Introduzione
È possibile integrare Docebo con Auth0 per la gestione del single sign-on. Questa integrazione permette agli utenti di connettersi a Docebo utilizzando le stesse credenziali delle sessioni attive in altre piattaforme web. Questa integrazione è disponibile anche per gli utenti dell'app Extended Enterprise di Docebo.
Attenzione! I domini personalizzati di Auth0 non sono supportati da Docebo per l'autenticazione con Auth0.
Attivazione dell'app in Docebo
Attivare l'app Auth0 come descritto nell'articolo della knowledge base dedicato alla gestione di applicazioni e funzionalità. L'app si trova nella tab Single Sign On.
Dopo l’attivazione è possibile iniziare la configurazione. Fare riferimento alla sezione che segue per ulteriori informazioni.
Configurare l’integrazione in Auth0
Consiglio d'utilizzo: Quando si configurano un'integrazione SSO e un dominio personalizzato definito nella Gestione domini per la stessa piattaforma, consigliamo di configurare prima il dominio personalizzato. Gli URL degli endpoint necessari all'integrazione SSO dipendono dell'URL della piattaforma.
Connettersi al proprio account Auth0, quindi premere il pulsante New Application nella dashboard. Inserire il nome della propria App e selezionare il tipo di client dalla finestra pop up. Il tipo di client non è rilevante per questa integrazione. Fare riferimento alla documentazione Auth0 (si apre in una nuova tab) per informazioni riguardo i tipi di client.
Premere Create per terminare. Alla fine della creazione, spostarsi nel tab Settings per salvare il Domain, il Client ID e i Client Secret generati automaticamente. Cliccare il bottone Review Client Secret sulla destra del campo Client Secret. È necessario inserire questi tre campi nei campi corrispondenti della pagina delle configurazione di Auth0 della piattaforma.
Inserire l'URL della propria piattaforma nel campo Allowed Callback URLs e nel campo Allowed Web Origins. Per il campo Allowed Callback URLs è necessario inserire delle informazioni dopo l'URL della piattaforma, in questo formato:
https://mylmsurl.docebosaas.com/learn/auth0/login
Per chi ha attivato Auth0 per la propria App Mobile, in caso di rebranding dell'app attraverso il Branded Mobile App Publisher di Docebo, è necessario definire il Package name (per Android) e il Bundle ID (per IOS) nel campo Allowed callback URLs. Il formato delle URL di callback per le app mobile che utilizzano il rebranding di Docebo è il seguente:
com.yourcompany.yourapp
In fondo alla pagina, premere Show Advanced Settings nel tab Settings per il client Auth0. Nella sezione Advanced Settings, selezionare la tab Certificates, copiare il testo del campo Signing Certificate e incollarlo nel campo corrispondente nella pagina di configurazione di Auth0 in Docebo. È possibile scaricare il certificato, ma non è obbligatorio ai fini della configurazione. Opzionalmente, è possibile scaricare il certificato come riferimento, se necessario. Il resto della configurazione si esegue direttamente in Docebo.
Configurare l’app in Docebo
Accedere al Menu Amministrazione dall’icona ingranaggio in alto alla pagina, cercare la sezione Auth0 nel menu, quindi premere l’icona ingranaggio per accedere alla configurazione. Inserire quindi il Domain, il Client ID, il Client Secret e il Signing Certificate generati da Auth0.
Selezionare lo username di Auth0 che sarà assegnato ad un profilo utente in Docebo. Digitare l’attributo (ex. Username, indirizzo email, unique user) nei campi di testo corrispondenti.
Premere Salva le modifiche per terminare la procedura ignorando la configurazione SSO, il logout behaviour e lo user provisioning.
Configurazione SSO
Per configurare il SSO, selezionare una delle due opzioni a disposizione nella sezione dedicata. Scegliere se si desidera visualizzare la pagina di login standard di Docebo, o se si preferisce reindirizzare automaticamente all’Identity Provider. Selezionando la prima opzione, è possibile decidere se visualizzare il pulsante SSO sulla pagina di login della piattaforma.
Selezionando l’opzione Reindirizza automaticamente all'Identity Provider, è possibile definire una Pagina di destinazione del logout per la disconnessione degli utenti, in sostituzione della pagina standard di logout. Indicare l’URL nel campo di testo dedicato.
Logout behavior
La sezione Logout Behavior permette di abilitare l’opzione per la disconnessione automatica dell’utente dall’Identity Provider allo scollegamento da Docebo.
Quando si seleziona questa opzione, è necessario inserire l'URL della propria piattaforma nella lista consentita in Auth0, o gli utenti non potranno disconnettersi. L'URL della piattaforma deve essere dichiarato in due aree dell'account di Auth0, quindi connettersi al proprio account Auth0 e:
- cliccare Applications nel menu di sinistra, identificare l'applicazione Docebo nell'elenco e cliccare l'icona ingranaggio nella riga dell'applicazione per accedere la pagina Settings. Nella sezione Allowed logout URLs digitare l'URL della piattaforma seguito da
/auth0
. Per esempio:https://myplatform.docebosaas.com/auth0
- accedere ora al proprio profilo cliccando sul proprio avatar in alto a destra, e selezionare Settings. Spostarsi alla tab Advanced e digitare l'URL della piattaforma nella sezione Allowed Logout URLs. Per sempio:
https://myplatform.docebosaas.com
Se si utilizza un dominio personalizzato definito nella Gestione domini, inserire sia l'URL del proprio dominio personalizzato che l'URL docebosaas.
User provisioning
Attenzione! Per il corretto funzionamento dello user provisioning per questa integrazione, è necessario in primo luogo creare delle regole in Auth0 per esporre i claim degli utenti di Auth0 in modo che Docebo possa utilizzare i dati per configurare il provisioning degli utenti. Fare riferimento alla documentazione ufficiale di Autth0 (si apre in una nuova tab) per ulteriori informazioni.
Dopo aver creato le regole, è possibile configurare lo user provisioning in Docebo. Creando un nuovo client in Auth0, il client è creato com OIDC Confromant. Docebo non funziona con client OIDC Conformant, in quanto utilizza la pipeline legacy di Auth0. È quindi necessario disabilitare questa configurazione nel proprio account Admin di Auth0:
In Docebo, questa sezione permette di creare istantaneamente un utente presente nell'Identity Provider ma non nel database della piattaforma. Selezionare Abilita, e opzionalmente il blocco ai provisioned user per impedire agli utenti di modificare i propri profili in Docebo via Auth0. Durante la modifica del profilo utente, questa opzione sarà disabilitata.
Nel caso in cui siano presenti utenti definiti in entrambi i database, selezionare l’opzione Se l'utente esiste, aggiorna le informazioni. Attenzione! Se queste opzioni non sono selezionate, è necessario registrare (opzione enable) o aggiornare (opzione di aggiornamento) manualmente gli utenti in piattaforma.
Indicare infine i campi aggiuntivi per cui si desidera stabilire un’associazione fra Docebo e l’Identity Provider, e associare i nomi dei campi Docebo ai nomi dei campi dell’Identity Provider. Attenzione, ogni campo è unico, non è possibile applicare lo stesso claim a più campi.
Indicare il nome del campo aggiuntivo nel campo di testo della piattaforma, quindi premere Aggiungi. Il campo aggiuntivo sarà visualizzato nell’elenco sottostante, la piattaforma compilerà automaticamente il nome e la categoria del campo nelle finestre di testo corrispondenti. A fine configurazione, premere Salva le modifiche.
Note sullo user provisioning
- Se si desidera compilare il campo aggiuntivo della nazione dell'utente tramite SSO, un valore accettabile potrebbe essere l'ID della nazione o il nome della nazione come elencato nell'articolo Elenco dei Codici ISO 3166-1 per i Paesi.
- L'attributo utente Language non è supportato per il provisioning degli utenti.
Auth0 per i client Extended Enterprise
È possibile configurare Auth0 per i clienti creati utilizzando l'app Extended Enterprise dal Menu amministrazione, selezionando la sezione Extended Enterprise quindi Gestione. Dopo aver identificato il cliente nell’elenco, premere l’icona ingranaggio nella riga corrispondente. Nel tab Auth0 settings, seguire gli step descritti in precedenza per compilare la pagina di configurazione.
Eseguire il login con le credenziali di Auth0
Per connettersi alla piattaforma utilizzando le credenziali di Auth0, premere il tasto Login nella pagina di Login della piattaforma, quindi Auth0 nel pop up.
Configurare Auth0 per l'app Go.Learn
Se si utilizza Auth0 per il SSO nell'app mobile Go.Learn di Docebo, è necessario configurare i campi Application Type e Allowed Callback URLs in Auth0 per permettere agli studenti di effettuare il login all'app utilizzando Auth0.
Il tipo di applicazione (Application Type) deve essere impostato a Native, ed è necessario aggiungere i seguenti URL nella sezione Allowed Callback URLs (sostituendo {AUTH0_DOMAIN}
con il proprio dominio Auth0 utilizzando il FQDN - Fully qualified domain name, nome di dominio completo):
com.docebo.eolo.staging://{AUTH0_DOMAIN}/ios/com.docebo.eolo.staging/callback
com.docebo.eolo.staging://{AUTH0_DOMAIN}/android/com.docebo.eolo.staging/callback
Attenzione! È necessario configurare questi campi il prima possibile per assicurarsi che i propri utenti possano accedere all'app Go.Learn utilizzando Auth0. A partire dal 2 aprile 2019, se non si sono configurati correttamente questi campi, i propri utenti non potranno accedere all'app Go.Learn utilizzando il SSO Auth0.
Flusso di autenticazione
A partire dal 26 ottobre 2021, Docebo utilizza short-lived token per una maggiore sicurezza della piattaforma:
Vecchio flusso di autenticazione
Prima del 26 ottobre 2021, la piattaforma inviava una richiesta all'Identity Provider (IdP) che rispondeva con un token di accesso persistente.
Ogni SSO ha dei processi diversi, ma tutti restituiscono un link alla piattaforma contenente il token di accesso nell'URL:
https://mylms.docebosaas.com/learn/home;type=oauth2_response;reenter_cc=0;access_token=9b8de7ed2af145dee78aa4282bf1d3b17baf02cd;expires_in=3600;token_type=Bearer;scope=api
Flusso di autenticazione con Short Lived Token
Il nuovo flusso di autenticazione offre maggiore sicurezza sostituento il short lived token monouso inviato dall'IdP con un token interno:
Ogni SSO ha dei processi diversi, ma tutti restituiscono un link alla piattaforma contenente il token di accesso nell'URL. Gli short lived token possono essere usati una sola volta (la loro validità è di 30 secondi) ed essere scambiati con vere credenziali:
https://mylms.docebosaas.com/learn/signin;type=token_exchange;exchange_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSU
La piattaforma utilizza internamente e automaticamente chiamate POST e li modifica con token di accesso reali. Questo processo offre maggiore sicurezza senza modificare il comportamento del SSO.