Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

Bypass MFA NinjaOne: Domande frequenti

Argomento

Questo articolo spiega come abilitare il bypass condizionale per l'autenticazione a più fattori (MFA) di NinjaOne.

Ambiente

Piattaforma NinjaOne

Descrizione

Abilitare il bypass condizionale dell'autenticazione MFA di NinjaOne per garantire che venga eseguita una sola volta durante un accesso SSO, presso l'Identity Provider o presso NinjaOne, ma non in entrambi. Ciò garantisce comunque un elevato livello di sicurezza con l'ulteriore vantaggio in termini di usabilità di richiedere una sola autenticazione MFA.

Indice

Seleziona una categoria per saperne di più: 

Domande frequenti

Qual è il flusso di lavoro MFA?

La figura seguente mostra l'MFA utilizzato solo come Identity Provider (IdP):

Picture1.png
Figura 1: Flusso di lavoro MFA per gli IdP

La figura seguente mostra come NinjaOne utilizza l'autenticazione a più fattori (MFA):

Picture2.png
Figura 2: Flusso di lavoro MFA per NinjaOne

In che modo NinjaOne utilizza l'MFA?

Alcuni IdP, tra cui Okta e Azure, aggiungono un attributo SAML alla risposta di accesso dell'utente che indica se l'MFA è stato eseguito durante la sessione di accesso. Cerchiamo questo attributo una volta ricevuta la risposta SAML per determinare se saltare l'MFA di NinjaOne in base a questa condizione. 

La risposta SAML è un documento firmato crittograficamente che stabilisce un rapporto di fiducia tra NinjaOne e l'IdP. Non può essere modificata tra l'IdP e NinjaOne senza essere rilevata. Se non troviamo questo specifico attributo MFA nella risposta SAML, non salteremo l'autenticazione MFA di NinjaOne per l'accesso dell'utente.

Quali provider di identità supporta NinjaOne?

Attualmente, solo Azure e Okta sono IdP supportati per questa funzionalità. Supporteremo altri IdP una volta stabilito che consentono un attributo MFA basato sulla sessione come descritto sopra.

Quali attributi cerca NinjaOne?

NinjaOne cercherà i seguenti attributi nella risposta SAML per Okta e Azure. Se trovati, NinjaOne bypasserà l'MFA per quella richiesta. Se non trovati, NinjaOne eseguirà l'MFA per la richiesta di accesso.

Attributi Okta:

<saml2:Attribute Name=“amr” NameFormat=“urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified”>
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">swk</saml2:AttributeValue>
<saml2:AttributeValue xmlns:xs=“http://www.w3.org/2001/XMLSchema” xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>mfa</saml2:AttributeValue>
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">pwd</saml2:AttributeValue>
</saml2:Attribute>

Attributi Azure:

<Attribute Name="http://schemas.microsoft.com/claims/authnmethodsreferences">
<AttributeValue>http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password</AttributeValue>
<AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</AttributeValue>
</Attribute>
Per Okta, è necessario configurare l'attributo nell'elenco Attributi dell'applicazione Okta. Si consiglia di denominare l'attributo amr, poiché questo è il nome dell'attributo che cerchiamo per impostazione predefinita. Affinché il bypass condizionale sia efficace, nell'elenco deve essere presente un valore di attributo mfa . Per ulteriori informazioni, consultare la documentazione di Okta alla voce Pass Dynamic Authentication Context (link esterno).

Perché l'opzione Abilita bypass condizionale NinjaOne MFA è nascosta dopo il test IdP?

Poiché questa versione supporta solo Azure e Okta, attualmente stiamo cercando un URL IdP che contenga .okta.com (Okta) o .microsoftonline.com (Azure). Se il tuo provider di identità ha un URL personalizzato, al momento non è supportato, ma è probabile che la situazione cambi in futuro. Per ora, per tutti gli altri IdP questa opzione rimarrà nascosta dopo il completamento del test di connessione IdP.

Perché gli utenti ricevono ancora la richiesta di autenticazione a più fattori (MFA) di NinjaOne durante l'accesso anche se ho attivato questa funzione?

Ciò può verificarsi per diversi motivi:

  • La funzione non è attivata nella configurazione IdP di NinjaOne.
  • È possibile che l'attributo impostato nella risposta SAML dall'IdP non sia presente o non corrisponda al nome dell'attributo che stiamo cercando. Assicurati che l'attributo sia presente nella risposta SAML ricevuta da NinjaOne.
  • L'utente potrebbe non aver eseguito l'autenticazione a più fattori (MFA) sull'IdP. Assicurati che la politica dell'IdP imponga l'autenticazione a più fattori (MFA) per l'applicazione NinjaOne.
  • Se l'IdP è configurato con un servizio di terze parti per l'autenticazione a più fattori (ad esempio, utilizzando Duo con Azure IdP), è possibile che l'IdP non stia aggiungendo l'attributo MFA che stiamo cercando.
  • L'utente potrebbe avere configurato un solo metodo di autenticazione per il proprio account (come password dell'account, app di autenticazione, Okta Verify o altri). Pertanto, l'account non soddisfa il requisito MFA in NinjaOne e riceverà la richiesta. Aggiungere un'opzione di autenticazione secondaria e riprovare.

Questa funzione influisce sull'autenticazione a più fattori (MFA) di NinjaOne per le operazioni sensibili dal punto di vista della sicurezza in NinjaOne dopo l'accesso?

No, questa funzione non influisce sui requisiti MFA post-accesso. Anche se l'MFA di NinjaOne viene bypassato durante l'accesso, tutti i tecnici e gli utenti finali di NinjaOne dovrebbero comunque avere un MFA NinjaOne configurato e saranno comunque tenuti a eseguire l'MFA per le operazioni sensibili dal punto di vista della sicurezza dopo l'accesso.

Perché ricevo ancora una richiesta di MFA durante l'accesso, anche se ho attivato Bypass?

È possibile che sia configurato un solo metodo di autenticazione per l'account (ad esempio, una password dell'account, un'app di autenticazione, Okta Verify o simili). Pertanto, l'account non soddisfa il requisito MFA e riceverà la richiesta di NinjaOne MFA. Aggiungere un'opzione di autenticazione secondaria e riprovare.

Domande frequenti

Passi successivi