Vous êtes déjà client NinjaOne ? Connectez-vous pour consulter d'autres guides et les dernières nouvelles.

Configurer NinjaOne SCIM avec l’application SAML 2.0 personnalisée Okta

Sujet

Cet article explique comment configurer le protocole SCIM (System for Cross-domain Identity Management) avec l'application SAML (Security Assertion Markup Language) 2.0 personnalisée d'Okta. 

Nous vous recommandons de configurer l'authentification unique (SSO) et SCIM à l'aide de l'application NinjaOne Okta Integration Network, car cela simplifie considérablement le processus de configuration. Utilisez les ressources suivantes pour obtenir des instructions de configuration. Si votre organisation nécessite des configurations d'identité avancées non prises en charge par le modèle OIN, cet article fournit les étapes de configuration SCIM à l'aide de l'application SAML 2.0 personnalisée d'Okta.

Environnement

  • Gestion des identités et des accès (IAM) NinjaOne
  • Intégrations NinjaOne : Okta

Description

L'intégration d'Okta à NinjaOne via SCIM vous permet de créer, supprimer et provisionner automatiquement des techniciens et des utilisateurs finaux au sein de NinjaOne. Cet article sert de point de départ pour la configuration SCIM avec NinjaOne. La configuration dépend de votre configuration Okta spécifique ; nous vous recommandons donc de consulter la section Ressources supplémentaires pour trouver les processus associés.

Pour plus de détails sur les concepts sous-jacents à la gestion du cycle de vie avec SCIM et Okta, consultez Comprendre SCIM | Okta Developer (lien externe).

Le SSO et SCIM de NinjaOne ne prennent pas en charge les fonctionnalités « Importer des utilisateurs » et « Importer les mises à jour de profil » d'Okta.

Sélectionnez une catégorie pour en savoir plus : 

Prérequis

Avant de pouvoir provisionner des comptes utilisateur via SCIM, vous devez créer l'IDP et activer l'authentification unique (SSO). Pour ce faire, consultez la section « Configuration de NinjaOne SAML dans Okta ».

Configurer SCIM dans Okta avec une application SAML 2.0 personnalisée

Pour configurer SCIM avec l'application SAML 2.0 personnalisée d'Okta, procédez comme suit :

  1. Connectez-vous à votre compte Okta en tant qu'administrateur.
  2. Dans le volet de navigation, développez le menu déroulant Applications et sélectionnez Applications.
  3. Sélectionnez l'application NinjaOne.
okta_admin_apps_ninjaone.png
Figure 1: Ouvrez l'application NinjaOne dans la console d'administration Okta
  1. Ouvrez l'onglet « Général » et sélectionnez « SCIM » dans la section « Provisioning ». 
okta_app_general_scim provisioning.png
Figure 2: Activer l'approvisionnement SCIM pour l'application
  1. Cliquez sur Enregistrer.
  2. Ouvrez l'onglet Provisioning et sélectionnez Modifier. Cliquez sur Configurer l'intégration API.
  3. Dans un autre onglet du navigateur, connectez-vous à la console NinjaOne en tant qu'administrateur système. 
  4. Accédez à AdministrationComptesFournisseurs d'identité et sélectionnez votre entrée Okta. 
  5. Cliquez sur Modifier dans le widget Système de gestion des identités interdomaines
IDP_edit SCIM.png
Figure 3: Modifier les paramètres SCIM de votre FID Okta dans NinjaOne
  1. Dans la fenêtre contextuelle Configurer SCIM, cliquez sur le bouton bascule pour activer l'approvisionnement SCIM. 
  2. Cliquez sur Générer un jeton.
IDP_enable SCIM and generate token.png
Figure 4: Activez les paramètres SCIM pour votre IDP Okta et générez un jeton
  1. Cliquez sur l'icône en forme de feuille pour copier le jeton secret SCIM ainsi que l'URL du point de terminaison de l'API SCIM. Revenez à la console d'administration Okta. 
Conservez ces données dans un endroit sûr ; elles ne s'afficheront qu'une seule fois. Le jeton secret SCIM expire six mois après sa génération. Si vous perdez le jeton ou s'il expire, vous devez en générer un nouveau. 
copy secret token_scim.png
Figure 5: Copier le jeton secret SCIM
  1. Depuis l'écran précédent de la console d'administration Okta (application NinjaOne), collez l'URL du point de terminaison de l'API SCIM de NinjaOne dans le champ URL de base du connecteur SCIM. Cochez la case Activer l'intégration API, puis collez le jeton secret SCIM de NinjaOne. 
  2. Définissez le champ Identifiant unique pour les utilisateurs sur un attribut utilisateur Okta contenant la valeur d’une adresse e-mail. Les attributs courants incluent userName ( nom d’utilisateur Okta) et email ( adresse e-mail principale). Pour plus d’informations, consultez Profils utilisateur | Okta Developer (lien externe). 
  3. Cochez les cases correspondant aux actions de provisionnement prises en charge suivantes : 
    • Ajouter de nouveaux utilisateurs
    • Poussée des mises à jour de profil
    • Ajouter des groupes
  4. Définissez le mode d'authentification sur En-tête HTTP.
okta_SCIM connector and provisioning.png
Figure 6: Connecter et provisionner SCIM dans Okta
  1. Ouvrez l'onglet Provisioning pour découvrir les nouveaux paramètres disponibles pour la configuration. 
  2. Ouvrez l'onglet Vers l'application et cliquez sur Modifier
  3. Cochez les cases correspondant aux options de provisionnement suivantes : 
    • Créer des utilisateurs
    • Mettre à jour les attributs utilisateur
    • Désactiver des utilisateurs
okta_to app_enable.png
Figure 7: Activer le provisionnement depuis Okta vers NinjaOne
  1. Faites défiler jusqu'à la section Mappages d'attributs et cliquez sur Accéder à l'éditeur de profil.
  2. Si vous comptez affecter des utilisateurs finaux à des organisations spécifiques, sélectionnez « Ajouter un attribut », puis configurez les champs suivants :

    Champ d'attributValeur
    Type de données« Chaîne »
    Nom d'affichageSaisissez un identifiant unique
    Nom externe« organizationId »
    Espace de noms externe« urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User »
    Type d'attribut« Group » (recommandé)
okta_add attribute.png
Figure 8: Ajouter des attributs pour la configuration SCIM de NinjaOne
  1. Si vous avez l'intention de créer des comptes de technicien NinjaOne, vous devez d'abord dissocier et supprimer l'attribut de type Utilisateur par défaut. Reportez-vous aux étapes suivantes pour obtenir des instructions. 
    1. Dans l'éditeur de profil, cliquez sur Mappages et définissez l'attribut userType sur Ne pas mapper. Répétez cette étape dans les onglets NinjaOne SCIM vers utilisateur Okta et Utilisateur Okta vers NinjaOne SCIM. Enregistrez les mappages une fois l'opération terminée. 

      okta_scim setup user profile mappings.png
      Figure 9: Mappages des profils utilisateur pour la configuration SCIM
    2. Recherchez l'attribut « Type d'utilisateur » dans la liste des attributs et supprimez l'entrée. Patientez quelques minutes pour que la modification prenne effet. 
okta_user type_delete.png
Figure 10: Suppression de l'attribut « Type d'utilisateur »
  1. Cliquez sur « Ajouter un attribut », puis utilisez le tableau suivant pour configurer les champs applicables : 
Champ d'attributValeur
Type de données« Chaîne »
Nom d'affichageSaisissez un identifiant unique
Nom externe« userType »
Espace de noms externe« urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User »
Type d'attribut« Group » (recommandé)
  1. Revenez à la section Provisioning de l'application SCIM NinjaOne. Dans la section To App , supprimez tous les mappages de la section Attribute Mappings , à l'exception des suivants : 
AttributValeur
userNameOkta définit automatiquement ce champ
givenName« user.firstname »
nom« user.lastName »
organiztionId (facultatif)Sélectionnez n'importe quelle valeur
type d'utilisateurSélectionnez n'importe quelle valeur

Créer des comptes de technicien NinjaOne

Lors de la création de comptes de technicien, vous devez attribuer une valeur unique à l'attribut userType . Si vous ne le faites pas, un compte d'utilisateur final sera créé. 

L'attribut userType accepte deux valeurs : 

  • Définissez l'attribut sur « technician » pour créer un compte de technicien. 
  • Définissez l'attribut sur « endUser » (sensible à la casse) pour créer un compte d'utilisateur final.

Pour mapper l'attribut userType , procédez comme suit : 

  1. Cliquez sur l'icône en forme de crayon pour modifier les champs. 
  2. Reportez-vous au tableau suivant pour vous aider à configurer une valeur d'attribut qui répond aux besoins de votre organisation : 
Valeur d'attributDéfinition ou objectif
Même valeur pour tous les utilisateursAttribuez à l'application NinjaOne Okta tous les utilisateurs de même type.
Mappage à partir du profil OktaCréer un compte d'utilisateur final ou de technicien en fonction de la valeur de l'attribut de profil sélectionné. 
ExpressionCréez un utilisateur final ou un technicien en fonction du résultat de votre expression Okta personnalisée. Pour plus d'informations, consultez le guide de présentation du langage d'expression Okta | Okta Developer (lien externe).
okta SCIM_attribute value.png
Figure 11: Sélectionner une valeur d'attribut dans Okta
  1. Sélectionnez Créer et mettre à jour pour le champ Appliquer à
  2. Nous vous recommandons d'insérer plusieurs utilisateurs de test dans le champ Aperçu pour vérifier que votre mappage d'attributs produit le résultat souhaité. 
  3. Cliquez sur Enregistrer

Attribuer des utilisateurs finaux à une organisation NinjaOne

Si vous affectez des comptes d'utilisateurs finaux à une organisation NinjaOne spécifique ou à plusieurs organisations NinjaOne, vous devez attribuer une valeur à l'attribut organizationID. Les comptes ne comportant pas de valeur d'attribut acceptée seront automatiquement créés en tant qu'utilisateurs finaux globaux. 

L'attribut organizationID a deux valeurs acceptées : 

  • Définissez l'attribut sur « all » pour créer un utilisateur final global.
  • Définissez l'attribut sur « <votre ID d'organisation> » pour affecter un utilisateur à l'organisation NinjaOne correspondante. 

Si vous avez besoin d'aide pour trouver l'ID d'organisation dans NinjaOne, consultez la section Plateforme NinjaOne : Comment trouver un ID d'organisation.

Pour mapper l'attribut d'organisation, procédez comme suit : 

  1. Cliquez sur l'icône en forme de crayon pour modifier les champs. 
  2. Reportez-vous au tableau suivant pour vous guider dans la configuration d'une valeur d'attribut qui répond aux besoins de votre organisation : 
Valeur de l'attributDéfinition ou objectif
Même valeur pour tous les utilisateursAttribuez à l'application NinjaOne Okta tous les utilisateurs de même type.
Mappage à partir du profil OktaCréer un compte d'utilisateur final ou de technicien en fonction de la valeur de l'attribut de profil sélectionné. 
ExpressionCréez un utilisateur final ou un technicien en fonction du résultat de votre expression Okta personnalisée. Pour plus d'informations, consultez le guide de présentation du langage d'expression Okta | Okta Developer (lien externe).
  1. Sélectionnez Créer et mettre à jour pour le champ Appliquer à
  2. Nous vous recommandons d'insérer plusieurs utilisateurs de test dans le champ Aperçu pour vérifier que votre mappage d'attributs produit le résultat souhaité. 
  3. Cliquez sur Enregistrer
okta_attributes and values.png
Figure 12: Appliquer les valeurs de mappage dans Okta

Attribuer des utilisateurs pour le provisionnement SCIM

Pour attribuer des utilisateurs pour le provisionnement SCIM, procédez comme suit : 

  1. Revenez à la page de configuration de l'application NinjaOne dans Okta et ouvrez l'onglet « Assignations ».
  2. Cliquez sur Attribuer et sélectionnez l'option qui correspond à vos besoins. Lors de l'attribution, vous aurez la possibilité de remplacer vos mappages d'attributs et de définir le type d'utilisateur et l'ID d'organisation. Si vous attribuez un groupe, cette modification s'appliquera à tous les membres du groupe.

Le processus de provisionnement SCIM va démarrer. 

okta_sso and scim_assignments_assign2.png
Figure 13: Attribuer le provisionnement SCIM à des personnes ou à des groupes

Configurer le mappage des groupes aux rôles dans NinjaOne

Vous pouvez également utiliser le mappage de groupes dans Okta pour affecter automatiquement les membres des groupes Okta à des rôles dans NinjaOne. Pour ce faire, procédez comme suit. 

  1. Dans Okta, ouvrez l'onglet Push Groups (Pousser des groupes) dans l'application Ninja SSO et SCIM . Cliquez sur Push Groups (Pousser des groupes) pour définir les groupes cibles. 
  2. Définissez l'action sur « Créer un groupe » et enregistrez. Cette action peut prendre jusqu'à une heure.
okta_push groups.png
Figure 14: Push groups pour attribuer des rôles NinjaOne
  1. Connectez-vous à NinjaOne en tant qu'administrateur système. 
  2. Accédez à Administration → Comptes → Fournisseur d'identité.
  3. Sélectionnez l'IDP Okta OIN.
  4. À côté de Mappage des groupes, cliquez sur Modifier.
  5. Sélectionnez les rôles dans le menu déroulant à associer aux groupes que vous avez synchronisés avec Okta, le cas échéant. Le menu comprendra à la fois des rôles d'utilisateur final et des rôles de technicien. Le type d'utilisateur attribué à l'utilisateur dans Okta détermine les rôles à attribuer à chaque utilisateur. Si vous devez créer de nouveaux rôles, consultez la section Rôles et autorisations des utilisateurs pour obtenir des instructions. 

Ressources supplémentaires

Consultez les ressources suivantes pour en savoir plus sur les options SCIM et SAML avec NinjaOne et Okta : 

FAQ

Pour aller plus loin