Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

Bypass MFA NinjaOne: Domande frequenti

Argomento

Abilita il bypass condizionale di NinjaOne MFA per garantire che l'autenticazione multifattoriale venga eseguita una sola volta durante l'accesso SSO, presso l'Identity Provider o presso NinjaOne, ma non entrambi. Ciò garantisce comunque un elevato livello di sicurezza con l'ulteriore vantaggio di richiedere una sola autenticazione multifattoriale.

Ambiente

Autenticazione a più fattori

Sicurezza

Indice

 

Flusso di lavoro MFA

MFA solo presso il provider di identità

Picture1.png

- OPPURE

MFA solo su NinjaOne

Picture2.png

 

Come funziona NinjaOne?

Alcuni provider di identità (IdP), tra cui Okta e Azure, aggiungono un attributo SAML alla risposta di accesso dell'utente che indica se l'autenticazione MFA è stata eseguita presso l'IdP durante la sessione di accesso. Una volta ricevuta la risposta SAML, cerchiamo questo attributo per determinare se saltare l'autenticazione MFA di Ninja in base a questa condizione. La risposta SAML è un documento firmato crittograficamente che stabilisce la fiducia tra NinjaOne e l'Identity Provider. Non può essere modificato tra l'Identity Provider e NinjaOne senza essere rilevato. Se non vediamo questo specifico attributo MFA nella risposta SAML, non bypassiamo l'autenticazione MFA di NinjaOne per l'accesso dell'utente.

Quali provider di identità sono supportati?

Attualmente, solo Azure e Okta sono provider di identità supportati per questa funzione. Altri IdP saranno supportati una volta determinato che supportano un attributo MFA basato su sessione come descritto sopra.

Quali attributi cerca NinjaOne?

NinjaOne cercherà i seguenti attributi nella risposta SAML per Okta e Azure. Se trovati, NinaOne ignorerà l'autenticazione MFA per quella richiesta. Se non trovati, NinjaOne eseguirà l'autenticazione MFA per la richiesta di accesso.

Attributi Okta:

<saml2:Attribute Name="amr" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">swk</saml2:AttributeValue>
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">mfa</saml2:AttributeValue>
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">pwd</saml2:AttributeValue>
</saml2:Attribute>

Attributi Azure:

<Attribute Name="http://schemas.microsoft.com/claims/authnmethodsreferences">
<AttributeValue>http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password&lt;/AttributeValue>
<AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</AttributeValue>
</Attribute>
Nota importante: per Okta, l'attributo deve essere configurato nell'elenco Attributi per l'applicazione Okta. Si consiglia di denominare l'attributo "amr". Questo è il nome dell'attributo che stiamo cercando per impostazione predefinita. Affinché l'aggiramento condizionale sia efficace, nell'elenco deve essere presente un valore di attributo "mfa". Fare riferimento alla documentazione Okta alla voce Pass Dynamic Authentication Context (Passa contesto di autenticazione dinamica).

MFAIDP3.png

Perché l'opzione Abilita bypass MFA NinjaOne condizionale è nascosta dopo il test del provider di identità?

Poiché in questa versione sono supportati solo Azure e Okta, stiamo attualmente cercando un URL del provider di identità che contenga .okta.com (Okta) o .microsoftonline.com (Azure). Se il tuo provider di identità ha un URL personalizzato, al momento non è supportato, ma probabilmente lo sarà in futuro. Per ora, tutti gli altri IdP avranno questa opzione nascosta dopo il test di connessione IdP.

Perché gli utenti continuano a ricevere Ninja MFA durante l'accesso anche se ho abilitato questa funzione?

Ciò può verificarsi per diversi motivi:

  • Assicurati che la funzione sia abilitata nella configurazione del provider di identità NinjaOne.
  • È possibile che l'attributo impostato nella risposta SAML dall'IdP non sia presente o non sia il nome dell'attributo che stiamo cercando. Assicurati che l'attributo sia presente nella risposta SAML ricevuta da NinjaOne.
  • L'utente potrebbe non aver eseguito l'autenticazione MFA presso l'Identity Provider. Assicurati che la politica dell'IdP imponga l'autenticazione MFA per l'applicazione NinjaOne.
  • Se l'IdP è configurato con una terza parte per l'autenticazione a più fattori (ad esempio, utilizzando Duo con Azure IdP), è possibile che l'IdP non stia aggiungendo l'attributo di autenticazione a più fattori che stiamo cercando.

Questo influisce sull'autenticazione a più fattori NinjaOne per le operazioni sensibili alla sicurezza in NinjaOne dopo l'accesso?

No, non influisce sui requisiti MFA post-accesso. Anche se l'autenticazione MFA di NinjaOne viene bypassata durante l'accesso, tutti gli utenti NinjaOne (tecnici e utenti finali) devono comunque disporre di un'autenticazione MFA configurata per NinjaOne e saranno comunque tenuti a eseguire l'autenticazione MFA per le operazioni sensibili dal punto di vista della sicurezza dopo l'accesso.

 

Domande frequenti

Passi successivi