Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

NinjaOne Identity Access Management (IAM): Configurazione del Security Assertion Markup Language per Microsoft Entra ID

Argomento

Questa guida spiega come utilizzare Microsoft Entra ID per configurare il Security Assertion Markup Language (SAML) con NinjaOne.

Ambiente

  • Integrazioni NinjaOne
  • SAML 2.0
  • Microsoft Entra ID

Descrizione

Il Single Sign-On (SSO) consente ai tecnici di accedere all'applicazione NinjaOne utilizzando un unico set di credenziali di accesso dal proprio provider di identità (IdP) preferito. NinjaOne utilizza SAML come standard di autenticazione. È possibile utilizzare l'SSO sia con le applicazioni web NinjaOne standard che con quelle personalizzate.

È possibile utilizzare qualsiasi IdP che supporti SAML 2.0. Questa guida fornisce istruzioni sulla configurazione dell'SSO con Entra ID come IdP di esempio. Per l'implementazione generica dell'SSO, fare riferimento a NinjaOne Identity Access Management: Configurare il Single Sign-On.

NinjaOne supporta sia i flussi di lavoro avviati dal fornitore di servizi (SP) che quelli avviati dall'IdP. 

  • Flusso di lavoro avviato dal fornitore di servizi (SP): si accede a NinjaOne per effettuare il login e si viene reindirizzati al provider di identità per autenticare la sessione.
  • Flusso di lavoro avviato dall'Identity Provider (IdP): si accede al proprio Identity Provider per effettuare il login e si fa clic sul riquadro dell'app NinjaOne per avviare NinjaOne.

Come integrare Microsoft Entra - Parte 1 (NinjaOne, Inc., 03:08)

Capitoli

  • 00:00 - Introduzione
  • 00:15 - Creazione di un'app aziendale
  • 00:32 - Assegnazione di gruppi di utenti
  • 00:55 - Configurazione di SAML in NinjaOne
  • 02:16 - Autenticazione degli utenti esistenti
  • 02:32 - Supporto IdP per altri strumenti
  • 02:50 - Parte 2 dedicata a SCIM

Indice

Seleziona una categoria per saperne di più:

Configurazione di NinjaOne SAML in Microsoft Entra

Prima di poter configurare l'SSO per i tuoi utenti, devi configurare SAML per l'IdP. Per farlo, segui questi passaggi:

  1. Accedere al centro di amministrazione di Microsoft Entra. Fare clic sul menu a discesa Entra ID nella barra laterale, quindi fare clic su App aziendali.
  2. Dalla schermata Applicazioni aziendali, fare clic su Nuova applicazione.
IDP_entra_new app.png
Figura 1: Creazione di una nuova applicazione nel centro di amministrazione di Microsoft Entra
  1. Fare clic su Crea la tua applicazione.
  2. La pagina ti chiederà di inserire un nome per l'applicazione. Ti consigliamo di utilizzare il nome NinjaOne.
  3. Seleziona l'opzione per integrare qualsiasi altra applicazione che non trovi nella galleria. Quindi, fai clic su Crea.
IDP_entra_create and integrate app.png
Figura 2: Integra la tua nuova applicazione (clicca per ingrandire)
  1. Nella schermata successiva, seleziona Assegna utenti e gruppi.
IDP_entra_assign users and groups.png
Figura 3: Assegna utenti e gruppi alla tua applicazione aziendale
  1. Fai clic su Aggiungi utente/gruppo. Seleziona gli utenti o i gruppi di destinazione, quindi fai clic su Assegna.
Ti consigliamo di assegnare gruppi se intendi effettuare il provisioning degli utenti in NinjaOne tramite System for Cross-domain Identity Management (SCIM). Puoi mappare i gruppi Entra ai ruoli NinjaOne.
  1. Torna alla pagina panoramica per il passaggio successivo.

Configurazione dell'SSO in Entra ID

Assicurati che all'account che utilizzi per accedere a NinjaOne sia assegnato l'accesso all'app aziendale in Entra ID. La connessione di prova richiede una risposta SAML riuscita.

Per configurare l'SSO per il tuo IdP Entra, procedi come segue:

  1. Nella pagina Panoramica della nuova app aziendale NinjaOne creata nella sezione precedente di questo articolo, fare clic su Configura Single Sign-On.
IDP_entra_set up sso.png
Figura 4: Configurazione del Single Sign-On in Microsoft Entra
  1. Seleziona SAML come metodo SSO. Verrai reindirizzato automaticamente alle proprietà del Single sign-on.
  2. Fare clic su Modifica nella sezione Configurazione SAML di base.
  3. In una scheda separata del browser, accedi a NinjaOne come amministratore di sistema. Vai su Amministrazione →Account →Fornitori di identità e fai clic su Aggiungi fornitore.
IdP_Add provider.png
Figura 5: Aggiungi un nuovo provider di identità in NinjaOne
  1. Inserisci un nome visualizzato e imposta i domini e-mail come necessario.
  2. Copia l'identificatore SP (ID entità) e tutti gli URL di risposta.
IDP_configure SSO_copy reply url and sp id.png
Figura 6: Copia l'URL di risposta IDP e l'identificatore SP da NinjaOne
  1. Torna al centro di amministrazione di Microsoft Entra. Fai clic su Aggiungi identificatore nel campo Identificatore (ID entità) e incolla l'identificatore SP (ID entità) da NinjaOne.
  2. Fare clic su Aggiungi URL di risposta per il campo URL di risposta (URL del servizio di consumo delle asserzioni) e incollare l'URL di risposta da NinjaOne.
    1. Facoltativamente, è possibile configurare l'SSO con il proprio sito NinjaOne personalizzato. Fare nuovamente clic su Aggiungi URL di risposta e aggiungere l'URL di risposta personalizzato.
    2. Seleziona uno degli URL di risposta come predefinito. L'URL predefinito sarà la pagina di destinazione per gli accessi avviati dall'IdP.
IDP_entra_paste SP id and reply url.png
Figura 7: Incolla l'URL di risposta IDP e l'identificatore SP da NinjaOne
  1. Scorrere fino alla sezione Certificati SAML della scheda Single sign-on e fare clic sul pulsante Copia per l'URL dei metadati di federazione delle app. Questo URL sarà necessario per la configurazione in NinjaOne.
IDP_entra_copy app federation metadata.png
Figura 8: Copia i metadati in Microsoft Entra (clicca per ingrandire)
  1. Torna alla pagina IdP in NinjaOne. Incolla i dati dell'URL dei metadati di federazione delle app nel campo Importa metadati da come URL.
  2. Attiva l'accesso avviato dall'IdP e la convalida SAML rigorosa secondo necessità.
configure sso_import metata and configure toggles.png
Figura 9: Incolla i metadati in NinjaOne e configura gli interruttori (clicca per ingrandire)
  1. Verifica la connessione e, una volta stabilita, fai clic su Salva.

Assegnazione degli utenti per l'autenticazione tramite SSO

È possibile impostare manualmente il tipo di autenticazione per gli account utente tramite la pagina Tutti gli utenti in blocco, nelle impostazioni di sicurezza di un utente (durante l'aggiornamento e la creazione dell'utente) o automaticamente tramite il provisioning SCIM. Utilizzare i seguenti passaggi per modificare il tipo di autenticazione tramite la pagina Tutti gli utenti.

  1. In NinjaOne, vai su Amministrazione → Account → Tutti gli utenti e seleziona la casella di controllo per uno o più tecnici o utenti finali.
  2. Fare clic su Azioni → Modifica autenticazione.
all users_action_change authentication.png
Figura 10: Modifica del metodo di autenticazione per un account NinjaOne
  1. Selezionare Single Sign-On (SSO) dalla finestra di dialogo Modifica tipo di autenticazione.
  2. Fare clic su Aggiorna per salvare le modifiche.

Problemi di configurazione comuni

Per impostazione predefinita, NinjaOne utilizza l'attributo user.userprincipalname per associare un utente NinjaOne al proprio account in Entra ID. Se il valore di questo attributo non corrisponde al nome utente NinjaOne (indirizzo e-mail), valuta la possibilità di aggiornare l'identificatore utente univoco (Name ID) su user.mail, user.othermail o qualsiasi attributo che corrisponda al nome utente NinjaOne di un account.

Per modificare l'identificatore utente univoco in Entra ID:

  1. Accedere all'applicazione aziendale in Entra → Single sign-onAttributi e rivendicazioni e fare clic su Modifica.
  2. Fare clic su Identificatore utente univoco (ID nome).
  3. Imposta l'attributo Origine su un attributo che corrisponda al nome utente NinjaOne (indirizzo e-mail) di ciascun utente.
  4. Fare clic su Salva.
IDP_entra_unique user identifier.png
Figura 11: Modifica dell'identificatore utente univoco in Entra ID

Quando si utilizza l'accesso avviato dall'IdP, gli utenti possono accedere all'app aziendale NinjaOne tramite il riquadro dell'app nella dashboard Le mie app e nell'App Launcher di O365. Se il riquadro dell'app non è presente, potrebbe essere necessario abilitare la visibilità dell'app; per farlo, eseguire i passaggi seguenti.

  1. Accedere all'applicazione aziendale nel centro di amministrazione di Entra nella pagina Proprietà .
  2. Impostare Visibile agli utenti su .
  3. Fare clic su Salva.
entra ID_properties_visible to users.png
Figura 12: Rendere una proprietà visibile agli utenti

Risorse aggiuntive

Fare riferimento a Security Assertion Markup Language (SAML) – NinjaOne Dojo per ulteriori informazioni sulla configurazione di SAML per NinjaOne.

Domande frequenti

Passi successivi