Introduzione
Attivando l’app SAML in Docebo, gli utenti potranno connettersi alla piattaforma utilizzando le credenziali delle sessioni attive in altre piattaforme web. Docebo mette a disposizione due procedure di configurazione per l’integrazione con SAML, la Configurazione Standard e la Configurazione Smart. Questo articolo illustra le differenze fra i due tipi di configurazione, per permettere di capire quale sia la migliore in base alle proprie esigenze.
Ulteriori informazioni su SAML Single SignOn? Segui il corso, SAML Single SignOn (si apre in una nuova tab) su Docebo U!
Configurazione standard vs configurazione smart
Quando si configura l’integrazione fra Docebo e SAML, è possibile scegliere fra la Configurazione smart e la Configurazione standard.
Consiglio d'utilizzo: Quando si configurano un'integrazione SSO e un dominio personalizzato per la stessa piattaforma nella Gestione domini, consigliamo di configurare prima il dominio personalizzato. Gli URL degli endpoint necessari all'integrazione SSO dipendono dell'URL della piattaforma.
Se la configurazione dell'integrazione con SAML è avvenuta prima del 25 Febbraio 2020, è stata utilizzata la Configurazione standard, mentre la Configurazione smart è l’opzione di default per chi ha effettuato l’integrazione dopo il 25 Febbraio 2020.
Indipendentemente dal tipo di configurazione selezionata in piattaforma, e dal fatto che l’integrazione sia già configurata o meno, è possibile configurare nuovamente l’integrazione, in qualsiasi momento, ma tutti i parametri configurati saranno persi, e sarà necessario iniziare la configurazione dall’inizio.
Ecco una tabella comparativa dei due tipi di integrazione:
Configurazione smart |
Configurazione standard |
|
Procedura guidata |
Configurazione guidata per i principali Identity Provider, facile da utilizzare anche senza background tecnico. |
Aderenza allo protocollo standard di SAML per gli scenari di SSO avanzati. Procedura non guidata ma più flessibile, necessita di conoscenze tecniche. |
Validazione del Certificato x509 |
Validazione automatica del certificato x509 al momento del caricamento per i principali Identity Provider. |
Nessuna validazione automatica al caricamento del certificato x509. L’integrazione garantisce l’operatività standard sulla base di specifiche di sicurezza. L’utente che configura l’integrazione è responsabile della validazione del certificato. |
Validazione del Certificato PEM/CERT |
Validazione automatica del certificato PEM/CERT al momento del caricamento per i principali Identity Provider. |
Nessuna validazione automatica al caricamento del certificato PEM/CERT. L’integrazione garantisce l’operatività standard sulla base di specifiche di sicurezza. L’utente che configura l’integrazione è responsabile della validazione del certificato. |
Notifica della Scadenza del Certificato |
La piattaforma invia automaticamente una notifica prima della scadenza dei certificati x509 e PEM/CERT, come promemoria di rinnovo. Le notifiche hanno un formato standard e non modificabile, e sono inviate 30, 15, 5 e un giorno prima della scadenza del certificato. Se l'app Extended Enterprise è attiva in piattaforma, le notifiche saranno inviate sia al dominio principale che a tutti i sottodomini. |
Non sono inviate notifiche come promemoria della scadenza del certificato. Il rinnovo deve essere eseguito manualmente dalla persona in carico dell’integrazione.
|
Scopri di più
Ulteriori informazioni su:
- l'integrazione di Docebo con SAML con configurazione Standard
- l'integrazione di Docebo con SAML con configurazione Smart
Flusso di autenticazione
A partire dal 26 ottobre 2021, Docebo utilizza short-lived token per una maggiore sicurezza della piattaforma:
Vecchio flusso di autenticazione
Prima del 26 ottobre 2021, la piattaforma inviava una richiesta all'Identity Provider (IdP) che rispondeva con un token di accesso persistente.
Ogni SSO ha dei processi diversi, ma tutti restituiscono un link alla piattaforma contenente il token di accesso nell'URL:
https://mylms.docebosaas.com/learn/home;type=oauth2_response;reenter_cc=0;access_token=9b8de7ed2af145dee78aa4282bf1d3b17baf02cd;expires_in=3600;token_type=Bearer;scope=api
Flusso di autenticazione con Short Lived Token
Il nuovo flusso di autenticazione offre maggiore sicurezza sostituento il short lived token monouso inviato dall'IdP con un token interno:
Ogni SSO ha dei processi diversi, ma tutti restituiscono un link alla piattaforma contenente il token di accesso nell'URL. Gli short lived token possono essere usati una sola volta (la loro validità è di 30 secondi) ed essere scambiati con vere credenziali:
https://mylms.docebosaas.com/learn/signin;type=token_exchange;exchange_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSU
La piattaforma utilizza internamente e automaticamente chiamate POST e li modifica con token di accesso reali. Questo processo offre maggiore sicurezza senza modificare il comportamento del SSO.