Introduzione
L'app SAML sulla propria piattaforma consente di configurare il Single Sign On alla piattaforma utilizzando una varietà di identity provider. Questo articolo tratta specificamente come configurare SAML utilizzando OneLogin come identity provider.
Si noti che la piattaforma offre due opzioni per la configurazione SAML: Smart e Standard. Le istruzioni sono fornite per entrambe.
Prerequisiti
L'app SAML deve essere attivata sulla propria piattaforma, come descritto nell'articolo Gestire Applicazioni e Funzionalità.
Si ha inoltre bisogno di un account sviluppatore OneLogin.
Se si prevede di configurare il Single Sign On SAML per un dominio personalizzato o per un dominio secondario, bisogna prima configurare il dominio in Gestione domini.
Accedere alla pagina delle impostazioni SAML nella piattaforma
Per iniziare, aprire la pagina delle impostazioni SAML e selezionare il tipo di configurazione desiderato.
→ Bisogna fare questo sulla stessa piattaforma (piattaforma principale o extended enterprise client) per cui si sta configurando il Single Sign On.
Per una piattaforma principale:
- Selezionare Menu amministrazione > SAML > Gestione
Per un extended enterprise client:
- Selezionare Menu amministrazione > Extended Enterprise > Gestione.
- Cliccare sull'icona a forma di ingranaggio accanto al cliente per cui stai configurando l'SSO.
- Nel menu di navigazione verticale selezionare SAML 2.0 - Impostazioni Poi selezionare Abilita le impostazioni personalizzate per questo cliente.
Suggerimento: notare che la pagina SAML 2.0 - Impostazioni sarà uguale in entrambi i casi.
Una volta aperta la pagina delle SAML 2.0 - Impostazioni, selezionare se usare il tipo di configurazione Smart o Standard.
- La configurazione con l'opzione Smart è leggermente più semplice, ma se necessario si può anche passare al tipo di configurazione Standard.
- Si noti che, se è presente una configurazione SAML esistente nella pagina, cambiare da Smart a Standard o viceversa farà perdere le impostazioni precedenti.
Quindi selezionare la casella di controllo Attiva per abilitare i campi di configurazione.
Ora procedere alla configurazione in OneLogin come descritto nei capitoli seguenti, bisogna consultare alternativamente OneLogin e questa pagina delle impostazioni SAML per completare la configurazione.
Aggiungere l'app Docebo o Docebo Multi Domain in OneLogin
Accedere al proprio account OneLogin come amministratore.
Nella barra dell'intestazione, cliccare su Admin (Amministrazione) per accedere alla pagina di amministrazione, quindi selezionare Applications (Applicazioni) > Applications (Applicazioni). Qui si vedono tutte le applicazioni che si hanno precedentemente aggiunto. Si può cliccare su un'app esistente per visualizzarne o modificarne la configurazione.
Si può cliccare su Add App (Aggiungi App) per aggiungerne una nuova. Cercare “Docebo” per trovare le due app di interesse da usare qui, poi cliccare su un'app per iniziare a configurarla.
- Selezionare l'app Docebo solo se si ha una piattaforma principale con un URL docebosaas. Per esempio,
https://academy70.docebosaas.com/ - Per tutti gli altri casi, selezionare l'app Docebo Multi Domain. Questo include, se si ha una piattaforma principale con dominio personalizzato, o qualsiasi tipo di extended enterprise client (sia con un URL docebosaas basato su sottocartella, sia con un dominio secondario).
Dopo aver selezionato un'app, si aprirà una pagina in cui si può configurare come l'app apparirà nel portale OneLogin. Ad esempio si può impostare un'icona, un nome visualizzato e una descrizione.
Completare questi campi secondo necessità e cliccare su Save (Salva).
Una volta cliccato Salva, l'app viene creata e si vede un menu di navigazione verticale sul lato sinistro. Bisogna esaminare questi elementi e completare le impostazioni.
- Configuration (Configurazione): a seconda dell'app che si sta usando, seguire le istruzioni nel capitolo Scheda Configurazione OneLogin (app Docebo) o Scheda Configurazione OneLogin (app Docebo Multi Domain)
-
Parameters (Parametri): configura i campi utente che si utilizzano nell'integrazione. Cliccare sul pulsante più per aggiungere un nuovo parametro. Prestare molta attenzione all'ortografia e alla capitalizzazione per assicurarsi che corrispondano esattamente alla propria configurazione SAML in Docebo.
→ Si noti che i parametri sono case-sensitive. Per esempio, "email" non è lo stesso di "Email". - Rules (Regole): aggiunge eventuali regole che potrebbero dover essere applicate.
- SSO: seguire le istruzioni nel capitolo Scheda SSO OneLogin (entrambe le app)
- Access (Accesso): seleziona le politiche di accesso di cui si ha bisogno
- Users (Utenti): qui si possono assegnare quali utenti avranno accesso alla piattaforma Docebo.
- Privileges (Privilegi): imposta eventuali privilegi specifici di cui si potrebbe aver bisogno.
Scheda Configurazione OneLogin (app Docebo)
Dopo aver aggiunto l'app Docebo in OneLogin, nella scheda Configuration (Configurazione) bisogna solo inserire il nome della propria piattaforma nel campo Docebo Subdomain (Sottodominio Docebo). Bisogna inserire solo la parte dell'URL che precede docebosaas.
→ Per esempio, per l'URL della piattaforma https://academy70.docebosaas.com/, inserire solo academy70.
Suggerimento: poiché docebosaas.com verrà automaticamente aggiunto a quanto si inserisce qui, questo campo non funzionerà per piattaforme che hanno un dominio personalizzato, o per qualsiasi piattaforma extended enterprise. Per questi casi usare l'app Docebo Multi Domain.
Scheda Configurazione OneLogin (app Docebo Multi Domain)
Dopo aver aggiunto l'app Docebo Multi Domain in OneLogin, nella scheda Configuration (Configurazione) bisogna configurare una serie di campi. Recuperare le informazioni da inserire qui dalla pagina di configurazione SAML sulla propria piattaforma, come indicato nel resto di questo capitolo.
La procedura da seguire dipende dal fatto che si stia usando il tipo di configurazione SAML Smart o Standard sulla piattaforma. Se non già fatto, accedere alla pagina delle impostazioni SAML nella piattaforma e seleziona il tipo di configurazione desiderato.
→ Assicurarsi di accedere alla pagina delle impostazioni SAML dalla stessa piattaforma principale o extended enterprise client per cui si sta configurando il Single Sign On.
Configurazione SAML Smart:
Nella pagina delle impostazioni per SAML 2.0, se si ha selezionato l'opzione di configurazione Smart nella piattaforma, le informazioni necessarie sono visualizzate direttamente nella sezione Metadati SAML 2.0 SP.
Copiare ciascuno di questi link e incollarli nei campi corrispondenti della scheda di configurazione OneLogin come segue:
| Copiare dalla pagina SAML Smart | Incollare nel campo OneLogin (scheda Configurazione) | |
| Entity ID | → | Pubblico |
| URL di login | → | URL consumer Docebo |
| URL di logout | → | URL di logout singolo |
| URL di login | → | Destinatario |
Configurazione SAML Standard:
Se invece si ha selezionato l'opzione di configurazione Standard nella piattaforma, i link non sono visualizzati direttamente, bisogna scaricare il file XML dei metadati per ottenerli.
Scorrere fino alla sezione Metadati SAML SP 2.0 e cliccare su Scarica. Poi aprire il file scaricato in un editor di testo.
Copiare ciascuno dei link indicati nel file (bisogna copiare l'intero URL) e incollarli nei campi corrispondenti della scheda di configurazione OneLogin come segue:
| Link da copiare dal file XML dei metadati (scaricato dalle impostazioni SAML sulla piattaforma) |
Incollare nel campo OneLogin (scheda Configurazione) |
|
| EntityDescriptor | → | Pubblico |
| AssertionConsumerService | → | URL consumer Docebo |
| SingleLogoutService | → | URL di logout singolo |
| AssertionConsumerService | → | Destinatario |
Scheda SSO OneLogin (entrambe le app)
Dopo aver aggiunto l'app Docebo o l'app Docebo Multi Domain in OneLogin, e compilato la scheda Configuration (Configurazione), nella scheda SSO si trovano ulteriori campi e impostazioni. Queste sono le stesse per entrambe le app Docebo e Docebo Multi Domain.
Bisogna copiare alcuni valori da qui nella pagina di configurazione SAML sulla propria piattaforma, come indicato nel resto di questo capitolo.
Nel campo SAML Signature Algorithm (Algoritmo firma SAML) selezionare l'algoritmo di cifratura SHA-256. Bisogna configurare lo stesso anche sul lato piattaforma.
Attenzione: l'algoritmo di cifratura SHA-1 non è più supportato.
I passaggi successivi da seguire dipendono dal fatto che si stia usando il tipo di configurazione SAML Smart o Standard sulla piattaforma. Ricordarsi, come prima, che si deve accedere alla pagina delle impostazioni SAML dalla stessa piattaforma principale o extended enterprise client per cui si sta configurando il Single Sign On.
Configurazione SAML Smart
Bisogna copiare le seguenti informazioni dalla scheda SSO di OneLogin alla pagina delle impostazioni SAML smart della piattaforma: URL dell'emittente, endpoint SAML 2.0 e certificato X509.
|
Elemento da copiare da OneLogin (scheda SSO) |
Campo da compilare nelle impostazioni SAML Smart | |
| URL dell'emittente | → | IssuerTEST (Emittente) |
| Endpoint SAML 2.0 (HTTP) | → | URL SSO |
| File certificato X509 PEM (vedi istruzioni sotto) |
→ | Certificato X509 |
| Endpoint SLO (HTTP) (opzionale) |
→ | Comportamento logout > URL logout (richiede la configurazione della firma del service provider) |
Istruzioni per il certificato X.509:
Nella scheda SSO di OneLogin, sotto Certificato X.509 cliccare con il tasto destro sul link View details (Visualizza dettagli) per aprirlo in una nuova scheda.
Attenzione: non cliccare direttamente sul link View details (Visualizza dettagli) perché si perde la configurazione corrente.
Nella nuova scheda: cambiare l'SHA fingerprint (impronta digitale SHA) in SHA256 cliccando sul menu a tendina. Poi cliccare sul pulsante Save (Salva) in alto a destra, e scaricare il certificato X.509 (PEM) usando il pulsante Download (Scarica). Quando si ha finito chiudere la scheda, tornando alla scheda SSO.
Ora, nella pagina delle impostazioni SAML della propria piattaforma, scorrere fino alla sezione Certificato X509, cliccare su Carica certificato e selezionare il file PEM precedentemente scaricato da OneLogin.
Configurazione SAML standard
Bisogna copiare le seguenti informazioni dalla scheda SSO di OneLogin alla pagina delle impostazioni SAML standard della piattaforma: URL dell'emittente e algoritmo firma SAML.
Bisogna inoltre scaricare il file dei metadati SAML da OneLogin e incollare il suo contenuto nel campo dei metadati XML nella piattaforma.
|
Elemento da copiare da OneLogin (scheda SSO) |
Campo da compilare nelle impostazioni SAML standard | |
| URL dell'emittente | → | ID identity provider |
| Algoritmo firma SAML | → | Algoritmo firma (impostare SHA-256 e assicurarsi che lo stesso valore sia configurato su OneLogin) |
| Metadati SAML (dalla barra dell'intestazione, vedi istruzioni sotto) |
→ | XML metadata |
Istruzioni per i metadati SAML:
Una volta completate le impostazioni nella scheda SSO di OneLogin per l'algoritmo di firma, nella barra dell'intestazione di OneLogin cliccare su Save (Salva). Poi dal menu Altre azioni selezionare SAML Metadata (Metadati SAML). Questo scaricherà il file XML dei metadati.
Aprire il file scaricato in un editor di testo, selezionare tutto il contenuto e copiarlo/incollarlo nel campo XML metadata della pagina delle impostazioni SAML standard.
Completare la configurazione SAML nella piattaforma
Le istruzioni fornite in questo articolo hanno spiegato come completare le configurazioni SAML specifiche per l'identity provider OneLogin.
Per informazioni su come completare le restanti impostazioni SAML nella piattaforma, fare riferimento all'articolo: