login Security : Configurer le Single Sign-On dans NinjaOne pour configurer le SSO pour votre IDP dans NinjaOne. 

  • Dans le champ Quels domaines de messagerie s'authentifieront avec cette intégration, ajoutez les domaines de messagerie des utilisateurs qui s'authentifieront avec ce fournisseur d'identité. Si vous laissez ce champ vide, tout utilisateur dont le domaine n'est pas spécifié dans un autre IDP sera dirigé par défaut vers ce fournisseur d'identité.
  • Dans un autre onglet du navigateur, accédez à la console d'administration Okta pour poursuivre la configuration. Laissez la fenêtre modale Configure SSO ouverte dans NinjaOne.

Créer une intégration SAML NinjaOne dans Okta via le modèle du réseau d'intégration Okta (OIN)

Dans la console d'administration Okta, vous pouvez ajouter l'intégration SAML NinjaOne en effectuant les étapes suivantes :

  1. Naviguer vers Applications Parcourir le catalogue d'applications. Recherchez "NinjaOne" et cliquez sur l'application NinjaOne, puis sélectionnez Ajouter une intégration.
  2. Définissez le nom d'affichage sur le nom que vous souhaitez afficher aux utilisateurs.
  3. Retournez dans NinjaOne et ouvrez la configuration IDP. Copiez l' identifiant unique et collez-le dans le champ SP Unique Identifier dans Okta.
configure sso_unique identifier.png
Image 1 : NinjaOne Configure SSO → Identifiant unique
  1. Définissez le nom d'hôte principal de NinjaOne sur votre site de marque ou non (par exemple, "mycompany.rmmservice.com" ou "app.ninjarmm.com"). Il s'agit de l'URL par défaut utilisée pour les connexions initiées par l'IdP.
okta sp uid et hostname.png
Image 2 : Modèle de réseau d'intégration Okta
  1. En option, ajoutez la valeur inutilisée du site de marque ou sans marque au nom d'hôte secondaire de NinjaOne en tant qu'URL de site alternatif. Le nom d'hôte secondaire est nécessaire si vous avez l'intention de vous connecter à la console NinjaOne via un flux de travail initié par SP avec votre URL secondaire. Si l'URL sans marque est votre URL secondaire, nous vous recommandons de l'ajouter, car les fournisseurs d'identité utilisent parfois l'URL par défaut comme intermédiaire au cours du processus de connexion.
  2. Définissez la visibilité de l' application pour qu'elle soit affichée comme disponible pour les utilisateurs ou non, en fonction des besoins de votre organisation.
  3. Cliquez sur Terminé pour créer l'application SAML.
  4. Restez dans la console Okta Admin et naviguez jusqu'à l'onglet Assignments de l'application SAML nouvellement créée.
  5. Utilisez le menu déroulant Affecter pour ajouter des utilisateurs ou des groupes cibles pour l'application.
Assurez-vous que le compte NinjaOne utilisé pour provisionner l'application SAML NinjaOne est affecté à l'application dans Okta. Cet utilisateur doit avoir un compte NinjaOne avec une adresse e-mail correspondante.
  1. Naviguez jusqu'à l'onglet Sign On et copiez l' URL des métadonnées.

Compléter la configuration SSO dans NinjaOne

Retournez à la fenêtre modale Configure SSO dans NinjaOne pour terminer la configuration du SSO.

Lors de la mise en place du SSO avec l'application OIN, le système ajoute par défaut l'attribut "amr". Il n'est pas nécessaire d'ajouter cette valeur et vous pouvez enregistrer avec toutes les valeurs par défaut.
  1. Dans NinjaOne, collez l' URL des métadonnées que vous avez copiée depuis Okta dans le formulaire Importer des métadonnées depuis en utilisant le type de soumission URL par défaut.
  2. Activez les interrupteurs à bascule d' activation en fonction des besoins de votre organisation.
configurer les métadonnées sso_import et activer les toggles.png
Image 3 : NinjaOne Configure SSO → terminer le processus de configuration
  1. Cliquez sur Tester la connexion pour terminer le processus d'authentification final requis pour la configuration.

Une fois la réponse SAML validée avec succès, vous verrez apparaître un message confirmant que "Votre connexion a été validée"

  1. Cliquez sur Enregistrer lorsque vous avez terminé.

Configurer NinjaOne SAML avec une application SAML 2.0 personnalisée

Si les fonctionnalités incluses dans le modèle NinjaOne OIN ne répondent pas aux exigences de configuration avancée de la configuration d'identité de votre organisation, vous pouvez configurer NinjaOne SAML avec une application SAML 2.0 personnalisée.

Ces instructions remplacent les étapes 1 à 7 de la section précédente intitulée Créer une intégration SAML NinjaOne dans Okta à l'aide du modèle OIN (Okta Integration Network).
  1. Dans la console Okta Admin, naviguez vers ApplicationsCréer une intégration d'application SAML 2.0.
  2. Saisissez un identifiant unique pour le nom de l'application que vous souhaitez afficher aux utilisateurs.
  3. Configurez les paramètres Visibilité de l'application et Logo de l'application en fonction des besoins de votre organisation et cliquez sur Suivant.
  4. Dans NinjaOne, copiez l' URL de la réponse et collez-la dans le champ URL de l'authentification unique dans Okta. Si vous avez l'intention d'utiliser le SSO initié par l'IdP, cette URL sera utilisée pour faire naviguer les utilisateurs vers le site de marque ou le site sans marque.
  5. Dans NinjaOne, copiez l' identifiant de la personne physique (ID de l'entité) et collez-le dans le champ URI de l'audience (ID de l'entité de la personne physique) dans Okta
  6. Laisser Default RelayState vide et conserver le format Name ID comme "Unspecified"
  7. Le champ Nom d'utilisateur de l'application pour le nom d'utilisateur Okta peut généralement rester comme entrée par défaut. Cependant, vous devez définir cet attribut sur "Email" si le nom d'utilisateur Okta n'est pas une adresse email. Cette valeur doit correspondre à l'adresse e-mail dans NinjaOne.
  8. Ne modifiez pas le nom d'utilisateur de l'application Update.
  9. Optionnellement, si vous souhaitez contourner le MFA natif de NinjaOne lors de la connexion : Dans la section Attribute Statements, créez un attribut avec le nom "amr" et la valeur "session.amr" Pour plus d'informations, consultez le matériel de contournement de l'AMF inclus dans la section Prérequis plus haut dans cet article.
  10. Effectuez les étapes suivantes pour configurer l' URL de réponse native (exemple : "https://app.ninjarmm.com"), qui peut être utilisée pour le SSO initié par le SP et le MFA natif :
    1. Copiez l' identifiant SP (entity ID) à partir de la fenêtre modale Configure SSO dans NinjaOne.
    2. Cliquez sur Afficher les paramètres avancés dans Okta.  
    3. Collez l' identifiant SP (entity ID) dans le champ Other Requestable SSO URLs.
    4. Régler la valeur de l'index sur "1"
okta_autre demande sso urls.png
Image 4 : Okta Custom SAML 2.0 app → Paramètres avancés
  1. Cliquez sur Suivant.
  2. Laissez les entrées de la page Feedback en blanc et cliquez sur Terminer.
  3. Effectuez les étapes 8 à 10 de la section Créer une intégration SAML NinjaOne dans Okta à l'aide du modèle OIN (Okta Integration Network). Les étapes en question sont les suivantes :
    1. Restez dans la console Okta Admin et naviguez jusqu'à l'onglet Assignments de l'application SAML nouvellement créée.
    2. Utilisez le menu déroulant Affecter pour ajouter des utilisateurs ou des groupes cibles pour l'application.
    3. Naviguez jusqu'à l'onglet Sign On et copiez l' URL des métadonnées.
  4. Complétez toutes les étapes de la section Compléter la configuration SSO dans NinjaOne pour terminer le processus de configuration. 

Tester les connexions initiées par le SP et par l'IDP

Nous recommandons de tester les flux de connexion initiés par le SP et par l'IdP avec un compte de test avant de changer les types d'authentification de tous les utilisateurs NinjaOne cibles de Native à Single Sign-on. Cela permettra d'éviter d'éventuels problèmes d'accès au compte NinjaOne. 

Pendant les tests, vous devez rester connecté à votre compte de test ou à un autre compte d'administrateur système dans un onglet de navigateur standard. Cela vous permettra de modifier votre type d'AMF en cas de problèmes de configuration.
  1. Connectez-vous à NinjaOne avec un compte d'administrateur système que vous pouvez utiliser pour les tests et qui a accès à l'application du fournisseur d'identité Okta.
  2. Dans NinjaOne, cliquez sur l'icône de votre avatar dans le coin supérieur droit de la console et cliquez sur votre nom pour ouvrir vos paramètres d'utilisateur.
  3. Naviguez jusqu'à l'onglet Sécurité et sélectionnez Signature unique dans le menu déroulant Type d'authentification . Enregistrer les modifications.
account_security_authentication type.png
Image 5 : Sélectionnez le type d'authentification pour votre compte NinjaOne

Pour tester le SSO initié par la PS

  1. Dans un onglet de navigateur privé ou incognito, naviguez vers le site NinjaOne, qu'il soit de marque ou non. L'URL du site dépend des paramètres de configuration des noms d'hôte primaire et secondaire dans Okta.
  2. Entrez votre nom d'utilisateur pour NinjaOne. Le champ du mot de passe devrait disparaître ; cliquez sur Se connecter avec Okta. 
se connecter avec okta.png
Image 6 : Se connecter à NinjaOne en utilisant Okta

Vous serez dirigé vers Okta pour saisir vos informations d'identification, puis redirigé vers NinjaOne une fois l'authentification réussie. 

Ceci confirme le flux SSO initié par le SP. Si le contournement MFA est activé et que vous avez complété le MFA via Okta, vous ne serez pas invité à utiliser le MFA natif de NinjaOne. 

Pour tester le SSO initié par l'IdP

  1. Dans un onglet de navigateur privé ou incognito, accédez à votre tableau de bord d'utilisateur final Okta.
  2. Cliquez sur l'icône de l'application NinjaOne située dans la section Mes applications. Cela devrait vous rediriger vers le tableau de bord NinjaOne et confirmer le flux SSO initié par l'IdP. 

Si le contournement MFA est activé et que vous avez complété le MFA via Okta, vous ne serez pas invité à utiliser le MFA natif de NinjaOne. 

Configurer le SSO pour les utilisateurs existants

Vous pouvez configurer Okta SSO pour les utilisateurs existants de NinjaOne à partir de la console NinjaOne. 

  1. Co to Administration Comptes Tous les utilisateurs.
  2. Sélectionnez les techniciens ou les utilisateurs finaux que vous souhaitez configurer pour le SSO.
  3. Cliquez sur Actions et sélectionnez Modifier l'authentification.
  4. Définissez le type d'authentification sur Single Sign-On (SSO) et cliquez sur Update pour enregistrer les modifications.

Le type d'authentification peut également être mis à jour pour chaque utilisateur dans la section Sécurité de la page de configuration du compte.

users_change authentication.png
Image 7 : Comptes d'utilisateurs NinjaOne → Modifier l'authentification

Ressources supplémentaires

Pour en savoir plus sur les services d'identité de NinjaOne, consultez le site Identity Authentication and Management : Catalogue de ressources.

Pour en savoir plus sur l'activation du SCIM pour Okta, reportez-vous à la section Configuration du SCIM NinjaOne dans Okta.

FAQ

Pour aller plus loin