Introduzione

OpenID Connect (si apre in una nuova scheda) è un protocollo di autenticazione basato su OAuth 2.0. Permette di verificare l’identità degli utenti sull’autenticazione eseguita da un Server di Autorizzazione, e ottenere le informazioni di base del profilo degli utenti in modo interoperabile. Docebo supporta il flusso Connect Authorization Code, uno dei flussi di autenticazione. Fare riferimento alla documentazione tecnica di OpenID Connect (si apre in una nuova scheda) per ulteriori informazioni.

Attivando l'app OpenID Connect in Docebo, gli utenti potranno connettersi alle proprie piattaforme Docebo utilizzando le credenziali di sessioni attive di altre piattaforme web. Se questa App è attiva, gli utenti potranno connettersi alla piattaforma utilizzando le credenziali di altre piattaforme web cliccando l’icona OpenID Connect nella pagina di login della piattaforma Docebo oppure direttamente dalla dashboard di OpenID Connect, attraverso l’icona della piattaforma Docebo. Se l’utente che chiede di connettersi non esiste ancora in Docebo, sarà creato automaticamente al primo login.

Questo articolo indica come procedere all’attivazione e alla configurazione dell'app. L’integrazione con OpenID Connect è disponibile per l'app Extended Enterprise di Docebo.

Attenzione! Con OpenID Connect è possibile integrare un solo Identity Provider per dominio della piattaforma. Nel caso in cui sia necessario integrare altri Identity Provider per lo stesso dominio, utilizzare un altro protocollo.

L'applicazione mobile di Docebo Go.Learn supporta la maggior parte delle configurazioni di autenticazione con OpenID Connect descritte in questo articolo.

Consiglio d'utilizzo: Quando si configurano contemporaneamente un'integrazione SSO e un dominio personalizzato, consigliamo vivamente di configurare prima il dominio personalizzato nella Gestione domini. Gli URL degli endpoint necessari per l'integrazione SSO dipendono dall'URL della piattaforma.

Attivare l'app OpenID Connect

Attivare l'app OpenID Connect come descritto nell'articolo della Knowledge Base dedicato alla gestione di applicazioni e funzionalità. L'app si trova nella scheda Single Sign On.

Dopo l’attivazione è possibile iniziare le configurazione. Fare riferimento alla sezione che segue per ulteriori informazioni.

Configurare l'app OpenID Connect

Iniziare la configurazione dell'app connettendosi alla piattaforma come Superadmin e accedendo al Menu amministrazione dall’icona ingranaggio in alto a destra. Identificare la sezione OpenID Connect nel Menu amministrazione e premere Gestione per accedere alla pagina di Configurazione di OpenID Connect.

Gli URL visualizzati nella sezione URL della Piattaforma sono generati automaticamente dalla piattaforma, e devono essere passati all’Identity Provider per una corretta configurazione della piattaforma Docebo nel sistema dell’Identity Provider:

URL di login

Pagina di login dell’applicazione di terze parti per l’autenticazione utilizzando OpenID Connect

URL di logout

URL di logout utilizzato per disconnettere l’utente attualmente connesso dall’applicazione di terze parti

Attenzione! Per utilizzare il SSO con OpenID Connect nella propria app mobile Go.Learn o branded, è necessario aggiungere l'URL golearn://sso_logout alla lista dei sign-out redirect URI (anche chiamati redirect URI or callback URL) nella pagina di configurazione nell’Identity Provider.

Codice URL

URL di reindirizzamento dell’applicazione di terze parti per le risposte del codice di OpenID Connect.

Attenzione! Per utilizzare il SSO con OpenID Connect nella propria app mobile Go.Learn o branded, è necessario aggiungere il parametro ?device=mobile alla fine del codice URL quando si copia e incolla il codice URL da Docebo alla pagina di configurazione dell'Identity Provider.

La sezione OpenID Client deve essere compilata con i dettagli dell’Identity Provider che si sta integrando. Copiare ed incollare questi dati dall’identity provider in questa sezione della piattaforma Docebo. Consultare la documentazione tecnica dell’identity provider per ulteriori informazioni riguardo come ottenere questi dati. Se l’Identiy Provider in uso è OKTA, OneLogin, Salesforce, Microsoft Entra o Microsoft Azure AD B2C sono disponibili degli esempi di configurazione alla fine di questo articolo.

Issuer

URL completo del server di autorizzazione

Client ID

Client ID del client che richiede il token di accesso

Client Secret

Il Client Secret è utilizzato con il Cliend ID per autenticare l’applicazione client.

Metadata URL

Fornisce i metadata OpenID Connect relativi al server di autenticazione indicato. Il Metadata URL fornisce tutti i dati configurabili nella seconda sezione della pagina di configurazione di OpenID Connect.

Nella sezione Auth type è possibile selezionare se attivare il Tipo di autenticazione Basic Auth o Query String, in base all’Identity Provider in uso. L’opzione di default è Basic Auth, in quanto maggiormente utilizzata. Fare riferimento alla documentazione dell’Identity Provider per ottenere questa informazione.

Premere Continua per attivare il secondo slot di parametri e procedere con la configurazione. Le opzioni seguenti sono auto-popolate dall'URL metadati.

• Premere Reset in qualsiasi momento per ricominciare la configurazione da zero. In questo caso, dopo aver completato il primo slot di parametri e aver premuto Continua, premere anche Salva le modifiche per aggiornare la pagina e recuperare correttamente le opzioni dall'URL metadati.

Username attribute

Nella sezione Username attribute, selezionare una delle opzioni fornite dall’Identity Provider. L’attributo selezionato sarà lo username degli utenti della piattaforma Docebo. Al momento della scelta, assicurarsi che l’attributo selezionato sia popolato per tutti gli utenti dell’Identity Provider. L’attributo selezionato deve essere univoco. Per esempio, selezionando l’attributo Family Name, è necessario assicurarsi che nessuno degli utenti abbia lo stesso cognome. Consigliamo di utilizzare lo Username Attribute di tipo Email.

Ricordare inoltre che si è selezionata l'opzione Nome e cognome sono campi obbligatori per la registrazione nella scheda Autoregistrazione della sezione Configurazione del Menu amministrazione di Docebo, l'Identity Provider deve fornire i nomi e i cognomi degli utenti per una corretta registrazione in piattaforma.

Scopo

Gli elementi di questo elenco sono auto-popolati e dipendono dall’endpoint. Sono dati ricavati dal Metadata URL inserito nella sezione OpenID Client. Selezionare i dati utente che si desidera recuperare dall’Identity Provider attraverso l’ID Token, selezionando i checkbox corrispondenti. Attenzione, i campi Email e Profile sono obbligatori e devono essere sempre selezionati.

Le opzioni selezionate in questa sezione identificano i dati che popoleranno il profilo utente al momento della creazione dell'utente stesso in piattaforma, al primo login. Se l’ID Token include campi aggiuntivi, assegnazione a gruppi o rami di Docebo, questa informazione sarà presa in considerazione e popolata nella piattaforma Docebo.

Metodo di scambio del token

Questo parametro permette di definire il modo in cui il sistema invia le richieste dati JTW all’Identiti Provider. Di default, Docebo invia le richieste via URL utilizzando i parametri GET. Quando si utilizza l’opzione POST, Docebo invia le richieste via URL utilizzando parametri POST, aggiungendoli alla sezione BODY della chiamata.

L’opzione GET è più semplice e invia dati attraverso l’URL, mentre l’opzione POST è più complessa, ma utilizza un metodo di criptaggio più efficace.

Attenzione! Questo parametro è definito a GET di default. Quando si utilizza questo parametro, assicurarsi di configurare l’Identity Provider in base all’opzione selezionata.

Sia le richieste GET che le richieste POST inviano i dari che seguono per il ripo di autenticazione authorization code:

Code

Il valore Code passato dallo standard OpenID, quando si utilizza il tipo di autenticazione authorization code.

Redirect URI

URI dove Docebo invia il JTW.

Quando si utilizza il tipo di autenticazione basic auth, sono inviati anche i seguenti dati:

• Client ID
• Client Secret

Convalida dei parametri di stato

Per una maggiore sicurezza, consigliamo di selezionare l'opzione su Applica e convalida il parametro di stato. Non selezionare questa opzione solo quando non si cofigura l'Identity Provider per l'invio o la convalida del parametro di stato.

Certification rotation

Quando l’opzione Certification rotation è selezionata, la piattaforma Docebo recupererà la chiave valida al momento della richiesta da un URL definito nello standard OpenID Connect. L’Identity Provider auto-abiliterà l’opzione per eseguire il refresh della certificazione autonomamente. Questa opzione fa parte della relazione standard, ed è autoselezionato.

Se l’Identity Provider non supporta la Certification Rotation, ma questa opzione è abilitata, sarà visualizzato un messaggio di errore.

Configurazione SSO

Il sezione Configurazione SSO può essere gestita in due modi. Definire se mostrare la pagina di login standard, o se reindirizzare automaticamente gli utenti alla dashboard dell’Identity Provider. Se si seleziona la prima opzione, scegliere se mostrare il pulsante per il SSO sulla pagina di login della piattaforma.

Se si seleziona l’opzione Automatic redirect to Identity Provider, è possibile definire una landing page di logout per quando gli utenti effettuano il logout dalla piattaforma, invece di utilizzare la pagina di logout standard. Utilizzare il campo di testo per digitare l’URL della landing page di logout.

Logout behaviour

La sezione Logout Behaviour permette di configurare se gli utenti saranno automaticamente disconnessi dall’Identity Provider quando si disconnettono dalla piattaforma Docebo. Opzionalmente, è possibile selezionare un endpoint di disconnessione di terze parti, in grado di ricevere messaggi di disconnessione via GET, al fine di completare il Single LogOut; questa opzione è gestita solo da alcuni Identity Provider.

In questa sezione è possibile attivarel'opzione per non inviare id_token_hint.  Docebo non consiglia di utilizzare questa opzione.

Provisioning degli utenti

Questa sezione permette di creare istantaneamente un utente presente nell’Identity Provider ma non nel database della piattaforma Docebo. Selezionare l’opzione Abilita. È inoltre possibile selezionare l’opzione per bloccare i campi utente, in modo che gli utenti non possano modificare i dettagli dei propri profili utente creati utilizzando OpenID Connect. Al momento della modifica dei profili utenti, queste opzioni saranno disabilitate.

Nel caso in cui degli utenti esistano in entrambi i database, consigliamo di selezionare l’opzione per aggiornare le informazioni degli utenti esistenti. Se queste opzioni non sono selezionate, sarà necessario registrare (opzione Abilita) o aggiornare gli utenti (aggiorna informazioni) manualmente nella piattaforma Docebo.

Attenzione: OpenId Connect popola automaticamente i campi aggiuntivi dell’Identity Provider, quindi è necessario selezionarli singolarmente dal menu a tendina Aggiungi  campi e associarli ai campi aggiuntivi di Docebo nella sezione visualizzata per ogni campo aggiuntivo dopo la selezione. Se ci sono campi aggiuntivi definiti come obbligatori nella piattaforma Docebo, devono essere mappati in questa sezione al fine di essere popolati in piattaforma. Se i campi aggiuntivi obbligatori non sono popolati, non sarà possibile creare l’utente.

Premere Salva le modifiche per completare la configurazione.

I campi aggiuntivi supportati per il provisioning degli utenti in questa integrazione sono:

• campo a tendina (utilizzare il campo a tendina nella selezione dell'attributo)
• campo di testo - codice fiscale
• Paese (utilizzare l'ID del Paese nella selezione dell'attributo)
• campo data (formato: YYYY-MM-DD)
• campo yes/no  

I campi aggiuntivi non supportati sono:

• iframe
• campo file
• campo di testo libero

Note sullo user provisioning

• Se si desidera popolare il campo aggiuntivo dell'utente relativo al Paese tramite SSO, un valore accettabile potrebbe essere l'ID del Paese o il nome del Paese, come indicato nell'articolo Elenco dei Codici ISO 3166-1 per i Paesi.
• L'attributo Language utente non è supportato per il provisioning degli utenti.

Esempi di configurazione

Questa sezione fornisce degli esempi per configurare e integrare alcuni degli Identity Provider più comunemente utilizzati. Se l’Identity Provider che si desidera integrare non è elencato in questa sezione, fare riferimento alla prima parte dell’articolo.

• OKTA
• OneLogin
• Salesforce
• Microsoft Azure Active Directory
• Microsoft Azure AD B2C
• Ping Identity

Okta

Per configurare OKTA con OpenID Connect, non è necessario che l'app OKTA sia attiva in piattaforma. Iniziare connettendosi ad OKTA come Admin, cliccare Admin in alto a destra, selezionare la scheda Applications e cliccare Add Application per creare l'app Docebo in OKTA, registrandola come Service Provider. Cliccare Create New App.

Nella finestra pop up, selezionare la Platform Type Web e il Sign On Method OpenID Connect. Premere Create per continuare. Digitare l’Application Name (può essere Docebo o il nome dell'app personalizzato) e aggiungere un logo per identificare l'app nella dashboard di OpenID Connect. Il caricamento del logo è facoltativo, ma utile per identificare velocemente la piattaforma Docebo nella dashboard di OpenID Connect.

Aprire ora la pagina di configurazione di OpenID Connect in Docebo (Menu Amministrazione - OpenID Connect - Manage), e copiare i valori mostrati nella sezione Platform URLs nei campi corrispondenti della sezione Configure OpenID Connect della pagina Create OpenID Connect Integration in Okta. Nella sezione Login redirect URIs, copiare ed incollare i valori dei campi Login URL e Code URL di Docebo, in questo ordine. Premere Add URI per inserire una nuova riga. Copiare ed incollare il valore Logout URL da Docebo alla sezione Logout redirect URIs di OKTA. Premere Add URI per inserire una nuova riga. Premere Salva per procedere.

Recuperare le informazioni di OpenID Connect dalla sezione Configure OpenID Connect della pagina Create OpenID Connect Integration di OKTA, e incollarla nella sezione Open ID Client della pagina di configurazione di OpenID Connect in Docebo. Spostarsi alla scheda General, copiare i valori di Client ID e Client Secret ed incollarli nei campi corrispondenti in Docebo. Recuperare il codice codice Client Issuer dalla propria installazione OKTA: copiare l'URL da https fino alla fine del nome del dominio (es. https://{yourdomainname}.oktapreview.com/) ed incollarlo nel campo Issuer.

Infine, comporre il valore Metadata URL come segue:

{{url}}/.well-known/openid-configuration?client_id={{clientId}}

dove:

{{url}}

Issuer Code (incluso il protocollo https o http), rimuovere {{ }}

{{clientId}}

Valore del Client ID, rimuovere {{ }}

Copiare l’URL ed incollarlo nel valore Metadata URL  di Docebo.

Sul sito web di Okta, definire gli utenti autorizzati ad utilizzare l'app. Spostarsi alla scheda Assignments e aggiungere gli utenti, uno alla volta o con un’azione massiva. Selezionare gli utenti e/o i gruppi precedentemente creati in Okta, e cliccare Assign e Done per completare l’azione.

La configurazione di Docebo in Okta è completa. Tornare a Docebo, definire l’Auth Type a Basic Auth e cliccare Continue per procedere e attivare i parametri della seconda parte della configurazione. Completare la configurazione seguendo le istruzioni della prima parte di questo articolo.

OneLogin

Per configurare OneLogin con OpenID Connect, non è necessario che l'app OneLogin sia attiva in piattaforma. Iniziare la configurazione dell'Identity Provider. Connettersi a OneLogin (si apre in una nuova scheda), cliccare Administration nella barra superiore della pagina, selezionare la scheda Apps e cliccare Custom Connectors.

Creare un connettore personalizzato per registrare Docebo come Service Provider. Cliccare New Connector in alto a destra. Inserire il nome dell'app Docebo (es. yourtrial.docebosaas.com) e premere il Thick per confermare e accedere alla pagina Basic Configuration. Definire un’icona per identificare l'app nella Dashboard di OpenID Connect. Il caricamento dell’icona è facoltativo, ma può essere utile per identificare velocemente la piattaforma Docebo nella dashboard di OpenID Connect. Nella sezione Sign On Method, selezionare OpenId Connect.

Aprire la pagina di configurazione di OpenID Connect in Docebo (Menu Amministrazione - OpenID Connect - Manage), e copiare i valori visualizzati nella sezione Platform URLs nei campi corrispondenti di OneLogin, come segue. Nella sezione OpenID Connect di OneLogin, incollare il Code URL di Docebo nel campo redirect URI. Spostarsi alla sezione Login URL e incollare il Login URL nel campo Login URL. Premere Salva per continuare.

Attenzione! OpenID Connect abilita gli SSO di tipo SP-initiated (service-provider-initiated), ma non gli SSO di tipo IdP-initiated (identity-provider-initiated). Quando si fornisce un Login URL, OneLogin entra in modalità SSO di tipo IdP-initiated: l'utente è portato alla pagina di login dell'app, dove inizia il flusso SP-initiated. Fare riferimento alla Knowledge Base di OneLogin (si apre in una nuova scheda) per ulteriori informazioni. Quando si configura l'integrazione con Docebo, digitare l'URL puro della piattaforma (https://[platformname].docebosaas.com)  nel campo Login URL di OneLogin, e definire la Configurazione SSO a Reindirizza automaticamente all'Identity Provider nella pagina di configurazione di OpenID Connect di Docebo.

Spostarsi alla scheda Apps, selezionare Add Apps e cercare OpenID Connect dalla barra di ricerca. Selezionare OpenID Connect (OIDC) fra i risultati della ricerca visualizzati nella pagina Find Application. Confermare o selezionare il piano di abbonamento e premere Continua. Inserire il nome e la descrizione dell'app. Nella scheda Configuration copiare ed incollare il Login URL di Docebo nei campi Login Url e il Code URL e il Logout URL nella sezione Redirect URI’s, su due righe separate. Premere Salva per continuare.

Recuperare ora le informazioni di OpenID Connect da OneLogin. Il codice Issuer è specificato nell’URL del sito web di OneLogin: copiare il link da https all’ultima lettera prima dello slash (non copiare lo slash). Spostarsi alla scheda SSO.

Copiare il Client ID e il Client Secret ed incollarli nei campi corrispondenti della sezione OpenID Client della pagina di configurazione di OpenID Connect in Docebo (Menu Amministrazione → OpenID Connect → Manage).

Infine, comporre il valore Metadata URL come segue:

{{url}}/oidc/.well-known/openid-configuration

Dove url è l’url dell’Identity Provider, rimuovere{{ }}

Definire ora quali utenti sono autorizzati ad utilizzare l'app. Spostarsi alla scheda Users e inserire gli account degli utenti che potranno  connettersi utilizzando l’Identity Provider.

La configurazione di Docebo su OneLogin è completata. Tornare a Docebo, definire il valore del campo Auth Type come Basic Auth e cliccare Continua per continuare ed attivare i parametri della seconda parte della configurazione. Completare la configurazione seguendo le istruzioni della prima parte di questo articolo.

Salesforce

Per configurare Salesforce con OpenID Connect, non è necessario che l'app Salesforce sia attiva in piattaforma. Iniziare la configurazione dell'Identity Provider. Connettersi a Salesforce (si apre in una nuova scheda), e cliccare Setup sulla barra superiore della pagina. Dal menu di sinistra, accedere alla sezione Build, selezionare Create ed infine Apps.

Dalla pagina Apps, spostarsi alla sezione Connected Apps e cliccare New per aggiungere Docebo come nuova applicazione.

Si aprirà la pagina New Connected App, digitare il Connected App Name e l’indirizzo email di contatto nelle sezioni corrispondenti. Spostarsi alla sezione API (Enable OAuth Settings) e selezionare l’opzione Enable OAuth settings. Selezionando questa opzione, saranno mostrate altre opzioni di configurazione nella sezione sottostante.

Aprire ora la pagina di configurazione di OpenID Connect (Menu Amministrazione - OpenID Connect - Manage), e copiare i valori mostrati nella sezione Platform URLs nei campi corrispondenti della pagina. Nell’URL Callback, incollare i valori del Login URL e del Code URL su due righe separate, senza caratteri di separazione.

Definire ora il parametro Selected OAuth Scope aggiungendo Allow access to your unique identifier e Access your basic information (id, profile, email, address, phone) nel box Selected OAuth Scope. Selezionare l’opzione Configure ID Token e selezionare Include standard claim dalle opzioni visualizzate nell’area sottostante. Se necessario, abilitare l’opzione Enable Single Logout, copiare ed incollare il Logout URL di Docebo.

Premere Salva per completare la configurazione. Attenzione, dopo il salvataggio potrebbero essere necessari fino a dieci minuti per la creazione dell’App.

Al termine della procedura di creazione, si sarà reindirizzati alla pagina dell'app appena creata. Recuperare le informazioni di OpenID Connect da Docebo. Recuperare il codice Issuer dall’URL del sito, copiare il link da https all’ultima lettera prima dello slash. Copiare i valori Consumer Key e Consumer Secret (cliccare Click to Reveal per visualizzare il codice in chiaro) e incollarli nei campi Client ID e Client Secret nella sezione OpenID Client della pagina di configurazione di OpenID Connect in Docebo (Menu Amministrazione - OpenID Connect - Manage).

Infine, comporre il valore Metadata URL come segue:

{{url}}/.well-known/openid-configuration

Dove url è l’url dell’Identity Provider, rimuovere {{ }}

La configurazione di Salesforce è completa. Tornare a Docebo, definire Query String come Auth Type e cliccare Continua per procedere e attivare i parametri della seconda parte della configurazione. Completare la configurazione seguendo le istruzione della prima parte di questo articolo.

Quando gli utenti si connettono per la prima volta in Docebo utilizzando Salesforce, dovranno confermare che Docebo ha il permesso di accedere ai loro dati per continuare. Se gli utenti non permettono a Docebo di accedere ai propri dati, non potranno connettersi.

Microsoft Entra ID (ex Microsoft Azure Active Directory)

Iniziare la configurazione dall'Identity Provider (se si intende utilizzare l'integrazione con un dominio personalizzato, assicurarsi che la certificazione SSL sia valida).

Accedere all'admin center di Microsoft Entra (si apre in una nuova scheda) come amministratore.

Registrare l'app:

1. Sfogliare Identity > Applications > App registrations e selezionare New registration.
2. Definire il Nome dell'applicazione e i tipi di account supportati.
3. Selezionare Register per completare la registrazione iniziale dell'app.

Client ID:

Al termine della registrazione, il pannello Overview mostrerà i dettagli dell'app appena registrata. Copiare l'ID dell'app (client) e incollarlo nel campo Client ID della pagina di configurazione di Docebo OpenID connect.

 

Redirect URI:

Nel pannello di navigazione a sinistra, in Manage, selezionare Authentication. Quindi, in Platform configurations, selezionare Add a platform e, in Configure platforms, selezionare la scheda Web.

1. Nell'area Web, sezione Redirect URIs, aggiungere il Login URL e il Code URL, entrambi copiati dalla pagina di configurazione di Docebo Open ID connect.
2. In Implicit grant and hybrid flows, selezionare i tipi di token emessi dall'endpoint di autorizzazione (ID tokens, Access tokens o entrambi).
   
   1. I token di accesso devono essere selezionati se si imposta l'opzione di recupero delle richieste attraverso l'endpoint delle informazioni utente nella pagina di configurazione di Docebo Open ID connect.

Client secret:

1. Nel pannello di navigazione a sinistra, in Manage, selezionare Certificates & Secrets.
2. Selezionare la scheda Client secrets e cliccare su New client secret.
3. Aggiungere una descrizione per il client secret e impostarne la scadenza, quindi cliccare Add.

Copiare il valore del secret e conservarlo in un luogo sicuro. Questo valore non verrà più visualizzato dopo aver lasciato questa pagina.

• Incollare il valore del secret nel campo Client secret della pagina di configurazione di Docebo Open ID connect.

Metadata e Issuer:

Tornare al pannello Overview dell'app e, nella navigazione superiore, selezionate Endpoints.

1. Copiare l'OpenID Connect metadata document URI e incollarlo nel campo Metadata URL della pagina di configurazione di Docebo Open ID connect.
2. Quindi, incollare lo stesso OpenID Connect metadata document URI nella barra degli indirizzi del browser e navigare fino alla pagina, che è un file JSON.
3. Nella pagina JSON, cercare la stringa issuer e prendere nota dell'URL dell'issuer che dovrebbe essere simile a questo: https://login.microsoftonline.com/{tenantid}/v2.0.
4. Copiare l'URL dell'issuer e incollarlo nel campo Issuer della pagina di configurazione di Docebo Open ID connect.

Controllare i campi di configurazione di Open ID Connect nella piattaforma Docebo

A questo punto della configurazione, è necessario aver completato tutti i campi della sezione OpenID client della pagina di configurazione di Docebo Open ID connect: Issuer, Client ID, Client secret e Metadata URL.

Passaggi finali:

Per completare la configurazione della comunicazione tra Docebo e Microsoft Entra ID:

• Impostare il valore Auth Type come richiesto dall'identity provider. Per ulteriori informazioni, consultare la prima parte di questo articolo.
• Cliccare Continua per procedere e attivare i parametri della seconda parte della configurazione.
• Completare la configurazione seguendo le istruzioni fornite nella prima parte di questo articolo. Al termine, cliccare Salva le modifiche.

Quando un utente accede a Docebo tramite Microsoft Entra ID per la prima volta dopo la configurazione, un messaggio pop-up chiederà di concedere i permessi necessari all'app Docebo.

• L'utente deve premere Accetta per continuare. Senza questa autorizzazione di accesso, l'integrazione non funzionerà.

Microsoft Azure AD B2C

Attenzione! L'app mobile go.Learn non è compatibile con Microsoft Azure AD B2C quando si seleziona una delle opzioni che seguono dall'elenco Supported Account Types al momento della registrazione di una nuova app:

• Account nelle cartelle organizzative (qualsiasi cartella Azure ID - Multitenant) e account personali di Microsoft (es. Skype, Xbox)
• Solo account personali di Microsoft

Iniziare la configurazione dall’Identity Provider (se si desidera utilizzare l’integrazione con un dominio personalizzato, assicurarsi che la certificazione SSL sia valida). Collegarsi al sito web di Microsoft Azure Active Directory come amministratore. Dalla barra di ricerca nella parte superiore della pagina All Services, cercare Azure AD B2C e selezionarlo fra i risultati della ricerca. Per ulteriori informazioni sulla connessione al sito B2C di Azure, leggere la notifica sul sito web di Microsoft (si apre in una nuova scheda).

Una volta nella pagina Azure AD B2C, selezionare App registrations dal menu Manage. Quindi, nella pagina App registrations, premere il pulsante New registration.

Quindi, cliccare sulla scheda Authentication nel menu Manage e premere il pulsante Add a platform. Nella schermata seguente, Configure platforms, premere il pulsante Web nella sezione Web applications.

Quindi, in una finestra separata del browser, aprire la Piattaforma Docebo e navigare nel Menu Amministrazione, individuare la sezione OpenID Connect e premere Gestione. Nella finestra che si apre, individuare la sezione URL della Piattaforma e copiare il valore dell'URL negli appunti.

Tornare alla scheda del browser Azure AD B2C e, nella finestra Configure Web, incollare l'URL nella prima casella di testo, Enter the redirect URI of the application. Quindi, tornare alla scheda Docebo Platform e copiare l'URL di Logout negli appunti. Tornare alla scheda del browser Azure AD B2C e incollare l'URL nella casella di testo Front-channel logout URL.

Quindi, accedere alla voce Certificates & secrets nel menu Manage e, nella scheda Client Secrets, premere il pulsante New client secret. Quindi, nella finestra Add a client secret, inserire una descrizione per il client secret, selezionare la durata di scadenza consigliata (Recommended expiration duration) di 180 giorni e premere il pulsante Add.

Tornando alla scheda Client secrets, il nuovo valore del client secret sarà visibile nell'elenco. Premere l'icona Copy to Clipboard accanto al valore del client secret e tornare alla scheda della piattaforma Docebo. A questo punto, spostarsi nel Menu Amministrazione e alla voce Configurazione, situata nel menu Impostazioni.

Nel menu Configurazione, accedere al menu OpenID Connect Settings e, nella sezione OpenID Client, incollare il contenuto degli appunti nel campo Client Secret.

Ora, per recuperare il valore da incollare nel campo Issuer field della sezione OpenID Client, tornare alla scheda Azure AD B2C del browser e accedere all'area Overview sopra il menu Manage. Copiare e incollare il Tenant ID visualizzato in questa pagina in un editor di testo, ad esempio blocco note, poiché sarà necessario in seguito. Premere ora il pulsante Endpoints e, nella finestra che si apre, premere il pulsante copy to clipboard nel campo OpenID Connect Metadata Document.

Incollare l'URL nel proprio editor di testo per utilizzarlo in seguito.

Aprire ora una nuova scheda del browser e incollare l'URL nella barra degli indirizzi. Cercare la stringa issuer e annotare l'URL che dovrebbe essere simile a:

https://login.microsoftonline.com/{tenantid}/v2.0

Sostituendo {tenantid} con il proprio ID Tennant si ottiene l'URL da incollare nel valore Issuer della sezione OpenID Connect Client.

Per trovare il Metadata URL, tornare all'editor di testo e nell'URL precedentemente incollato sostituire la parola organizations con il proprio ID Tenant. Ora è possibile incollare questo URL nel campo Metadata URL della sezione OpenID Connect Client.

https://login.microsoftonline.com/organizations/v2.0/.well-known/openid-configuration

La configurazione della comunicazione tra Docebo e Microsoft Azure AD B2C è completa. Impostare il valore Auth Type a Query String e cliccare Continua per procedere e attivare i parametri della seconda parte della configurazione. Completare la configurazione seguendo le istruzioni fornite nella prima parte di questo articolo. Quando un utente accede a Docebo tramite Microsoft Azure AD B2C per la prima volta dopo la configurazione, un messaggio pop-up chiederà di confermare che consente all'app Docebo di accedere ai dati memorizzati in Microsoft Azure Active Directory e di visualizzare il suo profilo di base. Premere Accept per continuare. Se l'utente non fornisce l'autorizzazione, l'integrazione non funzionerà.

Ping Identity

Quando si configura Ping Identity con OpenID Connect non è necessario attivare l'app di Ping Identity in piattaforma. Iniziare la configurazione dell'Identity Provider. 

Connettersi a Ping Identity con il proprio account da amministratore. Nella scheda Applications (nella sezione Connections) selezionare Add Application cliccando sull'icona più.

Nella pagina seguente è necessario scegliere il tipo di applicazione, cliccare prima il pulsante Web App e quindi Configure nel pop-up che si aprirà.

Definire ora il nome dell'applicazione, associare un'icona (se si desidera) e premere Next.

Ora è necessario recuperare gli URL da utilizzare in piattaforma. Aprire un nuova scheda e connettersi alla propria piattaforma Docebo, cliccare sull'icona ingranaggio, identificare la sezione OpenID Connect e cliccare Gestione. I tre URL in cima alla pagina sono gli URL necessari per il prossimo step della configurazione in Ping Identity.

Incollare i tre URL nella finestra di testo Redirect URLs e cliccare Save and Continue.

Sarà visualizzato un elenco degli scopi per cui utilizzare la configurazione. Al fine di minimizzare la mole di dati scambiati fra i sistemi e per una maggiore sicurezza, selezionare solo gli scopi OpenID necessari alla piattaforma, e premere Save and Continue.

Nella schermata successiva è possibile personalizzare la mappatura degli attributi (Attribute Mapping) in base alla proprie necessità. Non modificare la configurazione di default per il corretto funzionamento di Ping Identity. Premere Save and Close per proseguire.

Nella schermata successiva, cliccare il pulsante penna a destra della configurazione per modificarla. Identificare l'area Redirect URIS e copiare/incollare l'URL che termina con logout nel box Signoff URLs situato più in basso. Premere Save. 

Sarà quindi visualizzato un elenco di URL da copiare nella schermata OpenID Connect - Gestione in Docebo. I campi necessari in Docebo corrispondono agli stessi campi di Ping Identity, fatta eccezione per il Metadata URL, che è l'URL definito come OIDC Discovery Endpoint in Ping Identity. Cliccare su Continue.

Nella sezione Scopo selezionare tutte le opzioni che corrispondono agli scopi definiti in Ping Identity. Nella sezione Metodo di Scambio del Token, scegliere Post e nella sezione Configurazione SSO selezionare Mostra il bottone di SSO nella pagina di login. Spostarsi alla sezione Provisioninh degli Utenti e selezionare Abilita e quindi Se l'utente esiste già, aggiorna le sue informazioni. 

Premere Salva le Modifiche. Ora è possibile connettersi in piattaforma utilizzando Ping Identity.

Flusso di Autenticazione

A partire dal 26 ottobre 2021, Docebo utilizza short-lived token per una maggiore sicurezza della piattaforma:

Vecchio flusso di autenticazione

Prima del 26 ottobre 2021, la piattaforma inviava una richiesta all'Identity Provider (IdP) che rispondeva con un token di accesso persistente.

Ogni SSO ha dei processi diversi, ma tutti restituiscono un link alla piattaforma contenente il token di accesso nell'URL:

https://mylms.docebosaas.com/learn/home;type=oauth2_response;reenter_cc=0;access_token=9b8de7ed2af145dee78aa4282bf1d3b17baf02cd;expires_in=3600;token_type=Bearer;scope=api

Flusso di autenticazione con Short Lived Token

Il nuovo flusso di autenticazione offre maggiore sicurezza sostituento il short lived token monouso inviato dall'IdP con un token interno:

Ogni SSO ha dei processi diversi, ma tutti restituiscono un link alla piattaforma contenente il token di accesso nell'URL. Gli short lived token possono essere usati una sola volta (la loro validità è di 30 secondi) ed essere scambiati con vere credenziali:

https://mylms.docebosaas.com/learn/signin;type=token_exchange;exchange_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSU

La piattaforma utilizza internamente e automaticamente chiamate POST e li modifica con token di accesso reali. Questo processo offre maggiore sicurezza senza modificare il comportamento del SSO.