Argomento
Questo articolo illustra come gestire le identità degli utenti utilizzando il System for Cross-domain Identity Management (SCIM) con NinjaOne.
Ambiente
- Piattaforma NinjaOne
- Integrazioni NinjaOne
- Microsoft Entra ID
Descrizione
Integra il tuo Identity Provider (IdP) tramite SCIM per creare ed eliminare automaticamente tecnici e utenti finali all'interno di NinjaOne.
Questo articolo funge da punto di partenza per la configurazione di SCIM in NinjaOne. La configurazione dipende dalla tua specifica configurazione di Microsoft Entra, pertanto ti consigliamo di consultare la sezione Risorse aggiuntive per trovare le procedure correlate.
Come integrare Microsoft Entra, Parte 2 (NinjaOne, Inc., 04:33)
Capitoli
- Da 0 a 0:34 - Introduzione - guarda prima la parte 1!
- Da 0:35 a 1:02 - Creazione dei ruoli delle app
- Da 1:03 a 1:31 - Assegnazione dei ruoli delle app ai gruppi di utenti
- Da 1:32 a 1:59 - Configurazione di SCIM in NinjaOne
- Da 2:00 a 2:47 - Creazione e mappatura dell'attributo userType
- Da 2:48 a 3:16 - Limitazione degli utenti finali a organizzazioni specifiche
- Da 3:17 a 3:35 - Mappatura avanzata degli attributi
- Da 3:36 a 3:47 - Provisioning
- Da 3:48 a 4:00 - Mappatura dei gruppi ai ruoli
- Da 4:01 a 4:10 - Disattivazione degli utenti
- Da4:11 alla fine - Integrazione con Intune
Indice
Seleziona una categoria per saperne di più:
- Considerazioni importanti
- Configurazione SCIM
- Mappatura dei gruppi in NinjaOne
- Disattivare SSO e SCIM
- Visualizza le attività SCIM e SSO
- Risorse aggiuntive
Considerazioni importanti
Tenere presente quanto segue:
- Se si sta creando un IdP per un fornitore che non supporta l'uso dei gruppi, verrà visualizzato un errore quando si tenta di configurare l'assegnazione dei gruppi per SCIM.
- Gli utenti gestiti tramite SCIM non possono essere modificati o eliminati nella console NinjaOne, a meno che SCIM non venga temporaneamente disattivato. Tuttavia, è possibile modificare il numero di telefono, la lingua e altre impostazioni minori non gestite da SCIM. L'eliminazione e la modifica degli utenti devono essere effettuate nell'IdP.
- Gli utenti provisionati tramite SCIM non riceveranno un invito a impostare la propria password o l’autenticazione a più fattori (MFA), poiché i loro indirizzi e-mail saranno già considerati attivati dal provider di identità.
- Quando si revocano i token SCIM o si disabilita il Single Sign-On (SSO), all’utente verrà richiesto di verificare l’autenticazione a più fattori (MFA) inserendo il codice a tempo.
- Non è possibile assegnare amministratori di sistema tramite SCIM. È necessario assegnarli manualmente nella console NinjaOne. Per istruzioni su come aggiungere un amministratore di sistema, consultare NinjaOne Platform: Creare un account tecnico.
- Quando gli utenti non fanno più parte di un’azienda, l’IdP li contrassegnerà automaticamente come Inattivi nella console NinjaOne. Tuttavia , continueranno ad apparire nell’elenco degli utenti.
Configurazione SCIM
Le istruzioni seguenti utilizzano Microsoft Entra ID come esempio. Se si desidera utilizzare Okta come IdP, consultare " NinjaOne Identity Access Management (IAM): Attivare SCIM per il proprio Identity Provider". Le istruzioni contenute in questo articolo presuppongono che l’IdP supporti SCIM. È consigliabile testare una configurazione SSO ibrida prima di attivarla tramite NinjaOne.
Per attivare SCIM e generare il token segreto, procedere come segue:
- Creare un’applicazione Microsoft Entra ID Enterprise in Microsoft Azure. Per ulteriori informazioni, consultare Gestione delle identità e degli accessi di NinjaOne: Configurare il Single Sign-On.
- Accedere a Amministrazione → Account → Provider di identità e aprire la voce relativa al provider Microsoft Entra ID creata nel passaggio precedente.
- Fare clic su Abilita per System for Cross-domain Identity Management (SCIM).
Figura 1: Abilita SCIM per il tuo provider di identità
- Attiva l’opzione Abilita provisioning SCIM nella finestra di dialogo di configurazione, quindi fai clic su Genera token. Tieniaperta questa finestra di dialogo di configurazione in modo da poter copiare i dati necessari per i passaggi successivi.
Figura 2: Abilita SCIM e genera un token per il provider di identità
Provisioning SCIM
Per gestire il provisioning per SCIM, procedere come segue:
- Apri l’applicazione Microsoft Azure Enterprise in una scheda o finestra separata del browser. In “Gestisci”, seleziona la scheda “Provisioning”, quindi fai clic su “Inizia”.
- In NinjaOne, copia l’URL dell’endpoint dell’API SCIM (URL del tenant) e il token segreto da NinjaOne e incollali nella configurazione di provisioning di Azure. Puoi trovare questi dati nel Passaggio 4, che si trova in precedenza in questa procedura.
- L’URL è l’endpoint dell’IdP e punterà all’URL dell’endpoint dell’API SCIM.
- L’URL dell’endpoint dell’API SCIM dovrebbe essere
https://{tenant-hostname}/ws/scim/v2, dove{tenant-hostname}è il nome host nativo del proprio tenant, ad esempio app.ninjarmm.com, eu.ninjarmm.com o simili.
- Incolla i dati copiati nella tua applicazione Microsoft Azure Enterprise. Verifica la connessione per assicurarti che funzioni correttamente.
Configurazione degli attributi
Per configurare gli attributi per il proprio provider di identità, eseguire i seguenti passaggi:
- Nell’applicazione Microsoft Azure Enterprise, espandere la sezione Mappature e fare clic su Configurazione utenti di Azure Active Directory.
Figura 3: La schermata "Provisioning" in Entra ID (clicca per ingrandire)
- Configurare i seguenti attributi utilizzando la tabella sottostante. Rimuovere tutti gli altri attributi dalla mappatura, poiché non vengono utilizzati.
| Attributi di Azure Active Directory | Attributo customappsso |
|---|---|
| userPrincipalName | userName |
| Switch([IsSoftDeleted], , "False", "True", "True", "False") | active |
| givenName | name.givenName |
| cognome | name.familyName |
| objectId | externalId |
- Selezionare la casella di controllo Mostra opzioni avanzate, quindi fare clic su Modifica elenco attributi per customappsso.
Figura 4: Opzioni avanzate degli attributi in Entra ID (clicca per ingrandire)
- Aggiungi un nuovo attributo in fondo alla pagina, quindi inserisci quanto segue:
- Nome:urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:organizationId
- Tipo: Stringa
- Obbligatorio?: selezionare questa opzione
- Lascia vuote tutte le altre opzioni. Al termine, clicca su Salva.
- Se stai creando tecnici NinjaOne con SCIM, aggiungi il seguente attributo per il Nome:
urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:userTypeMappatura degli utenti finali
È possibile mappare gli utenti finali a organizzazioni specifiche in NinjaOne oppure assegnarli come utenti finali globali non assegnati a un gruppo particolare. Nella maggior parte dei casi, è consigliabile utilizzare espressioni per assegnare dinamicamente gli utenti alla loro organizzazione corretta.
- Nel proprio account Microsoft Entra, accedere a Provisioning → Mappatura attributi → Provisioning utenti Microsoft Entra ID.
- Apri NinjaOne in una scheda o finestra separata e vai su Amministrazione → Organizzazioni. Passa il cursore sul menu Azioni sul bordo destro della riga Organizzazione e seleziona Copia ID organizzazione.
Figura 5: Copia l’ID dell’organizzazione in NinjaOne (clicca per ingrandire)
- Torna al tuo account Microsoft Entra e fai clic su Aggiungi nuova mappatura.
Figura 6: Aggiungi una nuova mappatura in Microsoft Entra (clicca per ingrandire)
- Selezionare il Tipo di mappatura in base al fatto che si stiano mappando gli utenti finali a una singola organizzazione o a più organizzazioni:
- Seleziona «Costante» se stai mappando gli utenti finali a una singola organizzazione. Quindi, incolla l’ID dell’organizzazione singola nel campo «Valore costante ».
- Seleziona "Espressione" se stai mappando gli utenti finali a più organizzazioni. Quindi, crea un'espressione che faccia riferimento agli ID delle organizzazioni NinjaOne di destinazione e inseriscila nel campo "Valore costante". Gli utenti finali vengono mappati in base ai risultati dell'espressione. Per ulteriori informazioni sulla creazione di espressioni per la mappatura delle organizzazioni, consulta "Riferimento per la scrittura di espressioni per le mappature degli attributi in Microsoft Entra Application Provisioning - Microsoft Entra ID | Microsoft Learn " (link esterno).
- Inserisci quanto segue nel campo Attributo di destinazione per mappare gli utenti finali al rispettivo ID organizzazione NinjaOne:
urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:organizationId - Utilizzare "All" come ID organizzazione dell’utente finale per creare un utente finale globale.

Figura 7: Utilizzo di un tipo di mappatura costante durante la modifica di un attributo di destinazione (fare clic per ingrandire)
- Fare clic su "Ok", quindi su "Salva".
Impostare il tipo di utente per utente finale o tecnico
Per impostazione predefinita, Entra ID crea gli utenti gestiti tramite SCIM come account di utente finale. Se è stato aggiunto l’attributo opzionale "Tipo di utente " alla configurazione SCIM come descritto nel passaggio 6 della sezione " Configurazione degli attributi ", ora è possibile creare account di tecnico tramite SCIM.
- Nel proprio account Microsoft Entra, accedere a Provisioning → Mappatura attributi → Provisioning utenti Microsoft Entra ID.
- Fare clic su Aggiungi nuova mappatura.
- Selezionare il Tipo di mappatura in base al fatto che si stiano creando utenti finali o tecnici:
- Selezionare "Costante" se si stanno creando account per tecnici. Quindi, inserire "technician" (distinguendo tra maiuscole e minuscole) nel campo "Valore costante ".
- Selezionare "Espressione" se si stanno creando account sia per utenti finali che per tecnici . Successivamente, creare un'espressione che assegni agli account degli utenti finali il valore " endUser " e a quelli dei tecnici il valore "technician".Le espressioni distinguono tra maiuscole e minuscole. Per ulteriori informazioni sulla creazione di espressioni per la mappatura dell'organizzazione, consultare "Riferimento per la scrittura di espressioni per le mappature degli attributi in Microsoft Entra Application Provisioning - Microsoft Entra ID | Microsoft Learn " (link esterno).
- Immettere quanto segue nel campo Attributo di destinazione per mappare gli utenti finali al rispettivo tipo di utente.
urn:ietf:params:scim:schemas:extension:ninjaone:2.0:User:userType
- Fare clic su OK, quindi su Salva.
Salvare la configurazione
Tornare alla pagina Provisioning , attivare lo stato di provisioning, quindi fare clic su Salva. NinjaOne provvederà automaticamente al provisioning degli utenti.
Figura 9: La schermata "Provisioning" in Entra ID (clicca per ingrandire)
Mappatura dei gruppi in NinjaOne
Una volta effettuato il provisioning del gruppo nel proprio IdP, questo apparirà nella sezione Mappatura dei gruppi della pagina Fornitore di identità della console NinjaOne. La mappatura dei gruppi consente di assegnare ruoli di utente finale o tecnico a un gruppo di identità, inclusi gli utenti finali globali; tuttavia, non è possibile assegnare l’autorizzazione di amministratore di sistema a un gruppo tramite SCIM.
- Gruppo di identità: gruppi mappati dall’Identity Provider (IdP)
- Ruoli utente: ruoli assegnati al gruppo
Per modificare la mappatura dei gruppi per il proprio Identity Provider, procedere come segue:
- Se sei un amministratore di sistema, puoi aggiungere ruoli agli utenti di ciascun gruppo facendo clic su Modifica.
Figura 10: Modifica della mappatura dei gruppi
- Aggiungi uno o più ruoli a ciascun menu a tendina, secondo necessità. Agli utenti contrassegnati come utenti finali verranno assegnati ruoli di utente finale, mentre agli utenti contrassegnati come tecnici verranno assegnati ruoli di tecnico.

Figura 11: Mappatura dei gruppi di tecnici e utenti finali
NinjaOne visualizzerà ciascun utente e il relativo ruolo nella pagina di configurazione dell’account NinjaOne, consentendoti di monitorare la mappatura o di modificarla secondo necessità.
- La colonna «Origine» nella pagina di configurazione dell’account, nella sezione «Ruoli», indicherà se un ruolo è stato assegnato manualmente o tramite SCIM. I ruoli contrassegnati come «Nativo» sono stati assegnati manualmente.
- Non è possibile modificare i ruoli assegnati tramite SCIM nella console di NinjaOne. È necessario aggiornarli tramite l’IdP utilizzato per l’assegnazione iniziale dei ruoli. Negli esempi utilizzati in questo articolo, si aggiornerebbero i ruoli in Microsoft Entra.
Figura 12: Origine dell’assegnazione dei ruoli (clicca per ingrandire)
Disattivare SSO e SCIM
Nella pagina Single-Sign-On è possibile disattivare l’SSO, il provisioning SCIM e revocare i token.
Disattivare l’SSO
Per disattivare l’SSO come provider, procedere come segue:
- Accedere aAmministrazione→Account→Provider di identità.
- Posizionare il cursore sull’IdP e fare clic sul pulsante del menu delle azioni. Selezionare Disattiva SSO.
Figura 13: Disattivazione dell’SSO per un IdP (clicca per ingrandire)
Disattivare SCIM
Per disattivare il provisioning SCIM, procedere come segue:
- Accedere a Amministrazione →Account →Fornitori di identità e fare clic sul nome del fornitore per modificare le impostazioni.
- Fare clic su Modifica nella sezione Sistema per la gestione delle identità tra domini (SCIM).
- Disattivare l’opzione Abilita provisioning SCIM, quindi fare clic su Disattiva SCIM nella finestra di conferma.
Figura 14: Disattivazione del provisioning SCIM per un IdP (clicca per ingrandire)
- Fare clic su Chiudi.
Revoca del token
Per revocare un token, procedere come segue:
- Accedere aAmministrazione→Account→Fornitore di identità e fare clic sul nome del fornitore per modificare le impostazioni.
- Fare clic su Modifica nella sezione Sistema per la gestione delle identità tra domini (SCIM).
- Fare clic su Revoca token, quindi fare nuovamente clic su Revoca token nella finestra di conferma.
- Fare clic su Chiudi.
Visualizza le attività SCIM e SSO
- Nella console NinjaOne, accedere alla dashboard del sistema o dell’organizzazione → Attività → Tutte.
- Selezionare SSO nel menu a discesa Tipo di attività.
Figura 15: Visualizza tutte le attività relative a SSO e SCIM (clicca per ingrandire)
Utilizza il menu a tendina " Stato " per filtrare ulteriormente i risultati. Sono disponibili opzioni per le seguenti attività:
- SCIM:
- Utente finale creato tramite SCIM
- Utente finale eliminato tramite SCIM
- Utente finale eliminato tramite SCIM
- Utente finale aggiornato tramite SCIM
- SCIM disabilitato
- SCIM abilitato
- Token SCIM creato
- Token SCIM rimosso
- SSO creato
- SSO eliminato
- SSO disabilitato
- SSO abilitato
Risorse aggiuntive
Le seguenti risorse contengono ulteriori informazioni su NinjaOne SCIM:
