Introduzione
Questo articolo illustra come configurare l’integrazione fra Docebo e SAML utilizzando il processo di configurazione standard, l’opzione di configurazione di default per chi ha attivato l'app SAML in piattaforma prima del 25 Febbraio 2020. Ulteriori informazioni sulle opzioni di configurazione l’integrazione di SAML con Docebo.
Attivando l'app SAML in Docebo, gli utenti potranno connettersi alla piattaforma utilizzando le credenziali delle sessioni attive in altre piattaforme web. Questo articolo è una guida all’attivazione e alla configurazione dell'app.
Configurare SAML utilizzando Google, OKTA, Microsoft Entra ID (Azure AD) e OneLogin Se si desidera configurare SAML utilizzando Okta, Microsoft Entra ID (Azure AD), OneLogin or Google, fare riferimento alla configurazione step-by-step suggerita dai nostri Solution Deployment Manager:
Inoltre, quando si configura SAML, è necessario definire il parametro Assertion Encryption a Unencrypted.
Attivare l'app SAML
Attivare l'app SAML come descritto nell'articolo della knowledge base dedicato alla gestione di applicazioni e funzionalità. L'app si trova nella tab Single Sign On.
Dopo l’attivazione è possibile iniziare le configurazione. Fare riferimento alla sezione che segue per ulteriori informazioni.
Configurare l’app SAML con il processo di configurazione standard
Iniziare la configurazione accedendo al Menu amministrazione dall’icona ingranaggio in alto a destra. Individuare la sezione SAML e premere Gestione per accedere alla pagina di configurazione. Cambiare il Tipo di configurazione in Standard e attivare la checkbox nella sezione Attiva. Questa opzione non è abilitata al momento dell’attivazione dell’app in piattaforma. È necessario abilitarla per procedere con la configurazione dell’app in piattaforma.
Inserire l'ID dell'Identity Provider, l'XML Metadata (senza spazi e commenti) e lo Username nei campi di testo corrispondenti. Questi campi sono obbligatori. Contattare il proprio responsabile IT per recuperare queste informazioni.
Definire quale tipo di algoritmo di cifratura utilizzare (SHA-1 o SHA-256) per validare l'Identity Provider. Per le nuove configurazioni, il valore di default è SHA-256. Se si possiede una configurazione già attiva nella piattaforma, il valore di default sarà SHA-256 o il valore utilizzato nelle precedenti configurazioni.
Attenzione! SHA-1 è stato dismesso nel 2011. Per questioni di sicurezza, consigliamo di utilizzare SHA-256.
È possibile inoltre selezionare l'opzione per abilitare il certificato del Service Provider. Alcuni Identity Provider o Federazioni potrebbero richiedere che i Service Provider abbiano un certificato. Abilitando questa opzione, sarà possibile firmare le richieste e le risposte inviate all'Identity Provider. Premere i pulsanti Carica file che sono visualizzati quando l'opzione è selezionata per caricare il file Private Key e il file Certificate.
Attenzione! È necessario caricaria sia la Private Key che il file del certificato. Se i file non contengono le informazioni richieste (uno deve includere solo il Private Key e l'altro deve includere solo il certificato), la piattaforma visualizzerà un messaggio di errore durante la configurazione dell'App. Seguono dei file di esempio:
-----BEGIN CERTIFICATE----- MIIEJDCCAwygAwIBAgIJAKZrejX6JSfmMA0GCSqGSIb3DQEBBQUAMGkxCzAJBgNV BAYTAklUMQ4wDAYDVQQIEwVJdGFseTEOMAwGA1UEBxMFTWlsYW4xDzANBgNVBAoT BkRvY2VibzELMAkGA1UECxMCSVQxHDAaBgNVBAMTE3Rlc3QuZG9jZWJvc2Fhcy5j b20wHhcNMTcwMTE5MTQzNzI3WhcNMTgwMTE5MTQzNzI3WjBpMQswCQYDVQQGEwJJ VDEOMAwGA1UECBMFSXRhbHkxDjAMBgNVBAcTBU1pbGFuMQ8wDQYDVQQKEwZEb2Nl Ym8xCzAJBgNVBAsTAklUMRwwGgYDVQQDExN0ZXN0LmRvY2Vib3NhYXMuY29tMIIB IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwS2ucXntCD59zCC27PCMr3+o HGaqIv1m9GkNf/I0CiX/hvlYUwzWy7UP91ccLSTvJYF4917WWxhN8HBqBNYCwiOo PkdFUXC0VF6Fxc6ti33thKqi7u8uR+ZwFTjdaeW9mJQt9qC1bdlvvbo0fmTbrcUC 5/975USpejfxtMLX4znX3DkcxD5gdBE3kgwwZmlchkSYSWngxBIbs6HtCvsVx1hE QjiPPClWO6U3+Ho5Lb981JNVvaRVWzbcE8osE7Ogt0j7R5PNkvgFtJttPAEjZZBa 4CDM2IXRJahrF5Kyk4BWukehSn2Kw7C/lf5SD2n0tFiiqHdK8mLvQEC0h+gJ2wID AQABo4HOMIHLMB0GA1UdDgQWBBTcGhjhW6mD31Cox6ftIxjERuYj6TCBmwYDVR0j BIGTMIGQgBTcGhjhW6mD31Cox6ftIxjERuYj6aFtpGswaTELMAkGA1UEBhMCSVQx DjAMBgNVBAgTBUl0YWx5MQ4wDAYDVQQHEwVNaWxhbjEPMA0GA1UEChMGRG9jZWJv MQswCQYDVQQLEwJJVDEcMBoGA1UEAxMTdGVzdC5kb2NlYm9zYWFzLmNvbYIJAKZr ejX6JSfmMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEFBQADggEBAEU2JOtj60v3 1wIX7iIUwMM2UsbE52ZOAM+xRSUIJoDJvuvcNNT45fNCAz5V5HTjyhZvd81bJ/8r 8AT47YYHO2ngWxKWklbRdvWuDhwvEFulUnVt5DcVVGy3JgH98hIBNTf+BMDGkm1z HviID1Zuaa5KByCKTbr2ib2nVLDqdJMvPyT8yaWd5VQxb4F5WqUz8EjS12KtLnHc 4Uh51/fJA8StUyADaeb74Uj/e/0/XIvsOIGUuBzhF3dfPBGWXCwTAbQmSaqk/B3n wAUznTV6BahfIeZJz5PmI7VEkw+3AdGwwhxrGPxcKHXf/5yDyPdjOOuYsDXAV54n PnHnWAxctA0= -----END CERTIFICATE------ Esempio di chiave privata in formato PEM:
-----BEGIN RSA PRIVATE KEY----- MIIEowIBAAKCAQEAwS2ucXntCD59zCC27PCMr3+oHGaqIv1m9GkNf/I0CiX/hvlY UwzWy7UP91ccLSTvJYF4917WWxhN8HBqBNYCwiOoPkdFUXC0VF6Fxc6ti33thKqi 7u8uR+ZwFTjdaeW9mJQt9qC1bdlvvbo0fmTbrcUC5/975USpejfxtMLX4znX3Dkc xD5gdBE3kgwwZmlchkSYSWngxBIbs6HtCvsVx1hEQjiPPClWO6U3+Ho5Lb981JNV vaRVWzbcE8osE7Ogt0j7R5PNkvgFtJttPAEjZZBa4CDM2IXRJahrF5Kyk4BWukeh Sn2Kw7C/lf5SD2n0tFiiqHdK8mLvQEC0h+gJ2wIDAQABAoIBAQCqpZT0zxURdEqi GMAe3Hwax/UUaaif0iOxgl+Xh7hqwphQflGEw9G3D5I0F3JfesH66r2WH+PRgs3O uS8eaIL1RpRnt4PHZn0WDo2zaFir4akAyc+2q/jBMRIP3TTSSE1MzJExzVOX3z0z Z5rZkHTysxdXI7wpkpb3zRWqbXhSUwyvLxHFWOamRNJb/LjiLko30pblyGZG744Q XmoHrDcpN46OpZTITMqF8SJbnJXKKPzIWRvTVxVRUzVwth4OgXFNPkfyJgsZ1DD+ wFvH+kI72l9yhF9UcI0IoEbk6I5Ao3O6O3+X6FV2YJhFPb4vfhKJI1irMS+rpCzB h9prqE4BAoGBAOC4rnPb7bltW7+7Dvi3e5CO1SfKBShFhmPM6mYSC6A2uSjcjfG5 Phgjc7pDbH2Ec0wdYezJUAsXFCrNAbVECSrSfoDqncar9cJUA61xT2q2CcUbvHYJ w7rroQk4WYXhxov9K4PiSljateyDelAxrstfRcokyHu8fT8C02k6hmcBAoGBANwR DfckqbFfcSsWvpTGT7gVv6aDuKGgfmvrUElDgY6K6Nt49pdiExXKI3jdx7JIkqZg t8LnXC4tFgLpFXkxHnikIW4twt0qrhe19z9phq6AW8d6rcePM7TuAVpXLzhWHPK6 UY4PESl4SBzoB4yyWKCDBcsDBJrOh8cYCWFg+ezbAoGADa9ReF7BSFR/jNqAW+cY kEISevzTeZNaTsOQ1qxsptIOTo232yuTu3aVOpeWiMJDHzR+3SOZS0OZh826N+av xDrTV1hySUH5kl75ZluLIY16ZNV+kZWgpMZqpRwYX43TQH0nZD2ol2aiQ4fyL+YG pf3kSx4YU2i0G905MKROwQECgYAMMUmzyq04LZCIkZ8HgSFDkrjmkd+13L2EXyo4 lOvlqN6T4lTPOFjUWTmz5Z29y/WMEEm+G7FowYi5qo5NA6KrjnRntVNZi21egO9s 7PzQSD5NhAeCyfVUbedXSQNNvL+n1xjTpRQPVyGvsE9SxULRydCVWdp0dULijftf EM9oBwKBgBzpA1Qj9fgj7hOVCDdrqcuX3/qWmuwiqV+bjGK2FPrW/7G5BSNsj8Gc /KuXgcZCPMRlobEue5ha0kFnPbUGhYngqJQEmsodkbK3Kz21zHOP4nTc3FublfLo Hzsrl5PEUsehiA+lf6TZtW/Jlo5vnrGEchSgTau09I4meN803DdX -----END RSA PRIVATE KEY-----
Se si desidera apportare modifiche alla configurazione e deselezionare l'opzione Abilita il certificato del Service Provider, prima di salvare la configurazione assicurarsi di avere i certificati con sé, perché verranno eliminati automaticamente dopo il salvataggio.
Tutti i campi obbligatori sono stati configurati. Se non si desidera configurare il campo unico, il comportamento del SSO, il logout behavior o lo user provisioning, premere Salva le modifiche per terminare. Dopo il salvataggio è possibile scaricare il file XML e importarlo nel proprio Identity Provider o configurare le autorizzazioni necessarie e completare il processo.
Se invece si desidera configurare il campo unico, il comportamento del SSO, il logout behavior e/o lo user provisioning non premere Salva le modifiche. Fare riferimento alle sezioni successive per ulteriori informazioni riguardo i campi di questa pagina.
Username attribute
Nella sezione Username attribute, selezionare una delle opzioni fornite dall’Identity Provider fra opzioni che seguono:
- Inserire un valore che sarà considerato "identificativo unico"
- Si tratta di un input di testo ed è possibile inserire il nome dell'attributo, assicurandosi che si tratti un identificativo unico. Per esempio, se si seleziona Last Name (Cognome) come Username Attribute, è necessario assicurarsi che non ci siano due utenti con lo stesso cognome. Consigliamo di selezionare Email.
- Selezionare con quale campo Docebo sarà verificato l'identificativo unico
- Selezionare fra username, email o UUID. L'attributo selezionato sarà verificato in base al campo corrispondente in Docebo. Il campo UUID è invisibile e si tratta di un identificativo utente unico e non numerico.
Tutti i campi obbligatori sono stati configurati (Issuer, URL SSO e X509). Se non si desidera configurare il campo unico, l’SSO behavior, il logout behavior o il provisioning dell’utente, premere Salva le modifiche per terminare. Copiare ora l’URL di Login e l’URL di Logout visualizzati nella sezione Metadati SAML 2.0 SP per passarli all’identity provider.
Se necessario, scaricare il file dei metadati selezionando Scarica nella sezione Metadati SAML 2.0 SP. Ricordare però che gli unici file da passare obbligatoriamente sono l’URL di Login e l’URL di Logout, forniti nella stessa sezione.
Se si desidera configurare il logout behavior, l’SSO behavior e/o il provisioning dell’utente non cliccare Salva le modifiche. Fare riferimento alle sezioni successive per ulteriori informazioni riguardo i campi di questa pagina.
Campo unico
Configurare questo campo permette di selezionare un identificativo condiviso, aggiungendo più flessibilità al SSO nella configurazione di SAML e Docebo.
L'attributo selezionato di default è Username, ma è possibile scegliere anche UUID (Unique User ID) oppure Email, in base alla proprie necessità. Consigliamo di utilizzare il Username.
Note importanti sui campi unici
- Selezionando Email in questa sezione, nel caso in cui in piattaforma siano presenti più account con lo stesso indirizzo email, quando uno degli account esegue il login in piattaforma attraverso SAML, si connetterà alla piattaforma l’account creato più recentemente.
- Selezionando UUID, non sarà possibile creare nuovi utenti attraverso SAML, poiché lo UUID non esiste finché l'utente non è creato nella piattaforma.
Configurazione SSO
Per configurare il SSO è possibile scegliere fra due opzioni.
Scegliere se visualizzare la pagina di login standard della piattaforma o se ridirigere i visitatori alla pagina dell'Identity Provider. Selezionando la prima opzione, è possibile selezionare se mostrare il pulsante SSO nella pagina di login della piattaforma.
Selezionando l'opzione per il re-indirizzamento automatico all'Identity Provider, è possibile indicare la pagina che sarà visualizzata quando gli utenti si disconnettono dalla piattaforma invece di mantenere la pagina standard di logout. Utilizzare il campo di testo per digitare l'URL della pagina.
Note importanti sulla configurazione SSO
- La configurazione SSO è testata per gli Identity Provider standard. Generalmente, Docebo inizializza il SSO con l'Identity Provider, e la prima chiamata non è eseguita in sicurezza perché gli utenti devono ancora inserire le proprie credenziali nell'Identity Provider. La configurazione lato Identity Provider creerà un canale sicuro da qui in poi.
Logout behavior
La sezione Logout behavior permette di selezionare l'opzione per la disconnessione automatica dall'Identity Provider quando l'utente si disconnette dalla piattaforma.
Affinché la richiesta di logout sia accettata da un Identity Provider, la richiesta deve essere firmata. È quindi necessario caricare la propria chiave pubblica e quella privata nella sezione Service Provider Certificate quando si desidera utilizzare il Logout Behaviour.
Provisioning degli utenti
Questa sezione consente di creare in Docebo gli utenti dell'Identity Provider non ancora presenti nel database della piattaforma. Selezionare l'opzione Abilita per attivare lo user provisioning.
Attivare l'opzione Blocca campi provisioning utenti impedisce agli utenti di modificare i propri dati se il proprio profilo utente è stato creato con SAML.
Attenzione: L'opzione di blocco dei campi degli utente creati via provisioning non sarà applicata agli utenti creati con un metodo diverso sulla piattaforma anche se i loro campi aggiuntivi utente saranno aggiornati successivamente tramite il provisioning JIT.
Nel caso in cui esistano utenti codificati in entrambi i database, definire se aggiornare le informazioni utenti per gli utenti esistenti in piattaforma al momento dell'import. Se questa opzione non è selezionata, sarà necessario registrare (opzione abilita) o aggiornare (opzione aggiorna) manualmente gli utenti in piattaforma.
Ora è possibile indicare per quali campi aggiuntivi si desidera creare delle associazioni fra Docebo e l'Identity Provider, creando delle corrispondenze fra i nomi dei campi di Docebo e i nomi dei campi dell'Identity Provider (Attribute Statement).
-
Attenzione! Se si desidera popolare il campo aggiuntivo dell'utente relativo al Paese tramite SSO, un valore accettabile potrebbe essere l'ID del Paese o il nome del Paese, come indicato nell'articolo Elenco dei Codici ISO 3166-1 per i Paesi.
È possibile definire la lingua degli utenti creati in piattaforma attraverso SAML utilizzando il campo Language. In questo modo, una volta creato l'utente, la sua piattaforma sarà nella lingua definita attraverso SAML. Una volta aggiungo il campo Language, inserire la stessa stringa nel campo di testo Attribute Statement inserito nel campo dell'identity provider che si sta interfacciando.
Premere Salva Modifiche per terminare. Ora è possibile scaricare il file XML e importarlo nel proprio Identity Provider per configurare le autorizzazioni necessarie e completare la procedura.
Note sul provisioning degli utenti
- Ogni campo deve essere unico, non è quindi possibile utilizzare lo stesso nome per più campi. Indicare il nome del campo aggiuntivo nel campo di testo della piattaforma, quindi premere Aggiungi. Il campo aggiuntivo sarà visualizzato in un elenco nella parte inferiore di questa sezione, e i nomi del campo e della categoria saranno automaticamente completati dalla piattaforma. Inserire l'attributo corrispondente dell'Identity Provider nei campi di testo corrispondenti.
- Nel campo lingua dell'Identity Provider, la stringa deve utilizzare uno dei codici utilizzati dalla piattaforma per identificare le lingue (en=inglese, de=tedesco, ecc). Elenco completo dei codici lingua (24kb, PDF). Se il codice di questo campo non corrisponder ai codici lingua utilizzati dalla piattaforma, al momento dell'attivazione, l'utente utilizzerà la lingua di default della piattaforma.
- Selezionando l’opzione Nome e cognome sono campi obbligatori per la registrazione nella tab Autoregistrazione della sezione Configurazione del Menu Amministrazione di Docebo, l’Identity Provider deve fornire i nomi e i cognomi degli utenti per una corretta registrazione in piattaforma.
Consigli d'utilizzo
Per sfruttare al meglio questa integrazione, definire dei gruppi automatici e di utilizzare l'app Regole di iscrizione per iscrivere automaticamente questi gruppi ai corsi e ai piani formativi. Alla creazione di un nuovo utente, non sarà quindi necessario assegnarlo manualmente ad un gruppo o iscriverlo ad un corso o ad un piano formativo. Per creare le corrette corrispondenze fra i campi SAML e i campi aggiuntivi di Docebo e per utilizzarli per il popolamento automatico dei gruppi, è necessario disconnettersi sia dall'Identity Provider che da Docebo. Assicurarsi di aver selezionato l'opzione nella sezione Logout Behavior. Se questa opzione non è selezionata, il processo di user provisioning non funzionerà.
Alcuni Identity Provider SAML, non consentono l'utilizzo degli endpoints standard di SAML forniti da metadata XML. In questo caso, Docebo può utilizzare endpoint semplificati. Docebo utilizza metadata SAML 2.0, rendendo possibile l'utilizzo di OpenSAML:
http(s)://exampleLMS.docebosaas.com/simplesaml/modules/saml/sp/saml2-logout.php/default-sp
http(s)://exampleLMS.docebosaas.com/simplesaml/modules/saml/sp/saml2-acs.php/default-sp
Se il dominio personalizzato dev'essere configurato dopo che il SSO è già stato configurato, seguire i passi riportati qui sotto:
-
- Configurare il dominio personalizzato in Docebo, fare riferimento all'articolo Domain Management: Configuring custom domains (Gestione dei domini: Configurazione dei domini personalizzati) per maggiori dettagli.
- Accedere al dominio personalizzato creato nella propria piattaforma Docebo
- Accedere al Menu amministrazione dall’icona ingranaggio in alto a destra della pagina
- Selezionare l’opzione Gestione nella sezione SAML
- Nella pagina di gestione di SAML, scaricare i Metadati SAML 2.0 SP selezionando il bottone Download nella sezione Metadati SAML 2.0 SP
- Una volta che il download è completato, connettersi al proprio account Identity Provider
- Accedere a Existing Relying Party Trust
- Importare i metadati scaricati nella sezione
Suggerimenti
- In base ai campi utenti che si desidera importare, è possibile scegliere se importare gli utenti utilizzando file CSV, attraverso SAML o attraverso l'app Automation. La tabella che segue mostra un confronto fra i campi che è possibile imporate con l'app Automation e con SAML:
Campo Utente LMS Automation SAML SSO User Name X X First Name X X Last Name X X Email X X Level X Profile Name X Branch Name X X Branch Code X X Branch Name Path X Branch Code Path X Password X Hashed Password X Active X Force Password Change X Expire On X Language X X Date Format X Time Zone X New User Name X User ID Is Manager X UUID Direct Manager X
(Nota: per popolare questo campo, l'utente deve avere il flag "Is Manager" impostato su 1)Other Manager Types Additional Fields X X - Quando si definisce la propria strategia di provisioning, considereare se si desidera monitorare gli utenti, o inviare notifiche prima di attivare la piattaforma. Nel caso, sarà necessario precaricare gli utenti.
Certificazione AWS
Docebo è disponibile nel Catalogo AWS SSO.