Argomento
Questo articolo spiega come abilitare il bypass condizionale per l'autenticazione a più fattori (MFA) di NinjaOne.
Ambiente
Piattaforma NinjaOne
Descrizione
Abilitare il bypass condizionale dell'autenticazione MFA di NinjaOne per garantire che venga eseguita una sola volta durante un accesso SSO, presso l'Identity Provider o presso NinjaOne, ma non in entrambi. Ciò garantisce comunque un elevato livello di sicurezza con l'ulteriore vantaggio in termini di usabilità di richiedere una sola autenticazione MFA.
Indice
Seleziona una categoria per saperne di più:
- Qual è il flusso di lavoro MFA?
- In che modo NinjaOne utilizza l'autenticazione a più fattori (MFA)?
- Quali provider di identità supporta NinjaOne?
- Per quali attributi effettua la ricerca NinjaOne?
- Perché l'opzione "Abilita bypass condizionale dell'autenticazione a più fattori (MFA) di NinjaOne" è nascosta dopo il test del provider di identità?
- Perché gli utenti ricevono ancora la richiesta di MFA di Ninja al momento dell'accesso anche se ho attivato questa funzione?
- Questo influisce sull'autenticazione a più fattori (MFA) di NinjaOne per le operazioni sensibili dal punto di vista della sicurezza in NinjaOne dopo l'accesso?
- Perché ricevo ancora una richiesta di MFA durante il login, anche se ho attivato il bypass?
Domande frequenti
Qual è il flusso di lavoro MFA?
La figura seguente mostra l'MFA utilizzato solo come Identity Provider (IdP):

La figura seguente mostra come NinjaOne utilizza l'autenticazione a più fattori (MFA):

In che modo NinjaOne utilizza l'MFA?
Alcuni IdP, tra cui Okta e Azure, aggiungono un attributo SAML alla risposta di accesso dell'utente che indica se l'MFA è stato eseguito durante la sessione di accesso. Cerchiamo questo attributo una volta ricevuta la risposta SAML per determinare se saltare l'MFA di NinjaOne in base a questa condizione.
La risposta SAML è un documento firmato crittograficamente che stabilisce un rapporto di fiducia tra NinjaOne e l'IdP. Non può essere modificata tra l'IdP e NinjaOne senza essere rilevata. Se non troviamo questo specifico attributo MFA nella risposta SAML, non salteremo l'autenticazione MFA di NinjaOne per l'accesso dell'utente.
Quali provider di identità supporta NinjaOne?
Attualmente, solo Azure e Okta sono IdP supportati per questa funzionalità. Supporteremo altri IdP una volta stabilito che consentono un attributo MFA basato sulla sessione come descritto sopra.
Quali attributi cerca NinjaOne?
NinjaOne cercherà i seguenti attributi nella risposta SAML per Okta e Azure. Se trovati, NinjaOne bypasserà l'MFA per quella richiesta. Se non trovati, NinjaOne eseguirà l'MFA per la richiesta di accesso.
Attributi Okta:
<saml2:Attribute Name=“amr” NameFormat=“urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified”>
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">swk</saml2:AttributeValue>
<saml2:AttributeValue xmlns:xs=“http://www.w3.org/2001/XMLSchema” xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xsi:type=“xs:string”>mfa</saml2:AttributeValue>
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">pwd</saml2:AttributeValue>
</saml2:Attribute>Attributi Azure:
<Attribute Name="http://schemas.microsoft.com/claims/authnmethodsreferences">
<AttributeValue>http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password</AttributeValue>
<AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</AttributeValue>
</Attribute>Perché l'opzione Abilita bypass condizionale NinjaOne MFA è nascosta dopo il test IdP?
Poiché questa versione supporta solo Azure e Okta, attualmente stiamo cercando un URL IdP che contenga .okta.com (Okta) o .microsoftonline.com (Azure). Se il tuo provider di identità ha un URL personalizzato, al momento non è supportato, ma è probabile che la situazione cambi in futuro. Per ora, per tutti gli altri IdP questa opzione rimarrà nascosta dopo il completamento del test di connessione IdP.
Perché gli utenti ricevono ancora la richiesta di autenticazione a più fattori (MFA) di NinjaOne durante l'accesso anche se ho attivato questa funzione?
Ciò può verificarsi per diversi motivi:
- La funzione non è attivata nella configurazione IdP di NinjaOne.
- È possibile che l'attributo impostato nella risposta SAML dall'IdP non sia presente o non corrisponda al nome dell'attributo che stiamo cercando. Assicurati che l'attributo sia presente nella risposta SAML ricevuta da NinjaOne.
- L'utente potrebbe non aver eseguito l'autenticazione a più fattori (MFA) sull'IdP. Assicurati che la politica dell'IdP imponga l'autenticazione a più fattori (MFA) per l'applicazione NinjaOne.
- Se l'IdP è configurato con un servizio di terze parti per l'autenticazione a più fattori (ad esempio, utilizzando Duo con Azure IdP), è possibile che l'IdP non stia aggiungendo l'attributo MFA che stiamo cercando.
L'utente potrebbe avere configurato un solo metodo di autenticazione per il proprio account (come password dell'account, app di autenticazione, Okta Verify o altri). Pertanto, l'account non soddisfa il requisito MFA in NinjaOne e riceverà la richiesta. Aggiungere un'opzione di autenticazione secondaria e riprovare.
Questa funzione influisce sull'autenticazione a più fattori (MFA) di NinjaOne per le operazioni sensibili dal punto di vista della sicurezza in NinjaOne dopo l'accesso?
No, questa funzione non influisce sui requisiti MFA post-accesso. Anche se l'MFA di NinjaOne viene bypassato durante l'accesso, tutti i tecnici e gli utenti finali di NinjaOne dovrebbero comunque avere un MFA NinjaOne configurato e saranno comunque tenuti a eseguire l'MFA per le operazioni sensibili dal punto di vista della sicurezza dopo l'accesso.
Perché ricevo ancora una richiesta di MFA durante l'accesso, anche se ho attivato Bypass?
È possibile che sia configurato un solo metodo di autenticazione per l'account (ad esempio, una password dell'account, un'app di autenticazione, Okta Verify o simili). Pertanto, l'account non soddisfa il requisito MFA e riceverà la richiesta di NinjaOne MFA. Aggiungere un'opzione di autenticazione secondaria e riprovare.