Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

NinjaOne Identity Access Management (IAM): Configurazione del Security Assertion Markup Language per Microsoft Entra ID

Argomento

Questa guida spiega come utilizzare Microsoft Entra ID per configurare Security Assertion Markup Language (SAML) con NinjaOne.

Ambiente

  • NinjaOne IAM
  • Microsoft Entra ID

Descrizione

Il Single Sign-On (SSO) consente ai tecnici di accedere all'applicazione NinjaOne utilizzando un unico set di credenziali di accesso del proprio identity provider (IDP) preferito. NinjaOne utilizza SAML come standard di autenticazione. È possibile utilizzare l'SSO sia con le applicazioni web standard che con quelle a marchio NinjaOne.

È possibile utilizzare qualsiasi IDP che supporti SAML 2.0. Questa guida fornisce istruzioni sull'impostazione di SSO con Entra ID come IDP di esempio.

NinjaOne supporta sia i flussi di lavoro avviati dal Service Provider (SP) che quelli avviati dall'IDP. 

  • Flusso di lavoro avviato dal Service Provider (SP): Si accede a NinjaOne per effettuare il login e si viene inoltrati al provider di identità per autenticare la sessione.
  • Flusso di lavoro avviato dall'Identity Provider (IDP): Si accede al provider di identità per effettuare il login, si fa clic sul riquadro dell'app NinjaOne e si avvia NinjaOne.

Indice

Selezionate una categoria per saperne di più: 

Configurazione di NinjaOne SAML in Microsoft Entra

Prima di poter impostare l'SSO per gli utenti, è necessario configurare SAML per l'IDP. A tal fine, eseguire le seguenti operazioni: 

  1. Accedere al centro di amministrazione di Microsoft Entra. Fare clic sul menu a discesa Entra ID nella barra laterale e poi su Enterprise apps
  2. Dalla schermata Applicazioni aziendali, fate clic su Nuova applicazione.
IDP_entra_nuovaapp.png
Immagine 1: Creare una nuova applicazione nel centro di amministrazione Microsoft Entra
  1. Fare clic su Crea la tua applicazione.
  2. Verrà richiesto di inserire un nome per l'applicazione. Si consiglia di utilizzare il nome "NinjaOne"
  3. Selezionate l'opzione per integrare qualsiasi altra applicazione che non trovate nella galleria. Poi clicca su Crea.
IDP_entra_creare e integrare app.png
Immagine 2: Integrare la nuova applicazione (fare clic per ingrandire)
  1. Nella schermata successiva, selezionare Assegnazione di utenti e gruppi.
IDP_entra_assegnare utenti e gruppi.png
Figura 3: Assegnare utenti e gruppi all'applicazione aziendale

  1. Fare clic su Aggiungi utente/gruppo. Selezionare gli utenti o i gruppi di destinazione e fare clic su Assegna

    Si consiglia di assegnare i gruppi se si intende effettuare il provisioning degli utenti in NinjaOne tramite System for Cross-domain Identity Management (SCIM). È possibile mappare i gruppi Entra ai ruoli NinjaOne. 
  2. Tornare alla pagina di panoramica per il passo successivo.

Impostazione di SSO in Entra ID

Assicurarsi che all'account utilizzato per accedere a NinjaOne sia assegnato l'accesso all'app aziendale in Entra ID. La connessione di prova richiede una risposta SAML di successo. 

Per configurare l'SSO per l'Entra IDP, eseguire le seguenti operazioni: 

  1. Nella pagina Panoramica della nuova app aziendale NinjaOne creata nella sezione precedente di questo articolo, fate clic su Imposta accesso singolo.
IDP_entra_set up sso.png
Figura 4: Configurazione del single sign-on in Microsoft Entra
  1. Selezionare SAML come metodo di accesso singolo. Si verrà reindirizzati alle proprietà del Single sign-on.
  2. Fare clic su Modifica nella sezione Configurazione SAML di base.
  3. In una scheda separata del browser, accedere a NinjaOne come amministratore di sistema. Andare in Amministrazione → Account → Provider di identità e fare clic su Aggiungi provider.
IdP_Aggiungi un fornitore.png
Immagine 5: Aggiungere un nuovo fornitore di identità in NinjaOne
  1. Fornire un nome visualizzato e impostare i domini di posta elettronica come necessario.
  2. Copiare l' identificatore SP (ID entità) e tutti gli URL delle risposte
IDP_configura SSO_copia url di risposta e id sp.png
Immagine 6: Copiare l'URL della risposta IDP e l'identificatore SP da NinjaOne
  1. Tornare al centro di amministrazione di Microsoft Entra. Fare clic su Aggiungi identificatore per il campo Identificatore (ID entità) e incollare l' identificatore SP (ID entità) da NinjaOne. 
  2. Fare clic su Aggiungi URL di risposta per il campo URL di risposta (URL del servizio consumatori di asserzioni) e incollare l' URL di risposta da NinjaOne. 
    1. Opzionalmente, è possibile configurare l'SSO con il proprio sito NinjaOne. Fare di nuovo clic su Aggiungi URL di risposta e aggiungere l' URL di rispostacon il marchio. 
    2. Selezionare uno degli URL di risposta come predefinito. L'URL predefinito sarà la pagina di destinazione per i login avviati dall'IdP. 
IDP_entra_incolla id SP e url di risposta.png
Immagine 7: Incollare l'URL di risposta dell'IDP e l'identificatore SP da NinjaOne
  1. Scorrere fino alla sezione Certificati SAML della scheda Single sign-on e fare clic sul pulsante di copia per App Federation Metadata Url. Questo sarà necessario per la configurazione in NinjaOne.
IDP_entra_copy app federation metadata.png
Figura 8: Copiare i metadati in Microsoft Entra (fare clic per ingrandire)
  1. Tornare alla pagina IDP di NinjaOne. Incollare i dati dell' URL dei metadati di App Federation nel campo Importa metadati da come URL
IDP_N1_importare metadati da.png
Immagine 9: Incollare i metadati in NinjaOne (fare clic per ingrandire)
  1. Configurare il bypass MFA condizionale, il login avviato dall'IdP e il SAML rigoroso come necessario. 
  2. Testare la connessione e fare clic su Salva quando la connessione è riuscita. 

Assegnazione di utenti per l'autenticazione tramite SSO

Il tipo di autenticazione degli account utente può essere impostato manualmente tramite la pagina Tutti gli utenti in blocco, nelle impostazioni di sicurezza dell'utente (durante l'aggiornamento e la creazione dell'utente) o automaticamente tramite il provisioning SCIM. Di seguito sono riportati i passaggi per modificare il tipo di autenticazione tramite la pagina Tutti gli utenti.

  1. In NinjaOne, navigare in Amministrazione Account Tutti gli utenti e selezionare la casella di controllo per uno o più tecnici o utenti finali.
  2. Fare clic su Azioni Modifica autenticazione
tutti gli utenti_azione_modifica autenticazione.png
Figura 10: Cambiare il metodo di autenticazione per un account NinjaOne
  1. Selezionare Single Sign-On (SSO) dalla finestra di modifica del tipo di autenticazione
  2. Fare clic su Aggiorna per salvare le modifiche.

Problemi di configurazione comuni

Per impostazione predefinita, NinjaOne utilizza l'attributo user.userprincipalname per abbinare un utente NinjaOne al suo account in Entra ID. Se il valore di questo attributo non corrisponde al nome utente di NinjaOne (indirizzo e-mail), considerare l'aggiornamento dell' identificatore univoco dell'utente (ID nome) in user.mail, user.othermail o qualsiasi altro attributo che corrisponda al nome utente di NinjaOne dell'account.

Per regolare l'identificativo univoco dell'utente in Entra ID:

  1. Accedere all'applicazione aziendale in Entra Single sign-onAttributo & Claims e fare clic su Modifica.
  2. Fare clic su Identificatore univoco dell'utente (ID nome).
  3. Impostare l' attributo Source su un attributo che corrisponda al nome utente NinjaOne (indirizzo e-mail) di ciascun utente. 
  4. Fare clic su Salva
IDP_entra_identificatore utente unico.png
Figura 11: Modifica dell'identificativo univoco dell'utente in Entra ID

Quando si utilizza il login avviato dall'IdP, gli utenti possono accedere all'app aziendale NinjaOne tramite l'app tile nella dashboard My Apps e l'App Launcher di O365. Se il riquadro dell'app è assente, potrebbe essere necessario abilitare la visibilità dell'app; a tal fine, eseguire le seguenti operazioni. 

  1. Passare all'applicazione aziendale nel centro di amministrazione Entra, nella pagina Proprietà .
  2. Impostare Visibile agli utenti su .
  3. Fare clic su Salva
entra ID_proprietà_visibili agli utenti.png
Figura 12: Rendere una proprietà visibile agli utenti

Risorse aggiuntive

Utilizzate la seguente risorsa per saperne di più sulla configurazione di SAML per NinjaOne: Linguaggio di marcatura delle asserzioni di sicurezza (SAML) - NinjaOne Dojo.

Domande frequenti

Passi successivi