Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

Configurazione di NinjaOne SCIM con l’app SAML 2.0 personalizzata Okta

Argomento

Questo articolo spiega come configurare SCIM (System for Cross-domain Identity Management) con l'applicazione SAML (Security Assertion Markup Language) 2.0 personalizzata di Okta. 

Si consiglia di configurare Single Sign-on (SSO) e SCIM utilizzando l'applicazione NinjaOne Okta Integration Network, poiché semplifica notevolmente il processo di configurazione. Utilizzare le seguenti risorse per le istruzioni di configurazione. Se la propria organizzazione richiede configurazioni di identità avanzate non supportate dal modello OIN, questo articolo fornisce i passaggi di configurazione SCIM utilizzando l'app SAML 2.0 personalizzata di Okta.

Ambiente

  • Gestione degli accessi e delle identità (IAM) NinjaOne
  • Integrazioni NinjaOne: Okta

Descrizione

L'integrazione di Okta con NinjaOne tramite SCIM consente di creare, eliminare e fornire automaticamente tecnici e utenti finali all'interno di NinjaOne. Questo articolo funge da punto di partenza per la configurazione SCIM con NinjaOne. La configurazione dipende dalla configurazione specifica di Okta, pertanto si consiglia di consultare la sezione Risorse aggiuntive per trovare i processi correlati.

Per ulteriori dettagli sui concetti alla base della gestione del ciclo di vita con SCIM e Okta, consultare Informazioni su SCIM | Okta Developer (link esterno).

NinjaOne SSO e SCIM non supportano la funzione Importa utenti e Importa aggiornamenti profilo di Okta.

Seleziona una categoria per saperne di più: 

Prerequisiti

Prima di poter fornire account utente tramite SCIM, è necessario creare l'IDP e abilitare l'SSO. A tal fine, fare riferimento a Configurazione di NinjaOne SAML in Okta.

Configurare SCIM in Okta con un'applicazione SAML 2.0 personalizzata

Per configurare SCIM con l'applicazione SAML 2.0 personalizzata di Okta, procedere come segue:

  1. Accedere al proprio account Okta come amministratore.
  2. Nel riquadro di navigazione, espandere il menu a discesa Applicazioni e selezionare Applicazioni.
  3. Selezionare l'applicazione NinjaOne.
okta_admin_apps_ninjaone.png
Figura 1: Apri l'applicazione NinjaOne nella console di amministrazione Okta
  1. Aprire la scheda Generale e selezionare SCIM nella sezione Provisioning
okta_app_general_scim provisioning.png
Figura 2: Abilita il provisioning SCIM per l'applicazione
  1. Fare clic su Salva.
  2. Aprire la scheda Provisioning e selezionare Modifica. Fare clic su Configura integrazione API.
  3. In una scheda separata del browser, accedi alla console NinjaOne come amministratore di sistema. 
  4. Passa a AmministrazioneAccountFornitori di identità e seleziona la voce Okta. 
  5. Fare clic su Modifica nel widget Sistema per la gestione delle identità tra domini
IDP_edit SCIM.png
Figura 3: Modifica delle impostazioni SCIM per il tuo IDP Okta in NinjaOne
  1. Nella finestra modale Configura SCIM, fai clic sull'interruttore per abilitare il provisioning SCIM. 
  2. Fai clic su Genera token.
IDP_enable SCIM and generate token.png
Figura 4: Abilita le impostazioni SCIM per il tuo IDP Okta e genera un token
  1. Fai clic sull'icona a forma di foglio per copiare il token segreto SCIM e anche l'URL dell'endpoint API SCIM. Torna alla console di amministrazione Okta. 
Conserva questi dati in un luogo sicuro; verranno visualizzati una sola volta. Il token segreto SCIM scade sei mesi dopo la sua generazione. Se perdi il token o questo scade, devi generarne uno nuovo. 
copy secret token_scim.png
Figura 5: Copia il token segreto SCIM
  1. Dalla posizione precedente nella console di amministrazione Okta (applicazione NinjaOne), incolla l'URL dell'endpoint API SCIM da NinjaOne nell'URL di base del connettore SCIM. Seleziona la casella di controllo Abilita integrazione API, quindi incolla il token segreto SCIM da NinjaOne. 
  2. Imposta il campo Identificatore univoco per gli utenti su un attributo utente Okta che contiene il valore di un indirizzo e-mail. Gli attributi comuni includono userName ( nome utente Okta) e email ( e-mail principale). Per ulteriori informazioni, consulta Profili utente | Okta Developer (link esterno). 
  3. Selezionare le caselle di controllo per le seguenti azioni di provisioning supportate
    • Invia nuovi utenti
    • Invia aggiornamenti profilo
    • Invia gruppi
  4. Imposta la modalità di autenticazione su HTTP Header.
okta_SCIM connector and provisioning.png
Figura 6: Connettiti e esegui il provisioning SCIM in Okta
  1. Aprire la scheda Provisioning per trovare le nuove impostazioni disponibili per la configurazione. 
  2. Aprire la scheda To App (All'app) e fare clic su Edit(Modifica). 
  3. Selezionare le caselle di controllo per le seguenti opzioni di provisioning: 
    • Crea utenti
    • Aggiorna attributi utente
    • Disattiva utenti
okta_to app_enable.png
Figura 7: Abilita il provisioning da Okta a NinjaOne
  1. Scorri fino alla sezione Mappature attributi e fai clic su Vai all'editor del profilo.

  2. Se si desidera assegnare gli utenti finali a organizzazioni specifiche, selezionare Aggiungi attributo e quindi configurare i seguenti campi:

    Campo attributo Valore
    Tipo di dati "Stringa"
    Nome visualizzato Inserisci un identificatore univoco
    Nome esterno "organizationId"
    Spazio dei nomi esterno "urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User"
    Tipo di attributo "Gruppo" (consigliato)
okta_add attribute.png
Figura 8: Aggiungi attributi per la configurazione SCIM di NinjaOne
  1. Se si intende creare account tecnici NinjaOne, è necessario prima rimuovere la mappatura ed eliminare l'attributo di tipo utente predefinito. Fare riferimento ai seguenti passaggi per le istruzioni. 

    1. Nell'Editor profili, fai clic su Mappature e imposta l'attributo userType su Non mappare. Ripeti questo passaggio nelle schede NinjaOne SCIM a Utente Okta e Utente Okta a NinjaOne SCIM. Al termine, salva le mappature. 

      okta_scim setup user profile mappings.png
      Figura 9: Mappature dei profili utente nella configurazione SCIM
    2. Individuare l'attributo Tipo utente nell'elenco Attributi ed eliminare la voce. Attendere alcuni minuti affinché la modifica abbia effetto. 
okta_user type_delete.png
Figura 10: Rimozione dell'attributo Tipo utente
  1. Fare clic su Aggiungi attributo, quindi utilizzare la tabella seguente per configurare i campi applicabili: 
Campo attributo Valore
Tipo di dati "Stringa"
Nome visualizzato Inserisci un identificatore univoco
Nome esterno "userType"
Spazio dei nomi esterno "urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User"
Tipo di attributo "Gruppo" (consigliato)
  1. Torna alla sezione Provisioning dell'applicazione SCIM NinjaOne. Nella sezione To App , rimuovi tutte le mappature dalla sezione Attribute Mappings tranne le seguenti: 
Attributo Valore
userName Okta imposta automaticamente questo campo
nome "user.firstname"
familyName "user.lastName"
organiztionId (facoltativo) Selezionare un valore qualsiasi
tipoUtente Seleziona un valore qualsiasi

Crea account tecnico NinjaOne

Quando si creano account tecnico, è necessario assegnare un valore univoco all'attributo userType . In caso contrario, verrà creato un account utente finale. 

L'attributo userType ha due valori accettati: 

  • Impostare l'attributo su "technician" per creare un account tecnico. 
  • Impostare l'attributo su "endUser" (distinguere tra maiuscole e minuscole) per creare un account utente finale.

Per mappare l'attributo userType , procedere come segue: 

  1. Fare clic sull'icona a forma di matita per modificare i campi. 
  2. Fare riferimento alla tabella seguente come guida per configurare un valore di attributo che soddisfi le esigenze della propria organizzazione: 
Valore dell'attributo Definizione o scopo
Stesso valore per tutti gli utenti Assegna tutti gli utenti dello stesso tipo all'app NinjaOne Okta.
Mappa dal profilo Okta Crea un account utente finale o tecnico in base al valore dell'attributo del profilo selezionato. 
Espressione Crea un utente finale o un tecnico in base al risultato della tua espressione Okta personalizzata. Per ulteriori informazioni, consulta la guida panoramica sul linguaggio di espressione Okta | Okta Developer (link esterno).
okta SCIM_attribute value.png
Figura 11: Selezionare un valore di attributo in Okta
  1. Selezionare Crea e aggiorna per il campo Applica su
  2. Si consiglia di inserire più utenti di prova nel campo Anteprima per verificare che la mappatura degli attributi produca il risultato desiderato. 
  3. Fare clic su Salva

Assegnare gli utenti finali a un'organizzazione NinjaOne

Se si assegnano account di utenti finali a una specifica organizzazione NinjaOne o a più organizzazioni NinjaOne, è necessario assegnare un valore all'attributo organizationID. Gli account privi di un valore di attributo accettato verranno automaticamente creati come utenti finali globali. 

L'attributo organizationID ha due valori accettati: 

  • Impostare l'attributo su "all" per creare un utente finale globale.
  • Imposta l'attributo su "<ID della tua organizzazione>" per assegnare un utente all'organizzazione NinjaOne corrispondente. 

Se hai bisogno di aiuto per trovare l'ID organizzazione in NinjaOne, consulta Piattaforma NinjaOne: come trovare un ID organizzazione.

Per mappare l'attributo dell'organizzazione, procedi come segue: 

  1. Fare clic sull'icona a forma di matita per modificare i campi. 
  2. Fai riferimento alla tabella seguente come guida per configurare un valore di attributo che soddisfi le esigenze della tua organizzazione: 
Valore dell'attributo Definizione o scopo
Stesso valore per tutti gli utenti Assegna tutti gli utenti dello stesso tipo all'app NinjaOne Okta.
Mappa dal profilo Okta Crea un account utente finale o tecnico in base al valore dell'attributo del profilo selezionato. 
Espressione Crea un utente finale o un tecnico in base al risultato dell'espressione Okta personalizzata. Per ulteriori informazioni, consulta la guida panoramica sul linguaggio di espressione Okta | Okta Developer (link esterno).
  1. Seleziona Crea e aggiorna per il campo Applica su.  
  2. Si consiglia di inserire più utenti di prova nel campo Anteprima per verificare che la mappatura degli attributi produca il risultato desiderato. 
  3. Fare clic su Salva
okta_attributes and values.png
Figura 12: Applicare i valori di mappatura in Okta

Assegnare utenti per il provisioning SCIM

Per assegnare utenti per il provisioning SCIM, procedi come segue: 

  1. Torna alla pagina di configurazione dell'applicazione NinjaOne in Okta e apri la scheda Assegnazioni .
  2. Fare clic su Assegna e selezionare l'opzione applicabile alle proprie esigenze. Durante l'assegnazione, sarà possibile sovrascrivere le mappature degli attributi e impostare il tipo di utente e l'ID dell'organizzazione. Se si sta assegnando un gruppo, questa modifica avrà effetto su tutti i membri del gruppo.

Il processo di provisioning SCIM avrà inizio. 

okta_sso and scim_assignments_assign2.png
Figura 13: Assegnare il provisioning SCIM a persone o gruppi

Configurare la mappatura da gruppo a ruolo in NinjaOne

Facoltativamente, puoi utilizzare la mappatura dei gruppi in Okta per assegnare automaticamente i membri dei gruppi Okta ai ruoli in NinjaOne. A tal fine, procedi come segue. 

  1. In Okta, apri la scheda Push Groups nell'applicazione Ninja SSO e SCIM . Fai clic su Push Groups per impostare i gruppi di destinazione. 
  2. Impostare l'azione su Crea gruppo e salvare. Il completamento di questa azione può richiedere fino a un'ora.
okta_push groups.png
Figura 14: Invia gruppi per assegnare ruoli NinjaOne
  1. Accedere a NinjaOne come amministratore di sistema. 
  2. Passa a Amministrazione → Account → Fornitore di identità.
  3. Seleziona Okta OIN IDP.
  4. Accanto a Mappatura gruppi, fai clic su Modifica.
  5. Seleziona i ruoli dal menu a discesa da associare ai gruppi sincronizzati con Okta, se applicabile. Il menu includerà sia i ruoli degli utenti finali che quelli dei tecnici. Il Tipo di utente assegnato all'utente in Okta determina quali ruoli assegnare a ciascun utente. Se devi creare nuovi ruoli, consulta Ruoli e autorizzazioni degli utenti per le istruzioni. 

Risorse aggiuntive

Fai riferimento alle seguenti risorse per ulteriori informazioni sulle opzioni SCIM e SAML con NinjaOne e Okta: 

Domande frequenti

Passi successivi