Sujet
Cet article explique comment configurer le protocole SCIM (System for Cross-domain Identity Management) avec l'application SAML (Security Assertion Markup Language) 2.0 personnalisée d'Okta.
Nous vous recommandons de configurer l'authentification unique (SSO) et SCIM à l'aide de l'application NinjaOne Okta Integration Network, car cela simplifie considérablement le processus de configuration. Utilisez les ressources suivantes pour obtenir des instructions de configuration. Si votre organisation nécessite des configurations d'identité avancées non prises en charge par le modèle OIN, cet article fournit les étapes de configuration SCIM à l'aide de l'application SAML 2.0 personnalisée d'Okta.
- Système de gestion des identités interdomaines (SCIM) avec Okta
- Configuration de NinjaOne SAML dans Okta
Environnement
- Gestion des identités et des accès (IAM) NinjaOne
- Intégrations NinjaOne : Okta
Description
L'intégration d'Okta à NinjaOne via SCIM vous permet de créer, supprimer et provisionner automatiquement des techniciens et des utilisateurs finaux au sein de NinjaOne. Cet article sert de point de départ pour la configuration SCIM avec NinjaOne. La configuration dépend de votre configuration Okta spécifique ; nous vous recommandons donc de consulter la section Ressources supplémentaires pour trouver les processus associés.
Pour plus de détails sur les concepts sous-jacents à la gestion du cycle de vie avec SCIM et Okta, consultez Comprendre SCIM | Okta Developer (lien externe).
Sélectionnez une catégorie pour en savoir plus :
- Prérequis
- Configurer SCIM dans Okta avec une application SAML 2.0 personnalisée
- Configurer le mappage des groupes aux rôles dans NinjaOne
- Ressources supplémentaires
Prérequis
Avant de pouvoir provisionner des comptes utilisateur via SCIM, vous devez créer l'IDP et activer l'authentification unique (SSO). Pour ce faire, consultez la section « Configuration de NinjaOne SAML dans Okta ».
Configurer SCIM dans Okta avec une application SAML 2.0 personnalisée
Pour configurer SCIM avec l'application SAML 2.0 personnalisée d'Okta, procédez comme suit :
- Connectez-vous à votre compte Okta en tant qu'administrateur.
- Dans le volet de navigation, développez le menu déroulant Applications et sélectionnez Applications.
- Sélectionnez l'application NinjaOne.

- Ouvrez l'onglet « Général » et sélectionnez « SCIM » dans la section « Provisioning ».

- Cliquez sur Enregistrer.
- Ouvrez l'onglet Provisioning et sélectionnez Modifier. Cliquez sur Configurer l'intégration API.
- Dans un autre onglet du navigateur, connectez-vous à la console NinjaOne en tant qu'administrateur système.
- Accédez à Administration → Comptes → Fournisseurs d'identité et sélectionnez votre entrée Okta.
- Cliquez sur Modifier dans le widget Système de gestion des identités interdomaines.

- Dans la fenêtre contextuelle Configurer SCIM, cliquez sur le bouton bascule pour activer l'approvisionnement SCIM.
- Cliquez sur Générer un jeton.

- Cliquez sur l'icône en forme de feuille pour copier le jeton secret SCIM ainsi que l'URL du point de terminaison de l'API SCIM. Revenez à la console d'administration Okta.

- Depuis l'écran précédent de la console d'administration Okta (application NinjaOne), collez l'URL du point de terminaison de l'API SCIM de NinjaOne dans le champ URL de base du connecteur SCIM. Cochez la case Activer l'intégration API, puis collez le jeton secret SCIM de NinjaOne.
- Définissez le champ Identifiant unique pour les utilisateurs sur un attribut utilisateur Okta contenant la valeur d’une adresse e-mail. Les attributs courants incluent userName ( nom d’utilisateur Okta) et email ( adresse e-mail principale). Pour plus d’informations, consultez Profils utilisateur | Okta Developer (lien externe).
- Cochez les cases correspondant aux actions de provisionnement prises en charge suivantes :
- Ajouter de nouveaux utilisateurs
- Poussée des mises à jour de profil
- Ajouter des groupes
- Définissez le mode d'authentification sur En-tête HTTP.

- Ouvrez l'onglet Provisioning pour découvrir les nouveaux paramètres disponibles pour la configuration.
- Ouvrez l'onglet Vers l'application et cliquez sur Modifier.
- Cochez les cases correspondant aux options de provisionnement suivantes :
- Créer des utilisateurs
- Mettre à jour les attributs utilisateur
- Désactiver des utilisateurs

- Faites défiler jusqu'à la section Mappages d'attributs et cliquez sur Accéder à l'éditeur de profil.
Si vous comptez affecter des utilisateurs finaux à des organisations spécifiques, sélectionnez « Ajouter un attribut », puis configurez les champs suivants :
Champ d'attribut Valeur Type de données « Chaîne » Nom d'affichage Saisissez un identifiant unique Nom externe « organizationId » Espace de noms externe « urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User » Type d'attribut « Group » (recommandé)

- Si vous avez l'intention de créer des comptes de technicien NinjaOne, vous devez d'abord dissocier et supprimer l'attribut de type Utilisateur par défaut. Reportez-vous aux étapes suivantes pour obtenir des instructions.
Dans l'éditeur de profil, cliquez sur Mappages et définissez l'attribut
userTypesur Ne pas mapper. Répétez cette étape dans les onglets NinjaOne SCIM vers utilisateur Okta et Utilisateur Okta vers NinjaOne SCIM. Enregistrez les mappages une fois l'opération terminée.
Figure 9: Mappages des profils utilisateur pour la configuration SCIM - Recherchez l'attribut « Type d'utilisateur » dans la liste des attributs et supprimez l'entrée. Patientez quelques minutes pour que la modification prenne effet.

- Cliquez sur « Ajouter un attribut », puis utilisez le tableau suivant pour configurer les champs applicables :
| Champ d'attribut | Valeur |
|---|---|
| Type de données | « Chaîne » |
| Nom d'affichage | Saisissez un identifiant unique |
| Nom externe | « userType » |
| Espace de noms externe | « urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User » |
| Type d'attribut | « Group » (recommandé) |
- Revenez à la section Provisioning de l'application SCIM NinjaOne. Dans la section To App , supprimez tous les mappages de la section Attribute Mappings , à l'exception des suivants :
| Attribut | Valeur |
|---|---|
| userName | Okta définit automatiquement ce champ |
| givenName | « user.firstname » |
| nom | « user.lastName » |
| organiztionId (facultatif) | Sélectionnez n'importe quelle valeur |
| type d'utilisateur | Sélectionnez n'importe quelle valeur |
Créer des comptes de technicien NinjaOne
Lors de la création de comptes de technicien, vous devez attribuer une valeur unique à l'attribut userType . Si vous ne le faites pas, un compte d'utilisateur final sera créé.
L'attribut userType accepte deux valeurs :
- Définissez l'attribut sur « technician » pour créer un compte de technicien.
- Définissez l'attribut sur « endUser » (sensible à la casse) pour créer un compte d'utilisateur final.
Pour mapper l'attribut userType , procédez comme suit :
- Cliquez sur l'icône en forme de crayon pour modifier les champs.
- Reportez-vous au tableau suivant pour vous aider à configurer une valeur d'attribut qui répond aux besoins de votre organisation :
| Valeur d'attribut | Définition ou objectif |
|---|---|
| Même valeur pour tous les utilisateurs | Attribuez à l'application NinjaOne Okta tous les utilisateurs de même type. |
| Mappage à partir du profil Okta | Créer un compte d'utilisateur final ou de technicien en fonction de la valeur de l'attribut de profil sélectionné. |
| Expression | Créez un utilisateur final ou un technicien en fonction du résultat de votre expression Okta personnalisée. Pour plus d'informations, consultez le guide de présentation du langage d'expression Okta | Okta Developer (lien externe). |

- Sélectionnez Créer et mettre à jour pour le champ Appliquer à .
- Nous vous recommandons d'insérer plusieurs utilisateurs de test dans le champ Aperçu pour vérifier que votre mappage d'attributs produit le résultat souhaité.
- Cliquez sur Enregistrer.
Attribuer des utilisateurs finaux à une organisation NinjaOne
Si vous affectez des comptes d'utilisateurs finaux à une organisation NinjaOne spécifique ou à plusieurs organisations NinjaOne, vous devez attribuer une valeur à l'attribut organizationID. Les comptes ne comportant pas de valeur d'attribut acceptée seront automatiquement créés en tant qu'utilisateurs finaux globaux.
L'attribut organizationID a deux valeurs acceptées :
- Définissez l'attribut sur « all » pour créer un utilisateur final global.
- Définissez l'attribut sur « <votre ID d'organisation> » pour affecter un utilisateur à l'organisation NinjaOne correspondante.
Si vous avez besoin d'aide pour trouver l'ID d'organisation dans NinjaOne, consultez la section Plateforme NinjaOne : Comment trouver un ID d'organisation.
Pour mapper l'attribut d'organisation, procédez comme suit :
- Cliquez sur l'icône en forme de crayon pour modifier les champs.
- Reportez-vous au tableau suivant pour vous guider dans la configuration d'une valeur d'attribut qui répond aux besoins de votre organisation :
| Valeur de l'attribut | Définition ou objectif |
|---|---|
| Même valeur pour tous les utilisateurs | Attribuez à l'application NinjaOne Okta tous les utilisateurs de même type. |
| Mappage à partir du profil Okta | Créer un compte d'utilisateur final ou de technicien en fonction de la valeur de l'attribut de profil sélectionné. |
| Expression | Créez un utilisateur final ou un technicien en fonction du résultat de votre expression Okta personnalisée. Pour plus d'informations, consultez le guide de présentation du langage d'expression Okta | Okta Developer (lien externe). |
- Sélectionnez Créer et mettre à jour pour le champ Appliquer à .
- Nous vous recommandons d'insérer plusieurs utilisateurs de test dans le champ Aperçu pour vérifier que votre mappage d'attributs produit le résultat souhaité.
- Cliquez sur Enregistrer.

Attribuer des utilisateurs pour le provisionnement SCIM
Pour attribuer des utilisateurs pour le provisionnement SCIM, procédez comme suit :
- Revenez à la page de configuration de l'application NinjaOne dans Okta et ouvrez l'onglet « Assignations ».
- Cliquez sur Attribuer et sélectionnez l'option qui correspond à vos besoins. Lors de l'attribution, vous aurez la possibilité de remplacer vos mappages d'attributs et de définir le type d'utilisateur et l'ID d'organisation. Si vous attribuez un groupe, cette modification s'appliquera à tous les membres du groupe.
Le processus de provisionnement SCIM va démarrer.

Configurer le mappage des groupes aux rôles dans NinjaOne
Vous pouvez également utiliser le mappage de groupes dans Okta pour affecter automatiquement les membres des groupes Okta à des rôles dans NinjaOne. Pour ce faire, procédez comme suit.
- Dans Okta, ouvrez l'onglet Push Groups (Pousser des groupes) dans l'application Ninja SSO et SCIM . Cliquez sur Push Groups (Pousser des groupes) pour définir les groupes cibles.
- Définissez l'action sur « Créer un groupe » et enregistrez. Cette action peut prendre jusqu'à une heure.

- Connectez-vous à NinjaOne en tant qu'administrateur système.
- Accédez à Administration → Comptes → Fournisseur d'identité.
- Sélectionnez l'IDP Okta OIN.
- À côté de Mappage des groupes, cliquez sur Modifier.
- Sélectionnez les rôles dans le menu déroulant à associer aux groupes que vous avez synchronisés avec Okta, le cas échéant. Le menu comprendra à la fois des rôles d'utilisateur final et des rôles de technicien. Le type d'utilisateur attribué à l'utilisateur dans Okta détermine les rôles à attribuer à chaque utilisateur. Si vous devez créer de nouveaux rôles, consultez la section Rôles et autorisations des utilisateurs pour obtenir des instructions.
Ressources supplémentaires
Consultez les ressources suivantes pour en savoir plus sur les options SCIM et SAML avec NinjaOne et Okta :