Vai al contenuto principale

Assistenza Docebo

Come possiamo aiutarti?

Docebo per OpenID Connect

Ultimo Aggiornamento
Modulo Docebo
  • Integrations
Tempo di Lettura
Livello Utente
  • Administrators

Introduzione

OpenID Connect (si apre in una nuova tab) è un protocollo di autenticazione basato su OAuth 2.0. Permette di verificare l’identità degli utenti sull’autenticazione eseguita da un Server di Autorizzazione, e ottenere le informazioni di base del profilo degli utenti in modo interoperabile. Docebo supporta il flusso Connect Authorization Code, uno dei flussi di autenticazione. Fare riferimento alla documentazione tecnica di OpenID Connect (si apre in una nuova tab) per ulteriori informazioni.

Attivando l'app OpenID Connect in Docebo, gli utenti potranno connettersi alle proprie piattaforme Docebo utilizzando le credenziali di sessioni attive di altre piattaforme web. Se questa App è attiva, gli utenti potranno connettersi alla piattaforma utilizzando le credenziali di altre piattaforme web cliccando l’icona OpenID Connect nella pagina di login della piattaforma Docebo oppure direttamente dalla dashboard di OpenID Connect, attraverso l’icona della piattaforma Docebo. Se l’utente che chiede di connettersi non esiste ancora in Docebo, sarà creato automaticamente al primo login.

Questo articolo indica come procedere all’attivazione e alla configurazione dell'app. L’integrazione con OpenID Connect è disponibile per l'app Extended Enterprise di Docebo.

Attenzione! Con OpenID Connect è possibile integrare un solo Identity Provider per dominio della piattaforma. Nel caso in cui sia necessario integrare altri Identity Provider per lo stesso dominio, utilizzare un altro protocollo.

L'applicazione mobile di Docebo Go.Learn supporta la maggior parte delle configurazioni di autenticazione con OpenID Connect descritte in questo articolo.

Attivare l'App OpenID Connect

Attivare l'app OpenID Connect come descritto nell'articolo della Knowledge Base dedicato alla gestione di applicazioni e funzionalità. L'app si trova nella tab Single Sign On.

Dopo l’attivazione è possibile iniziare le configurazione. Fare riferimento alla sezione che segue per ulteriori informazioni.

Configurare l'App OpenID Connect

Iniziare la configurazione dell'app connettendosi alla piattaforma come Superadmin e accedendo al Menu Amministrazione dall’icona ingranaggio in alto a destra. Identificare la sezione OpenID Connect nel Menu Amministrazione e premere Gestione per accedere alla pagina di Configurazione di OpenID Connect.

Configurare OpenID Connect

Gli URL visualizzati nella sezione URL della Piattaforma sono generati automaticamente dalla piattaforma, e devono essere passati all’Identity Provider per una corretta configurazione della piattaforma Docebo nel sistema dell’Identity Provider:

URL di Login
Pagina di login dell’applicazione di terze parti per l’autenticazione utilizzando OpenID Connect
URL di Logout
URL di logout utilizzato per disconnettere l’utente attualmente connesso dall’applicazione di terze parti
Attenzione! Per utilizzare il SSO con OpenID Connect nella propria app mobile Go.Learn o branded, è necessario aggiungere l'URL golearn://sso_logout alla lista dei sign-out redirect URI (anche chiamati redirect URI or callback URL) nella pagina di configurazione nell’Identity Provider.
Codice URL
URL di reindirizzamento dell’applicazione di terze parti per le risposte del codice di OpenID Connect.
Attenzione! Per utilizzare il SSO con OpenID Connect nella propria app mobile Go.Learn o branded, è necessario aggiungere il parametro ?device=mobile alla fine del codice URL quando si copia e incolla il codice URL da Docebo alla pagina di configurazione dell'Identity Provider.

La sezione OpenID Client deve essere compilata con i dettagli dell’Identity Provider che si sta integrando. Copiare ed incollare questi dati dall’identity provider in questa sezione della piattaforma Docebo. Consultare la documentazione tecnica dell’identity provider per ulteriori informazioni riguardo come ottenere questi dati. Se l’Identiy Provider in uso è OKTA, OneLogin, Salesforce, Microsoft Azure Active Directory o Microsoft Azure AD B2C sono disponibili degli esempi di configurazione alla fine di questo articolo.

Configurare OpenID Connect

  • Issuer
  • URL completo del Server di Autorizzazione
  • Client ID
  • Client ID del client che richiede il token di accesso
  • Client Secret
  • Il Client Secret è utilizzato con il Cliend ID per autenticare l’applicazione client.
  • Metadata URL
  • Fornisce i metadata OpenID Connect relativi al server di autenticazione indicato. Il Metadata URL fornisce tutti i dati configurabili nella seconda sezione della pagina di configurazione di OpenID Connect.
  •  

Nella sezione Auth Type è possibile selezionare se attivare il Tipo di Autenticazione Basic Auth o Query String, in base all’Identity Provider in uso. L’opzione di default è Basic Auth, in quanto maggiormente utilizzata. Fare riferimento alla documentazione dell’Identity Provider per ottenere questa informazione.

Premere Reset per ricominciare la configurazione da capo,  o Continua per attivare la seconda sezione di parametri e procedere con la configurazione. Le opzioni che seguono sono auto-popolate dal Metadata URL.

Username Attribute

Nella sezione Username Attribute, selezionare una delle opzioni fornite dall’Identity Provider. L’attributo selezionato sarà lo username degli utenti della piattaforma Docebo. Al momento della scelta, assicurarsi che l’attributo selezionato sia popolato per tutti gli utenti dell’Identity Provider. L’attributo selezionato deve essere univoco. Per esempio, selezionando l’attributo Family Name, è necessario assicurarsi che nessuno degli utenti abbia lo stesso cognome. Consigliamo di utilizzare lo Username Attribute di tipo Email.

Ricordare inoltre che si è selezionata l'opzione Nome e cognome sono campi obbligatori per la registrazione nella tab Autoregistrazione della sezione Configurazione del Menu Amministrazione di Docebo, l'Identity Provider deve fornire i nomi e i cognomi degli utenti per una corretta registrazione in piattaforma.

Scopo

Gli elementi di questo elenco sono auto-popolati e dipendono dall’endpoint. Sono dati ricavati dal Metadata URL inserito nella sezione OpenID Client. Selezionare i dati utente che si desidera recuperare dall’Identity Provider attraverso l’ID Token, selezionando i checkbox corrispondenti. Attenzione, i campi Email e Profile sono obbligatori e devono essere sempre selezionati.

Le opzioni selezionate in questa sezione identificano i dati che popoleranno il profilo utente al momento della creazione dell'utente stesso in piattaforma, al primo login. Se l’ID Token include campi aggiuntivi, assegnazione a gruppi o rami di Docebo, questa informazione sarà presa in considerazione e popolata nella piattaforma Docebo.

Attenzione! L'integrazione funziona solo con id_token  per recuperare il token di accesso. Attualmente, l'endpoint userinfo non è supportato.

Metodo di Scambio del Token

Questo parametro permette di definire il modo in cui il sistema invia le richieste dati JTW all’Identiti Provider. Di default, Docebo invia le richieste via URL utilizzando i parametri GET. Quando si utilizza l’opzione POST, Docebo invia le richieste via URL utilizzando parametri POST, aggiungendoli alla sezione BODY della chiamata.

L’opzione GET è più semplice e invia dati attraverso l’URL, mentre l’opzione POST è più complessa, ma utilizza un metodo di criptaggio più efficace.

Attenzione! Questo parametro è definito a GET di default. Quando si utilizza questo parametro, assicurarsi di configurare l’Identity Provider in base all’opzione selezionata.

Sia le richieste GET che le richieste POST inviano i dari che seguono per il ripo di autenticazione authorization code:

Code

Il valore Code passato dallo standard OpenID, quando si utilizza il tipo di autenticazione authorization code.

Redirect URI
URI dove Docebo invia il JTW.

Quando si utilizza il tipo di autenticazione basic auth, sono inviati anche i seguenti dati:

  • Client ID
  • Client Secret

Certificates Rotation

Quando l’opzione Certificates Rotation è selezionata, la piattaforma Docebo recupererà la chiave valida al momento della richiesta da un URL definito nello standard OpenID Connect. L’Identity Provider auto-abiliterà l’opzione per eseguire il refresh della certificazione autonomamente. Questa opzione fa parte della relazione standard, ed è autoselezionato. Se l’Identity Provider non supporta la Certification Rotation, ma questa opzione è abilitata, sarà visualizzato un messaggio di errore.

Configurazione SSO

Il sezione Configurazione SSO può essere gestita in due modi. Definire se mostrare la pagina di login standard, o se reindirizzare automaticamente gli utenti alla dashboard dell’Identity Provider. Se si seleziona la prima opzione, scegliere se mostrare il pulsante per il SSO sulla pagina di login della piattaforma.

Se si seleziona l’opzione Automatic redirect to Identity Provider, è possibile definire una landing page di logout per quando gli utenti effettuano il logout dalla piattaforma, invece di utilizzare la pagina di logout standard. Utilizzare il campo di testo per digitare l’URL della landing page di logout.

Logout Behaviour

La sezione Logout Behaviour permette di configurare se gli utenti saranno automaticamente disconnessi dall’Identity Provider quando si disconnettono dalla piattaforma Docebo. Opzionalmente, è possibile selezionare un endpoint di disconnessione di terze parti, in grado di ricevere messaggi di disconnessione via GET, al fine di completare il Single LogOut; questa opzione è gestita solo da alcuni Identity Provider.

Provisioning degli Utenti

Questa sezione permette di creare istantaneamente un utente presente nell’Identity Provider ma non nel database della piattaforma Docebo. Selezionare l’opzione Abilita. È inoltre possibile selezionare l’opzione per bloccare i campi utente, in modo che gli utenti non possano modificare i dettagli dei propri profili utente creati utilizzando OpenID Connect. Al momento della modifica dei profili utenti, queste opzioni saranno disabilitate.

Nel caso in cui degli utenti esistano in entrambi i database, consigliamo di selezionare l’opzione per aggiornare le informazioni degli utenti esistenti. Se queste opzioni non sono selezionate, sarà necessario registrare (opzione Abilita) o aggiornare gli utenti (aggiorna informazioni) manualmente nella piattaforma Docebo.

Attenzione: OpenId Connect popola automaticamente i campi aggiuntivi dell’Identity Provider, quindi è necessario selezionarli singolarmente dal menu a tendina Aggiungi Campi e associarli ai campi aggiuntivi di Docebo nella sezione visualizzata per ogni campo aggiuntivo dopo la selezione. Se ci sono campi aggiuntivi definiti come obbligatori nella piattaforma Docebo, devono essere mappati in questa sezione al fine di essere popolati in piattaforma. Se i campi aggiuntivi obbligatori non sono popolati, non sarà possibile creare l’utente.

Premere Salva Modifiche per completare la configurazione.

I campi aggiuntivi supportati per il provisioning degli utenti in questa integrazione sono:

  • campo a tendina (utilizzare il campo a tendina nella selezione dell'attributo)
  • campo di testo - codice fiscale
  • Paese (utilizzare l'ID del Paese nella selezione dell'attributo)
  • campo data (formato: YYYY-MM-DD)
  • campo yes/no  

I campi aggiuntivi non supportati sono:

  • iFrame
  • campo file
  • campo di testo libero

Note sullo User Provisioning

  • Se si desidera popolare il campo aggiuntivo dell'utente relativo al Paese tramite SSO, un valore accettabile potrebbe essere l'ID del Paese o il nome del Paese, come indicato nell'articolo Elenco dei Codici ISO 3166-1 per i Paesi.
  • L'attributo Language utente non è supportato per il provisioning degli utenti.

Esempi di Configurazione

Questa sezione fornisce degli esempi per configurare e integrare alcuni degli Identity Provider più comunemente utilizzati. Se l’Identity Provider che si desidera integrare non è elencato in questa sezione, fare riferimento alla prima parte dell’articolo.

OKTA

Per configurare OKTA con OpenID Connect, non è necessario che l'app OKTA sia attiva in piattaforma. Iniziare connettendosi ad OKTA come Admin, cliccare Admin in alto a destra, selezionare il tab Applications e cliccare Add Application per creare l'app Docebo in OKTA, registrandola come Service Provider. Cliccare Create New App.

Nella finestra pop up, selezionare la Platform Type Web e il Sign On Method OpenID Connect. Premere Create per continuare. Digitare l’Application Name (può essere Docebo o il nome dell'app personalizzato) e aggiungere un logo per identificare l'app nella dashboard di OpenID Connect. Il caricamento del logo è facoltativo, ma utile per identificare velocemente la piattaforma Docebo nella dashboard di OpenID Connect.

Integrare OKTA

Aprire ora la pagina di configurazione di OpenID Connect in Docebo (Menu Amministrazione - OpenID Connect - Manage), e copiare i valori mostrati nella sezione Platform URLs nei campi corrispondenti della sezione Configure OpenID Connect della pagina Create OpenID Connect Integration in Okta. Nella sezione Login redirect URIs, copiare ed incollare i valori dei campi Login URL e Code URL di Docebo, in questo ordine. Premere Add URI per inserire una nuova riga. Copiare ed incollare il valore Logout URL da Docebo alla sezione Logout redirect URIs di OKTA. Premere Add URI per inserire una nuova riga. Premere Salva per procedere.

Recuperare le informazioni di OpenID Connect dalla sezione Configure OpenID Connect della pagina Create OpenID Connect Integration di OKTA, e incollarla nella sezione Open ID Client della pagina di configurazione di OpenID Connect in Docebo. Spostarsi al tab General, copiare i valori di Client ID e Client Secret ed incollarli nei campi corrispondenti in Docebo. Recuperare il codice codice Client Issuer dalla propria installazione OKTA: copiare l'URL da https fino alla fine del nome del dominio (es. https://{yourdomainname}.oktapreview.com/) ed incollarlo nel campo Issuer.

Infine, comporre il valore Metadata URL come segue:

{{url}}/.well-known/openid-configuration?client_id={{clientId}}

dove:

{{url}}

Issuer Code (incluso il protocollo https o http), rimuovere {{ }}

{{clientId}}

Valore del Client ID, rimuovere {{ }}

Copiare l’URL ed incollarlo nel valore Metadata URL  di Docebo.

Sul sito web di Okta, definire gli utenti autorizzati ad utilizzare l'app. Spostarsi al tab Assignments e aggiungere gli utenti, uno alla volta o con un’azione massiva. Selezionare gli utenti e/o i gruppi precedentemente creati in Okta, e cliccare Assign e Done per completare l’azione.

Selezione utente in OKTA La configurazione di Docebo in Okta è completa. Tornare a Docebo, definire l’Auth Type a Basic Auth e cliccare Continue per procedere e attivare i parametri della seconda parte della configurazione. Completare la configurazione seguendo le istruzioni della prima parte di questo articolo.

OneLogin

Per configurare OneLogin con OpenID Connect, non è necessario che l'app OneLogin sia attiva in piattaforma. Iniziare la configurazione dell'Identity Provider. Connettersi a OneLogin (si apre in una nuova tab), cliccare Administration nella barra superiore della pagina, selezionare il tab Apps e cliccare Custom Connectors.

Connettori personalizzati di OneLoging Creare un connettore personalizzato per registrare Docebo come Service Provider. Cliccare New Connector in alto a destra. Inserire il nome dell'app Docebo (es. yourtrial.docebosaas.com) e premere il Thick per confermare e accedere alla pagina Basic Configuration. Definire un’icona per identificare l'app nella Dashboard di OpenID Connect. Il caricamento dell’icona è facoltativo, ma può essere utile per identificare velocemente la piattaforma Docebo nella dashboard di OpenID Connect. Nella sezione Sign On Method, selezionare OpenId Connect.

Configurazione Base OneLogin Aprire la pagina di configurazione di OpenID Connect in Docebo (Menu Amministrazione - OpenID Connect - Manage), e copiare i valori visualizzati nella sezione Platform URLs nei campi corrispondenti di OneLogin, come segue. Nella sezione OpenID Connect di OneLogin, incollare il Code URL di Docebo nel campo redirect URI. Spostarsi alla sezione Login URL e incollare il Login URL nel campo Login URL. Premere Salva per continuare.

Attenzione! OpenID Connect abilita gli SSO di tipo SP-initiated (service-provider-initiated), ma non gli SSO di tipo IdP-initiated (identity-provider-initiated). Quando si fornisce un Login URL, OneLogin entra in modalità SSO di tipo IdP-initiated: l'utente è portato alla pagina di login dell'app, dove inizia il flusso SP-initiated. Fare riferimento alla Knowledge Base di OneLogin (si apre in una nuova tab) per ulteriori informazioni. Quando si configura l'integrazione con Docebo, digitare l'URL puro della piattaforma (https://[platformname].docebosaas.com)  nel campo Login URL di OneLogin, e definire la Configurazione SSO a Reindirizza automaticamente all'Identity Provider nella pagina di configurazione di OpenID Connect di Docebo.

Spostarsi al tab Apps, selezionare Add Apps e cercare OpenID Connect dalla barra di ricerca. Selezionare OpenID Connect (OIDC) fra i risultati della ricerca visualizzati nella pagina Find Application. Confermare o selezionare il piano di abbonamento e premere Continua. Inserire il nome e la descrizione dell'app. Nel tab Configuration copiare ed incollare il Login URL di Docebo nei campi Login Url e il Code URL e il Logout URL nella sezione Redirect URI’s, su due righe separate. Premere Salva per continuare.

Configurare OneLoging Recuperare ora le informazioni di OpenID Connect da OneLogin. Il codice Issuer è specificato nell’URL del sito web di OneLogin: copiare il link da https all’ultima lettera prima dello slash (non copiare lo slash). Spostarsi al tab SSO.

Single Sign On per OneLogin Copiare il Client ID e il Client Secret ed incollarli nei campi corrispondenti della sezione OpenID Client della pagina di configurazione di OpenID Connect in Docebo (Menu Amministrazione → OpenID Connect → Manage).

Infine, comporre il valore Metadata URL come segue:

{{url}}/oidc/.well-known/openid-configuration

Dove url è l’url dell’Identity Provider, rimuovere{{ }}

Definire ora quali utenti sono autorizzati ad utilizzare l'app. Spostarsi al tab Users e inserire gli account degli utenti che potranno  connettersi utilizzando l’Identity Provider.

La configurazione di Docebo su OneLogin è completata. Tornare a Docebo, definire il valore del campo Auth Type come Basic Auth e cliccare Continua per continuare ed attivare i parametri della seconda parte della configurazione. Completare la configurazione seguendo le istruzioni della prima parte di questo articolo.

Salesforce

Per configurare Salesforce con OpenID Connect, non è necessario che l'app Salesforce sia attiva in piattaforma. Iniziare la configurazione dell'Identity Provider. Connettersi a Salesforce (si apre in una nuova tab), e cliccare Setup sulla barra superiore della pagina. Dal menu di sinistra, accedere alla sezione Build, selezionare Create ed infine Apps.

Dalla pagina Apps, spostarsi alla sezione Connected Apps e cliccare New per aggiungere Docebo come nuova applicazione.

Configurare Salesforce Si aprirà la pagina New Connected App, digitare il Connected App Name e l’indirizzo email di contatto nelle sezioni corrispondenti. Spostarsi alla sezione API (Enable OAuth Settings) e selezionare l’opzione Enable OAuth settings. Selezionando questa opzione, saranno mostrate altre opzioni di configurazione nella sezione sottostante.

Aprire ora la pagina di configurazione di OpenID Connect (Menu Amministrazione - OpenID Connect - Manage), e copiare i valori mostrati nella sezione Platform URLs nei campi corrispondenti della pagina. Nell’URL Callback, incollare i valori del Login URL e del Code URL su due righe separate, senza caratteri di separazione.

Recuperare Informazioni da Salesforce Definire ora il parametro Selected OAuth Scope aggiungendo Allow access to your unique identifier e Access your basic information (id, profile, email, address, phone) nel box Selected OAuth Scope. Selezionare l’opzione Configure ID Token e selezionare Include standard claim dalle opzioni visualizzate nell’area sottostante. Se necessario, abilitare l’opzione Enable Single Logout, copiare ed incollare il Logout URL di Docebo.

Premere Salva per completare la configurazione. Attenzione, dopo il salvataggio potrebbero essere necessari fino a dieci minuti per la creazione dell’App.

Configurare Open ID Connect Al termine della procedura di creazione, si sarà reindirizzati alla pagina dell'app appena creata. Recuperare le informazioni di OpenID Connect da Docebo. Recuperare il codice Issuer dall’URL del sito, copiare il link da https all’ultima lettera prima dello slash. Copiare i valori Consumer Key e Consumer Secret (cliccare Click to Reveal per visualizzare il codice in chiaro) e incollarli nei campi Client ID e Client Secret nella sezione OpenID Client della pagina di configurazione di OpenID Connect in Docebo (Menu Amministrazione - OpenID Connect - Manage).

Infine, comporre il valore Metadata URL come segue:

{{url}}/.well-known/openid-configuration

Dove url è l’url dell’Identity Provider, rimuovere {{ }}

La configurazione di OneLogin è completa. Tornare a Docebo, definire Query String come Auth Type e cliccare Continua per procedere e attivare i parametri della seconda parte della configurazione. Completare la configurazione seguendo le istruzione della prima parte di questo articolo.

Quando gli utenti si connettono per la prima volta in Docebo utilizzando Salesforce, dovranno confermare che Docebo ha il permesso di accedere ai loro dati per continuare. Se gli utenti non permettono a Docebo di accedere ai propri dati, non potranno connettersi.

Microsoft Azure Active Directory

Iniziare la configurazione dell’Identity Provider (se si desidera utilizzare l’integrazione con un dominio personalizzato, assicurarsi che la certificazione SSL sia valida). Connettersi a Microsoft Azure Active Directory (si apre in una nuova tab) come Admin, e selezionare l’opzione Azure Active Directory dal pannello di sinistra, quindi App Registration dal sottomenu. Cliccare New Application Registration nella parte superiore della pagina App Registration.

Registrazione App

Si accederà alla pagina di creazione dell’app. Inserire il nome dell’app nel campo Name e selezionare Web app/API come Application Type. Aprire la pagina di configurazione di OpenID Connect in Docebo (Menu Amministrazione - OpenID Connect - Gestione) e copiare il valore del campo Login URLs nel campo Sign-on URL. Premere Create per continuare. L'app Docebo è stata creata e registrata in Microsoft Azure Active Directory. Selezionare ora l'app Docebo dalla dashboard, cliccare Settings nella pagina delle app e spostarsi all’opzione Reply URLs nel menu General. Sempre dalla pagina di configurazione di OpenID Connect in Docebo (Menu Amministrazione - OpenID Connect - Gestione) e copiare il valore del campo Code URL nel pannello di destra. Premere Save per confermare.

Configurare l'Integrazione Nella pagina Settings, spostarsi nella sezione Keys del menu API Access per definire la chiave di accesso che sarà necessaria per completare la configurazione di Microsoft Azure Active Directory in Docebo. Definire una descrizione (campo Description) per la chiave di accesso e definire il campo Expires a Never Expires, in modo che non sia necessario cambiare la chiave in futuro. Premere Save per generare il valore della chiave di accesso. Il valore è generato automaticamente da Microsoft Azure Active Directory e visualizzato del campo di testo Value, nella riga della chiave di accesso. Copiare la chiave di accesso e salvarla, poiché non sarà possibile recuperarla dopo essere usciti da questa pagina.

Configurare l'App Docebo La configurazione dell'app di Docebo in Microsoft Azure Active Directory è completa. Tornare a Docebo (connettersi come Superadmin) e configurare l’integrazione dal lato piattaforma Docebo (Menu Amministrazione - OpenID Connect - Manage). Fare riferimento alla Knowledge Base di Microsoft Azure (si apre in una nuova tab) per calcolare del valore del Metadata URL. Ricavare il valore del campo Issuer dal Metadata URL. Il valore del Client ID corrisponde al valore del campo Application ID visualizzato nella pagina Settings dell'app Docebo in Microsoft Azure Active Directory. Infine, completare il campo Client Secret con il valore della chiave di accesso generata nella sezione Keys in Microsoft Azure Active Directory.

La configurazione della comunicazione fra Docebo e Microsoft Azure Active Directory è completa. Definire il valore Auth Type a Query String e premere Continua per procedere e attivare i parametri della seconda parte della configurazione. Completare la configurazione seguendo le istruzioni fornite nella prima parte di questo articolo.

Alla prima connessione a Docebo attraverso Microsoft Azure Active Directory dopo la configurazione dell’integrazione, un messaggio pop-up inviterà l’utente a confermare che autorizza Docebo ad accedere ai dati salvati in Microsoft Azure Active Directory e a visualizzare il proprio profilo base.

Accettare l'Accesso ai Dati Premere Accetta per continuare. Senza questa autorizzazione, l’integrazione non funzionerà.

Microsoft Azure AD B2C

Attenzione! L'app mobile go.Learn non è compatibile con Microsoft Azure AD B2C quando si seleziona una delle opzioni che seguono dall'elenco Supported Account Types al momento della registrazione di una nuova app:
  • Account nelle cartelle organizzative (qualsiasi cartella Azure ID - Multitenant) e account personali di Microsoft (es. Skype, Xbox)
  • Solo account personali di Microsoft

Iniziare la configurazione dall’Identity Provider (se si desidera utilizzare l’integrazione con un dominio personalizzato, assicurarsi che la certificazione SSL sia valida). Collegarsi al sito web di Microsoft Azure Active Directory come amministratore. Dalla barra di ricerca nella parte superiore della pagina All Services, cercare Azure AD B2C e selezionarlo fra i risultati della ricerca. Per ulteriori informazioni sulla connessione al sito B2C di Azure, leggere la notifica sul sito web di Microsoft (si apre in una nuova tab).

Una volta nella pagina Azure AD B2C, selezionare App registrations dal menu Manage. Quindi, nella pagina App registrations, premere il pulsante New registration.

Quindi, cliccare sulla tab Authentication nel menu Manage e premere il pulsante Add a platform. Nella schermata seguente, Configure platforms, premere il pulsante Web nella sezione Web applications.

Quindi, in una finestra separata del browser, aprire la Piattaforma Docebo e navigare nel Menu Amministrazione, individuare la sezione OpenID Connect e premere Gestione. Nella finestra che si apre, individuare la sezione URL della Piattaforma e copiare il valore dell'URL negli appunti.

Tornare alla tab del browser Azure AD B2C e, nella finestra Configure Web, incollare l'URL nella prima casella di testo, Enter the redirect URI of the application. Quindi, tornare alla tab Docebo Platform e copiare l'URL di Logout negli appunti. Tornare alla tab del browser Azure AD B2C e incollare l'URL nella casella di testo Front-channel logout URL.

Quindi, accedere alla voce Certificates & secrets nel menu Manage e, nella tab Client Secrets, premere il pulsante New client secret. Quindi, nella finestra Add a client secret, inserire una descrizione per il client secret, selezionare la durata di scadenza consigliata (Recommended expiration duration) di 180 giorni e premere il pulsante Add.

Tornando alla tab Client secrets, il nuovo valore del client secret sarà visibile nell'elenco. Premere l'icona Copy to Clipboard accanto al valore del client secret e tornare alla tab della piattaforma Docebo. A questo punto, spostarsi nel Menu Amministrazione e alla voce Configurazione, situata nel menu Impostazioni.

Nel menu Configurazione, accedere al menu OpenID Connect Settings e, nella sezione OpenID Client, incollare il contenuto degli appunti nel campo Client Secret.

Ora, per recuperare il valore da incollare nel campo Issuer field della sezione OpenID Client, tornare alla tab Azure AD B2C del browser e accedere all'area Overview sopra il menu Manage. Copiare e incollare il Tenant ID visualizzato in questa pagina in un editor di testo, ad esempio blocco note, poiché sarà necessario in seguito. Premere ora il pulsante Endpoints e, nella finestra che si apre, premere il pulsante copy to clipboard nel campo OpenID Connect Metadata Document.

Incollare l'URL nel proprio editor di testo per utilizzarlo in seguito.

Aprire ora una nuova tab del browser e incollare l'URL nella barra degli indirizzi. Cercare la stringa issuer e annotare l'URL che dovrebbe essere simile a:

https://login.microsoftonline.com/{tenantid}/v2.0

Sostituendo {tenantid} con il proprio ID Tennant si ottiene l'URL da incollare nel valore Issuer della sezione OpenID Connect Client.

Per trovare il Metadata URL, tornare all'editor di testo e nell'URL precedentemente incollato sostituire la parola organizations con il proprio ID Tenant. Ora è possibile incollare questo URL nel campo Metadata URL della sezione OpenID Connect Client.

https://login.microsoftonline.com/organizations/v2.0/.well-known/openid-configuration

La configurazione della comunicazione tra Docebo e Microsoft Azure AD B2C è completa. Impostare il valore Auth Type a Query String e cliccare Continua per procedere e attivare i parametri della seconda parte della configurazione. Completare la configurazione seguendo le istruzioni fornite nella prima parte di questo articolo. Quando un utente accede a Docebo tramite Microsoft Azure AD B2C per la prima volta dopo la configurazione, un messaggio pop-up chiederà di confermare che consente all'app Docebo di accedere ai dati memorizzati in Microsoft Azure Active Directory e di visualizzare il suo profilo di base. Premere Accept per continuare. Se l'utente non fornisce l'autorizzazione, l'integrazione non funzionerà.

Ping Identity

Quando si configura Ping Identity con OpenID Connect non è necessario attivare l'app di Ping Identity in piattaforma. Iniziare la configurazione dell'Identity Provider. 

Connettersi a Ping Identity con il proprio account da amministratore. Nella tab Applications (nella sezione Connections) selezionare Add Application cliccando sull'icona più.

Ping Identity - Aggiungere l'Applicazione

Nella pagina seguente è necessario scegliere il tipo di applicazione, cliccare prima il pulsante Web App e quindi Configure nel pop-up che si aprirà.

Ping Identity - Web Appa

Definire ora il nome dell'applicazione, associare un'icona (se si desidera) e premere Next.

Ping Identity - Nome dell'App

Ora è necessario recuperare gli URL da utilizzare in piattaforma. Aprire un nuova tab e connettersi alla propria piattaforma Docebo, cliccare sull'icona ingranaggio, identificare la sezione OpenID Connect e cliccare Gestione. I tre URL in cima alla pagina sono gli URL necessari per il prossimo step della configurazione in Ping Identity.

Ping Identity - URL Docebo

Incollare i tre URL nella finestra di testo Redirect URLs e cliccare Save and Continue.

Ping Identity - URL

Sarà visualizzato un elenco degli scopi per cui utilizzare la configurazione. Al fine di minimizzare la mole di dati scambiati fra i sistemi e per una maggiore sicurezza, selezionare solo gli scopi OpenID necessari alla piattaforma, e premere Save and Continue.

Ping Identity - Scelta scopi OIDC

Nella schermata successiva è possibile personalizzare la mappatura degli attributi (Attribute Mapping) in base alla proprie necessità. Non modificare la configurazione di default per il corretto funzionamento di Ping Identity. Premere Save and Close per proseguire.

Ping Identity - Mappatura attributi

Nella schermata successiva, cliccare il pulsante penna a destra della configurazione per modificarla. Identificare l'area Redirect URIS e copiare/incollare l'URL che termina con logout nel box Signoff URLs situato più in basso. Premere Save

Ping Identity - URL da incollare

Sarà quindi visualizzato un elenco di URL da copiare nella schermata OpenID Connect - Gestione in Docebo. I campi necessari in Docebo corrispondono agli stessi campi di Ping Identityfatta eccezione per il Metadata URL, che è l'URL definito come OIDC Discovery Endpoint in Ping Identity. Cliccare su Continue.

Ping Identity - URL in Docebo

Nella sezione Scopo selezionare tutte le opzioni che corrispondono agli scopi definiti in Ping Identity. Nella sezione Metodo di Scambio del Token, scegliere Post e nella sezione Configurazione SSO selezionare Mostra il bottone di SSO nella pagina di login. Spostarsi alla sezione Provisioninh degli Utenti e selezionare Abilita e quindi Se l'utente esiste già, aggiorna le sue informazioni

Premere Salva le Modifiche. Ora è possibile connettersi in piattaforma utilizzando Ping Identity.

Ping Identity - Sezione OIDC

Flusso di Autenticazione

A partire dal 26 ottobre 2021, Docebo utilizza short-lived token per una maggiore sicurezza della piattaforma:

Vecchio Flusso di Autenticazione

Prima del 26 ottobre 2021, la piattaforma inviava una richiesta all'Identity Provider (IdP) che rispondeva con un token di accesso persistente.

Flusso di autenticazione precedente

Ogni SSO ha dei processi diversi, ma tutti restituiscono un link alla piattaforma contenente il token di accesso nell'URL:

https://mylms.docebosaas.com/learn/home;type=oauth2_response;reenter_cc=0;access_token=9b8de7ed2af145dee78aa4282bf1d3b17baf02cd;expires_in=3600;token_type=Bearer;scope=api

Flusso di Autenticazione con Short Lived Token

Il nuovo flusso di autenticazione offre maggiore sicurezza sostituento il short lived token monouso inviato dall'IdP con un token interno:

Nuovo flusso di autenticazione

Ogni SSO ha dei processi diversi, ma tutti restituiscono un link alla piattaforma contenente il token di accesso nell'URL. Gli short lived token possono essere usati una sola volta (la loro validità è di 30 secondi) ed essere scambiati con vere credenziali:

https://mylms.docebosaas.com/learn/signin;type=token_exchange;exchange_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSU

La piattaforma utilizza internamente e automaticamente chiamate POST e li modifica con token di accesso reali. Questo processo offre maggiore sicurezza senza modificare il comportamento del SSO.

Consigli d'Utilizzo

Quando si configurano un'integrazione SSO e un dominio personalizzato per la stessa piattaforma, consigliamo di configurare prima il dominio personalizzato. Gli URL degli endpoint necessari all'integrazione SSO dipendono dell'URL della piattaforma.