Introduzione
Questo articolo descrive come configurare l’integrazione fra Docebo e SAML, utilizzando il processo di configurazione smart. Questa opzione di configurazione è il default per le piattaforme attivate dopo il 25 Febbraio 2020, e per le piattaforme che hanno attivato la app SAML sempre dopo il 25 Febbraio 2020. Ulteriori informazioni sulle opzioni disponibili per configurare l’integrazione di SAML con Docebo.
Attivando l’App SAML in Docebo, gli utenti potranno connettersi alla piattaforma utilizzando le credenziali delle sessioni attive in altre piattaforme web. Questo articolo è una guida all’attivazione e alla configurazione dell’app utilizzando la procedura di configurazione Smart.
Attenzione: Per evitare configurazioni non corrette di SAML, a partire da Aprile 2018 Docebo ha attivato un blocker. Se la connessione continua a saltare, uno stopper mostrerà una pagina di errore, e il browser che ha iniziato il loop non sarà utilizzabile per un’ora.
Configurare SAML utilizzando Google, OKTA, Microsoft Azure e OneLogin Se si desidera configurare SAML utilizzando OKTA, Microsoft Azure o OneLogin, fare riferimento alla configurazione step-by-step suggerita dai nostri Solution Deployment Manager: Inoltre, quando si configura SAML, è necessario definire il parametro Assertion Encryption a Unencrypted.
Attivare l’App SAML
Attivare la app SAML come descritto nell'articolo della Knowledge Base dedicato alla gestione di applicazioni e funzionalità. La app si trova nella tab Single Sign On.
Dopo l’attivazione è possibile iniziare le configurazione. Fare riferimento alla sezione che segue per ulteriori informazioni.
Configurare l’App SAML con il Processo di Configurazione Smart
Iniziare la configurazione accedendo al Menu Amministrazione dall’icona ingranaggio in alto a destra. Individuare la sezione dedicata a SAML e premere Impostazioni per accedere alla pagina di configurazione. Si accederà alla pagina di configurazione. Selezionare innanzitutto l’opzione Smart Configuration nella sezione Attiva. Questa opzione non è abilitata al momento dell’attivazione dell’app in piattaforma. È necessario abilitarla per procedere con la configurazione dell’app in piattaforma.
Inserire quindi l’URL del SSO nel campo di testo nella sezione URL SSO, e l’Issuer nel campo di testo nella sezione Issuer. Entrambi i campi sono obbligatori. Se necessario, chiedere al proprio manager IT di fornire queste informazioni, necessarie per autenticare l’app con l’Identity Provider.
Certificato x509
Caricare il certificato X509 selezionando Carica Certificato all’interno della sezione Certificato X509. Il certificato X509 è obbligatorio per la configurazione. Al caricamento del certificato, la piattaforma valida la chiave pubblica che si sta caricando. Una volta completato il caricamento, sarà visualizzato un messaggio nella sezione Certificato X509 a conferma della validità (o mancata validità) del certificato caricato. Premere Visualizza Dettagli per informazioni sulla lettura e la certificazione del certificato da parte di Docebo, incluso lo stato della validità e le date di scadenza. Si noti che se Docebo non è in grado di validare il certificato, non sarà possibile procedere con la configurazione.
Attenzione: la piattaforma utilizza in automatico le date di scadenza del certificato X509 caricato per inviare a tutti i Superadmin della piattaforma notifiche obbligatorie riguardanti gli aggiornamenti necessari per la configurazione SAML (30, 15, 5 e un giorno prima della scadenza del certificato). Le notifiche non possono essere modificate né disabilitate. In questo modo, è possibile aggiornare la configurazione di SAML prima della sua scadenza, così che il login degli utenti in piattaforma non venga bloccato. Se la App Extended Enterprise è attiva in piattaforma, le notifiche saranno inviate al dominio principale, e a tutti i sottodomini.
Service Provider Signing
A questo punto, premere Carica File per caricare il File Chiave Privata (PEM) e il File Certificato (CRT) nella sezione Service Provider Signing. Questa azione non è obbligatoria all’interno della configurazione, ma è necessario caricare questi certificati se si vuole utilizzare la funzionalità di single logout (SLO).
E' obbligatorio caricare entrambi i file. È necessario caricare sia il file PEM sia il file CRT. Nessuno di questi file contiene informazioni aggiuntive (il primo include soltanto la chiave privata e il secondo soltanto il certificato), altrimenti si riceverà un messaggio di errore durante la configurazione dell’app. Esempio di certificato in formato PEM e esempio di file private key in formato PEM.
Come nel caso del certificato X509, i certificati PEM e CRT verranno validati al caricamento. Una volta terminato il caricamento, nella sezione Certificato X509 sotto ogni pulsante Carica File apparirà un messaggio che informa sulla validità (o mancata validità) del certificato caricato. Premere Visualizza Dettagli per venire a conoscenza di come Docebo ha letto e validato il certificato, incluso lo stato della validità e le date di scadenza. Si noti che se Docebo non è in grado di validare il certificato, non sarà possibile procedere con la configurazione.
La piattaforma utilizza in automatico le date di scadenza nei file PEM e CERT caricati per inviare a tutti i Superadmin della piattaforma notifiche obbligatorie riguardanti gli aggiornamenti necessari per la configurazione SAML (30, 15, 5 e un giorno prima della scadenza del certificato). Le notifiche non possono essere modificate né disabilitate. In questo modo, si ha la possibilità di aggiornare la configurazione di SAML prima della sua scadenza, così che il login degli utenti in piattaforma non venga bloccato. Se la App Extended Enterprise è attiva in piattaforma, le notifiche saranno inviate al dominio principale, e a tutti i sottodomini.
Username Attribute
Nella sezione Username Attribute, selezionare una delle opzioni fornite dall’Identity Provider. L’attributo selezionato sarà lo username degli utenti di Docebo. Al momento della scelta, assicurarsi che l’attributo selezionato sia popolato per tutti gli utenti dell’Identity Provider. L’attributo selezionato deve essere univoco. Per esempio, selezionando l’attributo Family Name, è necessario assicurarsi che nessuno degli utenti abbia lo stesso cognome. Consigliamo di utilizzare lo Username Attribute di tipo Email.
Ricordarsi inoltre che si è selezionata l’opzione Nome e cognome sono campi obbligatori per la registrazione nella tab Autoregistrazione della sezione Configurazione del Menu Amministrazione di Docebo, l’Identity Provider deve fornire i nomi e i cognomi degli utenti per una corretta registrazione in piattaforma.
Tutti i campi obbligatori sono stati configurati (Issuer, URL SSO e X509). Se non si desidera configurare il campo unico, l’SSO behavior, il logout behavior o il provisioning dell’utente, premere Salva Modifiche per terminare. Copiare ora l’URL di Login e l’URL di Logout visualizzati nella sezione Metadati SAML 2.0 SP per passarli all’identity provider.
Se necessario, scaricare il file dei metadati selezionando Scarica nella sezione Metadati SAML 2.0 SP. Ricordare però che gli unici file da passare obbligatoriamente sono l’URL di Login e l’URL di Logout, forniti nella stessa sezione.
Se si desidera configurare il logout behavior, l’SSO behavior e/o il provisioning dell’utente non premere Salva Modifiche. Fare riferimento alle sezioni successive per ulteriori informazioni riguardo i campi di questa pagina.
SSO Behavior
Per configurare il SSO Behavior è possibile scegliere fra due opzioni. Scegliere se si desidera visualizzare la pagina di login standard della piattaforma o se reindirizzare automaticamente i visitatori alla pagina dell’Identity Provider. Selezionando la prima opzione, è possibile selezionare se mostrare il pulsante SSO nella pagina di login della piattaforma.
Selezionando l’opzione per il re-indirizzamento automatico all’Identity Provider, è possibile indicare la pagina che sarà visualizzata quando gli utenti si disconnettono dalla piattaforma invece di mantenere la pagina standard di logout. Utilizzare il campo di testo per digitare l’URL della pagina.
L’opzione Mostra la pagina di login predefinita è supportata dall’app mobile Go.Learn di Docebo. Se si seleziona questa opzione e si utilizza SAML nell’app mobile, ricordare che è necessario selezionare anche l’opzione Mostra il bottone di SSO nella pagina di login. L’opzione Reindirizza automaticamente all’Identity Provider (e di conseguenza la possibilità di aggiungere la pagina di destinazione del logout) non è supportata dall’app mobile Go.Learn.
La configurazione SSO è testatd per gli Identity Provider standard. Generalmente, Docebo inizializza l'SSO con l'Identity Provider, e la prima chiamata non è eseguita in sicurezza perché gli utenti devono ancora inserire le proprie credenziali nell'Identity Provider. La configurazione lato Identity Provider creerà un canale sicuro da qui in poi.
Logout Behavior
La sezione Logout Behavior permette di selezionare l’opzione per la disconnessione automatica dall’Identity Provider quando l’utente si disconnette dalla piattaforma. Si noti che non è possibile abilitare questa opzione se non si sono ancora caricati e validati in piattaforma i file PEM e CRT. Affinché la richiesta di logout sia accettata da un Identity Provider, la richiesta deve essere firmata. Questo significa che sono necessari entrambi i file per selezionare questa opzione.
Quando si seleziona questa opzione, si attiva il campo di testo Logout Endpoint per definire l’URL dove gli utenti saranno reindirizzati una volta scollegati dalla piattaforma e dell’Identity Provider. Grazie a questa configurazione, gli utenti potranno essere reindirizzati ad un URL diverso da quello utilizzato per il SSO. E’ obbligatorio definire l’endpoint di logout quando si seleziona l’opzione Logout Behavior.
Provisioning dell’Utente
Questa sezione consente di creare istantaneamente in Docebo gli utenti presenti nell’Identity Provider ma non ancora presenti del database della piattaforma. Selezionare l’opzione Abilita per attivare il provisioning dell’utente, e attivare i parametri della sezione. L’opzione Blocca campi provisioning utenti permette di impedire agli utenti di modificare dettagli nei propri profili che siano stati creati tramite SAML. Quando si modifica un profilo utente, le opzioni vengono disattivate.
Nel caso in cui esistano utenti già presenti in entrambi i database, definire se aggiornare le informazioni dell’utente per gli utenti esistenti. Se questa opzione non è selezionata, sarà necessario registrare (opzione abilita) o aggiornare (opzione aggiorna) manualmente gli utenti in piattaforma.
Ora è possibile indicare per quali campi aggiuntivi si desidera creare delle associazioni fra Docebo e l’Identity Provider, creando delle corrispondenze fra i nomi dei campi di Docebo e i nomi dei campi dell’Identity Provider (Attribute Statement).
Ogni campo deve essere unico, non è quindi possibile utilizzare lo stesso nome per più campi. Nel campo di testo, indicare il nome del campo aggiuntivo della piattaforma, quindi premere Aggiungi. Il campo aggiuntivo sarà visualizzato in un elenco nella parte inferiore di questa sezione, e il nome del campo e la categoria del campo saranno automaticamente completati dalla piattaforma. Inserire l’attributo corrispondente dell’Identity Provider nei campi di testo corrispondenti.
È possibile definire la lingua degli utenti creati in piattaforma tramite SAML utilizzando il campo Lingua. In questo modo, una volta creato l’utente, la sua piattaforma sarà nella lingua definita attraverso SAML. Una volta aggiunto il campo Lingua, inserire nel campo di testo Attribute Statement la stessa stringa inserita nel campo dell’identity provider che si sta interfacciando.
Nel campo lingua dell’Identity Provider, la stringa deve utilizzare uno dei codici utilizzati dalla piattaforma per identificare le lingue (en=inglese, de=tedesco, ecc). Elenco completo dei codici lingua. Se il codice di questo campo per un utente specifico non corrisponde ai codici lingua utilizzati dalla piattaforma, al momento dell’attivazione, l’utente utilizzerà la lingua di default della piattaforma.
Premere Salva Modifiche per terminare. Ora è possibile scaricare il file XML e importarlo nel proprio Identity Provider per configurare le autorizzazioni necessarie e completare il processo.
La creazione dei rami in SAML non è supportata attraverso l'import via CSV. Tutti gli utenti saranno automaticamente inseriti nel ramo principale nelle configurazioni con un solo dominio, o, se l'app Extended Enterprise è attiva, nel ramo corrispondente al sottodominio.
Consigli d’Utilizzo
Per sfruttare al meglio questa integrazione, consigliamo di definire dei gruppi auto-popolati e di utilizzare la App Regole di Iscrizione di Docebo per iscrivere automaticamente questi gruppi ai corsi e ai piani formativi. Alla creazione di un nuovo utente, non sarà quindi necessario assegnarlo manualmente ad un gruppo o iscriverlo ad un corso o ad un piano formativo.
Per creare le corrette corrispondenze fra i campi SAML e i campi aggiuntivi di Docebo e per utilizzarli per il popolamento automatico dei gruppi, è necessario disconnettersi sia dall’Identity Provider che dalla piattaforma Docebo. Assicurarsi di aver selezionato l’opzione nella sezione Logout Behavior. Se questa opzione non è selezionata, il processo di user provisioning non funzionerà.
Alcuni Identity Provider SAML non consentono l’utilizzo degli endpoint standard di SAML forniti da metadati XML. In questo caso, Docebo può utilizzare endpoint semplificati. Docebo utilizza metadati SAML 2.0 senza la parte della query, rendendo possibile l’utilizzo di OpenSAML:
- http(s)://exampleLMS.docebosaas.com/simplesaml/modules/saml/sp/saml2-logout.php/default-sp
- http(s)://exampleLMS.docebosaas.com/simplesaml/modules/saml/sp/saml2-acs.php/default-sp
Suggerimenti
In base ai campi utenti che si desidera importare, è possibile scegliere se importare gli utenti utilizzando file CSV, attraverso SAML o attraverso la App Automation. Confronto fra i campi che è possibile imporate con la App Automation e con SAML.
Certificazione AWS
Docebo è disponibile nel Catalogo AWS SSO.