Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

Configurazione di NinjaOne SCIM con Duo Security

Argomento

Questa guida spiega come utilizzare Duo per configurare il sistema SCIM (System for Cross-domain Identity Management) con NinjaOne.

Ambiente

Piattaforma NinjaOne

Fornitore integrato Duo Security

Descrizione

Integra il tuo Identity Provider (IDP) tramite SCIM per creare ed eliminare automaticamente tecnici e utenti finali all'interno di NinjaOne.

Questo articolo è pensato come punto di partenza per la configurazione SCIM con NinjaOne. La configurazione dipende dalla tua specifica impostazione Duo, quindi ti consigliamo di consultare la sezione Risorse aggiuntive per trovare i processi correlati.

Indice

Prerequisiti e considerazioni importanti

Prima di iniziare questa procedura, assicurati di aver configurato correttamente il Security Assertion Markup Language (SAML) e il Single Sign-On (SSO) per Duo in NinjaOne. Per ulteriori informazioni, consulta Configurazione di NinjaOne SAML in Duo.

Prima di eseguire il provisioning SCIM con Duo, NinjaOne consiglia di esaminare diversi elementi di configurazione e determinare se devono essere inclusi nella configurazione del provisioning.

Per ogni categoria saranno inclusi punti di partenza e istruzioni generali. Le possibili voci di configurazione includono:

  • Gruppi: necessari se si desidera mappare automaticamente gruppi di utenti Duo a ruoli utente specifici in NinjaOne. Ulteriori informazioni
  • Creare e mappare gli attributi utente: necessario se si desidera mappare gli utenti finali a un'organizzazione specifica o creare account tecnici. Ulteriori informazioni
  • Assegnazione degli attributi utente: garantisce che ogni utente sia mappato all'organizzazione NinjaOne corretta (utenti finali) e abbia il tipo di account corretto (tecnico o utente finale). Ulteriori informazioni

Creare e utilizzare gruppi

È possibile utilizzare i gruppi Duo per mappare gli utenti a ruoli specifici in NinjaOne. Se non si utilizzano i gruppi, è necessario assegnare manualmente i ruoli agli utenti in NinjaOne; per ulteriori informazioni, consultare Ruoli e autorizzazioni degli utenti.

Si consiglia di creare almeno un gruppo per gli utenti finali NinjaOne e un gruppo per i tecnici.

Per creare un nuovo gruppo Duo, procedi come segue:

  1. Accedere al pannello di amministrazione Duo (esterno).
  2. Passare a UtentiGruppi e fare clic su Aggiungi gruppo.
  3. Inserire un nome per il nuovo gruppo nel campo Nome gruppo.
  4. Fare clic su Aggiungi gruppo per salvare il gruppo. Assegnare lo stato Attivo (consigliato) o Ignora in base alle esigenze.
  5. Fare clic su + Aggiungi utenti al gruppo e aggiungere gli utenti desiderati.
  6. Ripeti la procedura secondo necessità.
Duo groups.png
Figura 1: Esempio di gruppi in Duo

Creare e mappare gli attributi utente

Prima di configurare SCIM con Duo, ti consigliamo di prendere in considerazione i seguenti casi d'uso e di creare gli attributi corrispondenti in base alle tue esigenze. Questi attributi utente personalizzati verranno successivamente mappati agli attributi NinjaOne durante il processo di configurazione SCIM.

È anche possibile aggiungere e importare questi attributi dalla directory esterna (esterna) se è sincronizzata con Duo.

  • Requisito 1: mappare gli utenti finali a un'organizzazione. Creare un attributo utente Duo personalizzato che verrà mappato all'attributo NinjaOne opzionale "organizationid"
  • Requisito 2: creare account tecnici NinjaOne. Creare un attributo utente Duo personalizzato che verrà mappato all'attributo NinjaOne opzionale "userType"
Se l'attributo Tipo utente manca o non contiene il valore corretto, l'attributo viene impostato di default su un account utente finale globale.

Una volta determinati gli attributi utente necessari per il provisioning SCIM, eseguire i seguenti passaggi per creare gli attributi personalizzati in Duo:

  1. Accedere al pannello di amministrazione Duo (esterno).
  2. Passa a UtentiAttributi utente. Fai clic su Aggiungi attributo personalizzato.
  3. Inserisci un identificatore univoco per il tuo nuovo attributo nel campo Nome . Può essere qualsiasi valore a tua scelta.
  4. Fare clic su Aggiungi attributo personalizzato per salvare i dati.
  5. Ripeti questi passaggi per ogni requisito.
duo user attributes.png
Figura 2: Esempio di attributi utente in Duo

Assegnare attributi agli utenti

Ora che gli attributi personalizzati sono stati creati, dovrai assegnarli agli utenti di destinazione. SCIM di NinjaOne fornirà un account in base ai valori degli attributi assegnati a un utente. Questi valori vengono utilizzati per impostare il tipo di utente (tecnico o utente finale) e l'organizzazione (tutte le organizzazioni o un'organizzazione specifica). Dovrai assegnare i valori necessari per ciascun utente in modo che i loro account vengano creati con la configurazione desiderata.

È possibile assegnare attributi a un utente tramite i seguenti metodi (esterni):

Quando si assegnano attributi agli utenti, è necessario assegnare il valore corretto all'attributo corrispondente. I seguenti valori sono gli unici che dovrete utilizzare durante il processo di provisioning dell'account.

È possibile modificare gli attributi generici in base alle esigenze.
Attributo Valore richiesto
organizationID "Tutti" (crea un utente finale globale)
iD organizzazione "<InsertOrganizationID>" (assegna un utente finale all'organizzazione corrispondente; fare riferimento a Piattaforma NinjaOne: come trovare un ID organizzazione per istruzioni su come ottenere l'ID)
tipoUtente "tecnico" (crea un account tecnico NinjaOne)
tipoUtente "endUser" (crea un account utente finale NinjaOne)
La figura 3 seguente fornisce un esempio di account utente non sincronizzato con valori assegnati agli attributi personalizzati userType e organizationID . Il valore userType creerà un account utente finale, mentre il valore organizationID assegnerà quell'utente alla specifica organizzazione NinjaOne.
duo_attribute values.png
Figura 3: Esempio di valori degli attributi dell'utente finale assegnati in Duo
La figura 4 seguente fornisce un esempio di account utente non sincronizzato a cui è stato assegnato un valore all'attributo userType personalizzato. Il valore "tecnico" creerà un account tecnico in NinjaOne.
duo_attribute values_technician.png
Figura 4: Esempio di valori di attributi di tecnico assegnati in Duo

Abilita SCIM in NinjaOne

Scopri come utilizzare SCIM in NinjaOne con la nostra guida NinjaOne Identity Management: Gestione delle identità con SCIM.

Per abilitare SCIM e generare il token segreto, procedi come segue:

  1. Nella console NinjaOne, vai su Amministrazione → Account → Fornitori di identità e apri la voce IDP.
  2. Fare clic su Abilita per Sistema per la gestione delle identità tra domini (SCIM).
idp_entra_enable scim.png
Figura 5: Abilita SCIM per il tuo provider di identità
  1. Attiva l'interruttore Abilita provisioning SCIM nella finestra di configurazione, quindi fai clic su Genera token. Tieni aperta questa finestra di configurazione in modo da poter copiare i dati per i passaggi successivi.
enable scim_generate token.png
Figura 6: Abilita SCIM e genera un token per il provider di identità
Copiare e conservare il token in modo sicuro. Il sistema lo visualizzerà una sola volta. Il token segreto SCIM scade sei mesi dopo la generazione. A quel punto, sarà necessario creare un nuovo token e copiarlo/incollarlo nel proprio IDP.

Provisioning SCIM in Duo

  1. In Duo, vai su Applicazioni → GestisciApplicazioni. Seleziona l'applicazione Duo Generic SAML Service Provider per NinjaOne.
  2. Aprire la scheda Provisioning e selezionare "Bearer Token" dal menu a discesa Modalità di autenticazione.
  3. Copiare l'URL dell'endpoint API e il token segreto SCIM dalla console NinjaOne.
copy SCIM data.png
Figura 7: Copia i dati SCIM da NinjaOne
  1. Incolla i dati rispettivamente nei campi URL di base e Token in Duo.
duo authentication_paste token.png
Figura 8: incolla i dati SCIM di NinjaOne in Duo
  1. Verifica la connessione per assicurarti che funzioni correttamente, quindi connettiti all'applicazione.

Mappare gli attributi tra NinjaOne e Duo

Una volta completata l'autenticazione, riceverai un elenco degli attributi NinjaOne richiesti e predefiniti che dovranno essere mappati agli attributi utente Duo.

Prendi nota dei seguenti attributi NinjaOne:

  • name.familyName
  • nome.cognome
  • username

Per un provisioning SCIM corretto, è necessario mappare gli attributi NinjaOne agli attributi utente Duo corrispondenti (come segue):

L'attributo username di NinjaOne richiede un valore formattato come indirizzo e-mail. Mappare l'attributo Duo associato all'indirizzo e-mail utilizzato per l'account NinjaOne. Tutti gli altri attributi devono essere disattivati dalla mappatura poiché non vengono utilizzati.
Attributo utente Duo Attributo NinjaOne
Cognome name.familyName
Nome nome.nome
Indirizzo e-mail nomeutente
<organizationId> (facoltativo) organizationID
<tipoUtente> (facoltativo) userType

Mappa gli utenti finali a un'organizzazione specifica

Mappa il tuo attributo utente Duo personalizzato (<organizationId&gt😉 all'attributo NinjaOne opzionale "organizationId". Se il valore dell'ID organizzazione è mancante o ha il valore "all" per un utente finale, verrà creato un utente finale globale.

Creare account tecnico NinjaOne o account sia utente finale che tecnico

Mappa il tuo attributo utente Duo personalizzato (<userType&gt😉 all'attributo NinjaOne opzionale "userType"

L'attributo userType ha due valori accettati:

  • "technician" crea un account tecnico NinjaOne.
  • "endUser" (distinzione tra maiuscole e minuscole) crea un account utente finale NinjaOne.

Assegna utenti o gruppi al provisioning SCIM

Una volta mappati gli attributi, è necessario assegnare gruppi o utenti di destinazione al provisioning SCIM.

La decisione di assegnare utenti specifici, tutti gli utenti con accesso SSO o gruppi specifici di utenti da gestire tramite SCIM dipende dagli obiettivi della propria organizzazione e dalla configurazione Duo.

Questa sezione fornisce un approccio comunemente utilizzato che prevede l'uso di gruppi per assegnare gli utenti al provisioning SCIM. Fare riferimento alla documentazione di Duo per determinare quale metodo è più adatto alle proprie esigenze.

Nell'esempio seguente, abbiamo creato un gruppo per gli utenti finali e un gruppo per i tecnici. Una volta salvata la configurazione, il processo di provisioning degli utenti inizierà automaticamente.

duo groups_select groups.png
Figura 9: Selezionare i gruppi in Duo che saranno assegnati al provisioning SCIM

Mappare i gruppi Duo ai ruoli NinjaOne

Se si assegnano gruppi al provisioning SCIM in Duo, questi appariranno nella sezione Mappatura gruppi della pagina Fornitore di identità nella console NinjaOne. La mappatura dei gruppi consente di assegnare ruoli di utente finale o tecnico a un gruppo di identità.

Per ulteriori informazioni sulla creazione e la gestione dei ruoli in NinjaOne, consulta Ruoli e autorizzazioni degli utenti.

  • Gruppo di identità: si tratta di gruppi mappati dall'IDP.
  • Ruoli utente: sono i ruoli assegnati al gruppo.

Per impostare la mappatura dei gruppi per il tuo provider di identità, procedi come segue:

  1. Nella console NinjaOne, vai su Amministrazione → Account → Identity Provider e apri la voce del provider.
  2. Fai clic su Modifica nella sezione Mappatura dei gruppi.
IDP_group mapping.png
Figura 10: Configurazione della mappatura dei gruppi per NinjaOne IDP
  1. Mappa i ruoli NinjaOne ai rispettivi gruppi Duo. Se non hai configurato i gruppi da mappare da Duo alla tua divisione NinjaOne, non vedrai le opzioni di mappatura disponibili nella finestra modale Mappa gruppi. Per correggere questo problema, rivedi i passaggi indicati nelle sezioni Mappa attributi tra NinjaOne e Duo e Assegna utenti o gruppi al provisioning SCIM.

Ogni utente e il relativo ruolo verranno visualizzati nella pagina di configurazione dell'account NinjaOne, in modo da poter monitorare la mappatura o modificare le autorizzazioni secondo necessità.

Risorse aggiuntive

Per ulteriori informazioni sulla gestione delle identità in NinjaOne, consulta le seguenti risorse:

Domande frequenti

Passi successivi