Introduzione
Attivando l'app SAML in Docebo, gli utenti possono accedere alle loro piattaforme utilizzando le credenziali delle sessioni attive in altre piattaforme web. Questo articolo fornisce un esempio di configurazione di OneLogin come Identity Provider utilizzando SAML.
Per preparare questa integrazione, assicurarsi di aver installato l'app SAML in propria piattaforma.
Configurare OneLogin con SAML
Per configurare OneLogin come funzionalità di Single Sign On in piattaforma, cliccare l'icona ingranaggio per accedere alla Menu Amministratore e individuare SAML, quindi cliccare Gestione.
Scorrere fino al pulsante DOWNLOAD nella sezione SAML 2.0 SP Metadata. Cliccare per scaricare il file dei metadati.
Aprire il file e cercare la voce AssertionConsumerService Binding, come evidenziato nel seguente file di esempio:
<?xml version="1.0"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
entityID="https://academy70.docebosaas.com/lms/index.php">
<md:SPSSODescriptor
protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1:protocol
urn:oasis:names:tc:SAML:2.0:protocol">
<md:SingleLogoutService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="https://academy70.docebosaas.com/lms/index.php?r=SimpleSamlApp/
SimpleSamlApp/modules/saml/sp/saml2-logout.php/default-sp"/>
<md:SingleLogoutService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP"
Location="https://academy70.docebosaas.com/lms/index.php?r=SimpleSamlApp/
SimpleSamlApp/modules/saml/sp/saml2-logout.php/default-sp"/>
<md:AssertionConsumerService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://academy70.docebosaas.com/lms/index.php?r=SimpleSamlApp/
SimpleSamlApp/modules/saml/sp/saml2-acs.php/default-sp" index="0"/>
<md:AssertionConsumerService
Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post"
Location="https://academy70.docebosaas.com/lms/index.php?r=SimpleSamlApp/
SimpleSamlApp/modules/saml/sp/saml1-acs.php/default-sp" index="1"/>
<md:AssertionConsumerService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact"
Location="https://academy70.docebosaas.com/lms/index.php?r=SimpleSamlApp/
SimpleSamlApp/modules/saml/sp/saml2-acs.php/default-sp" index="2"/>
<md:AssertionConsumerService
Binding="urn:oasis:names:tc:SAML:1.0:profiles:artifact-01"
Location="https://academy70.docebosaas.com/lms/index.php?r=SimpleSamlApp/
SimpleSamlApp/modules/saml/sp/saml1-acs.php/default-sp/artifact" index="3"/>
</md:SPSSODescriptor>
<md:ContactPerson contactType="technical">
<md:GivenName>Administrator</md:GivenName>
<md:EmailAddress>tech24@docebo.com</md:EmailAddress>
</md:ContactPerson>
</md:EntityDescriptor>
L'URI della voce sarà utilizzato nelle fasi successive. Ad esempio (sostituendo [YOURPLATFORMNAME] con il nome della propria piattaforma):
https://[YOURPLATFORMNAME].docebosaas.com/lms/index.php?r=SimpleSamlApp/SimpleSamlApp/modules/saml/sp/saml2-acs.php/default-sp
Accedere ora al proprio account di OneLogin come amministratore. A questo punto è necessario installare l'applicazione Docebo o Docebo Multi-Domain dalla libreria delle app di OneLogin, accedendo alla tab Applications nel menu amministratore e cliccando sul pulsante Add App. Cercare Docebo e selezionare l'applicazione Docebo o Docebo Multi Domain.
Configurare l'App Docebo in OneLogin
Selezionare il nome per identificare l'app nel portale di OneLogin. È possibile scegliere se rendere l'applicazione visibile nel portale e selezionare un'icona diversa da quella predefinita. Inserire la descrizione e cliccare Save.
La schermata cambierà leggermente e appariranno nuove tab a sinistra. Cliccare sulla tab Configuration per continuare.
Nella casella di testo Docebo Subdomain, inserire il nome della piattaforma, che è la prima parte dell'indirizzo della piattaforma:
[YOURPLATFORMNAME].docebosaas.com
Cliccare sulla tab Parameters per configurare i campi utente da utilizzare nell'integrazione. Cliccare sul pulsante più per aggiungere un nuovo parametro. Prestare molta attenzione all'ortografia e alle maiuscole e minuscole: assicurarsi che corrispondano esattamente alla configurazione SAML in Docebo.
Cliccare sulla tab Rules e aggiungere le regole da applicare, quindi passare alla tab SSO.
In questa tab sono disponibili le informazioni necessarie per la configurazione dell'Identity Provider ID nelle impostazioni SAML di Docebo.
Aprire il link View Details sotto la selezione X.509 Certificate in una nuova tab (Nota: per evitare di perdere la configurazione corrente, non aprire il link con un clic sul tasto sinistro). Nella nuova tab, modificare SHA fingerprint in SHA256 cliccando sul menu a tendina.
Scaricare ora il certificato X.509 utilizzando il pulsante Download e chiudere la tab, tornando alla tab SSO. Il certificato scaricato sarà caricato nella configurazione SAML di Docebo.
Utilizzare la tab Access per definire le politiche di accesso desiderate, quindi passare alla tab Users per assegnare gli utenti che avranno accesso alla piattaforma Docebo.
Passare quindi alla tab Privileges per impostare eventuali privilegi specifici.
Una volta completati questi passaggi, premere Save e successivamente il menu a tendina More Actions accanto al pulsante Save disabilitato. Selezionare SAML Metadata per scaricare il file XML dei metadati di OneLogin necessario alla piattaforma Docebo. Completare la configurazione di SAML in Docebo.
Configurare l’app Docebo Multi-Domain in OneLogin
Ora è necessario installare l'applicazione Docebo Multi Domain dalla libreria OneLogin App.
Accedere a OneLogin come amministratore e accedere a Applications nel menu di amministratore. Cercare Docebo, selezionare l'applicazione Docebo Multi Domain e installare l'integrazione OneLogin SSO per un'istanza multidominio di Docebo.
Spostarsi alla piattaforma Docebo, accedere al Menu Amministrazione e selezionare Gestione nella sezione Extended Enterprise. Cliccare l'icona ingranaggi nella riga del dominio per il quale si sta impostando il Single Sign On.
Passare alla sezione SAML 2.0 Settings. Selezionare Abilita le impostazioni personalizzate per questo client per attivarlo, quindi scorrere verso il basso e cliccare sul pulsante DOWNLOAD nella sezione SAML 2.0 SP Metadata per scaricare il file dei metadati per questa istanza multidominio.
Si tratterà di un file incompleto, ma con le informazioni necessarie per completare la configurazione in OneLogin. Ecco un esempio di file di metadati:
<?xml version="1.0"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
entityID="[https://YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/index.php|
https://YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/index.php]">
<md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1protocol
urn:oasis:names:tc:SAML:2.0protocol">
<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="[https://YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/index.php?r=
SimpleSamlApp/SimpleSamlApp/modules/saml/sp/saml2-logout.php/default-sp-2|https:
//YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/index.php?r=SimpleSamlApp/
SimpleSamlApp/modules/saml/sp/saml2-logout.php/default-sp-2]"/>
<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP"
Location="[https://YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/index.php?r=
SimpleSamlApp/SimpleSamlApp/modules/saml/sp/saml2-logout.php/default-sp-2
|https://YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/index.php?r=SimpleSamlApp
/SimpleSamlApp/modules/saml/sp/saml2-logout.php/default-sp-2]"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="[https://YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/index.php?r=
SimpleSamlApp/SimpleSamlApp/modules/saml/sp/saml2-acs.php/default-sp-2
|https://YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/index.php?r=SimpleSamlApp
/SimpleSamlApp/modules/saml/sp/saml2-acs.php/default-sp-2]" index="0"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:1.0profiles:
browser-post" Location="[https://YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/
index.php?r=SimpleSamlApp/SimpleSamlApp/modules/saml/sp/saml1-acs.php/
default-sp-2|https://YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/index.php?r=
SimpleSamlApp/SimpleSamlApp/modules/saml/sp/saml1-acs.php/default-sp-2]" index="1"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:
HTTP-Artifact" Location="[https://YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/
index.php?r=SimpleSamlApp/SimpleSamlApp/modules/saml/sp/saml2-acs.php/
default-sp-2|https://YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/index.php?r=
SimpleSamlApp/SimpleSamlApp/modules/saml/sp/saml2-acs.php/default-sp-2]" index="2"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:1.0profiles:
artifact-01" Location="[https://YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/
index.php?r=SimpleSamlApp/SimpleSamlApp/modules/saml/sp/saml1-acs.php/default-sp-2
/artifact|https://YOURLMSNAME.docebosaas.com/DOMAINNAME/lms/index.php?r=
SimpleSamlApp/SimpleSamlApp/modules/saml/sp/saml1-acs.php/default-sp-2/artifact]"
index="3"/>
</md:SPSSODescriptor>
<md:ContactPerson contactType="technical">
<md:GivenName>Administrator</md:GivenName>
<md:EmailAddress>tech24@docebo.com</md:EmailAddress>
</md:ContactPerson>
</md:EntityDescriptor>
Docebo Multi Domain
Selezionare, se si desidera, che l'app sia visibile nel portale OneLogin e scegliere l'icona appropriata. Scrivere una descrizione.
È possibile selezionare un'opzione self-service e scrivere una breve descrizione per il catalogo delle app in OneLogin. Salva. Una volta salvato, si accederà ai menu di configurazione, parametri, regole, SSO, accesso, utenti e privilegi.
In Configuration, compilare i seguenti campi:
- Application Details: Recuperare questi dati dal file SP Metadata.
- Docebo Consumer URL: Inserire il Consumer URL completo dal file dei metadati di SAML.
URL di esempio:
[https://YOURPLATFORMNAME.docebosaas.com/DOMAINNAME/lms/index.php?r=SimpleSamlApp
/SimpleSamlApp/modules/saml/sp/saml2-acs.php/default-sp-2)|https://YOURPLATFORMNAME.
docebosaas.com/DOMAINNAME/lms/index.php?r=SimpleSamlApp/SimpleSamlApp/modules/
saml/sp/saml2-acs.php/default-sp-2)]
- Audience: Inserire l'Audience URL dal file dei metadati SAML.
URL di esempio:
[https://YOURPLATFORMNAMnaE.docebosaas.com/DOMAINNAME/lms/index.php?r=SimpleSamlApp/
SimpleSamlApp/modules/saml/sp/saml2-acs.php/default-sp-2)|https://YOURLMSNAME.
docebosaas.com/DOMAINNAME/lms/index.php?r=SimpleSamlApp/SimpleSamlApp/modules/
saml/sp/saml2-acs.php/default-sp-2)]
- Parameters: Utilizzare questa sezione per scegliere i campi utente da utilizzare per le asserzioni nell'integrazione. Quando si configurano i parametri, prestare particolare attenzione all'ortografia dei campi inseriti o utilizzati e assicurarsi che corrispondano esattamente alla configurazione SAML in Docebo. Questi parametri sono sensibili alle maiuscole e alle minuscole.
Attenzione! “email” non è “Email” quando si annota un attributo.
- Rules: Definire le regole che da applicare a questa applicazione.
- SSO: Questa sezione permette di raccogliere le informazioni necessarie a completare le informazioni Identity Provider ID nelle impostazioni di Docebo SAML. Copiare l'URL dal campo Issuer URLe inserirlo nel campo Identity Provider ID nelle impostazioni di Docebo SAML.
URL di esempio:
[https://app.onelogin.com/saml/metadata/1ea1b785-efef-4d5c-b6ed-080856490828
|https://app.onelogin.com/saml/metadata/1ea1b785-efef-4d5c-b6ed-080856490828]
OneLogin fornirà il certificato necessario a proteggere questa integrazione. Cliccare sezione More Details del certificato e, nella pagina successiva, selezionare l'impostazione SHA256 dal menu a tendina Fingerprint. Scaricare il file x.509 PEM che andrà caricato su Docebo nelle impostazioni SAML.
- Access: In questa sezione impostare i criteri di accesso.
- Users: In questa sezione assegnare gli utenti che accedono alla piattaforma Docebo.
- Privileges: In questa sessione impostare i privilegi necessari.
Dopo aver completato tutte le sezioni, selezionare XML MetaData dal menu a tendina More Actions. Scaricare il file e aprirlo. Selezionare tutto e copiare i dati del file, quindi incollarli nella sezione XML Metadata delle impostazioni SAML di Docebo.
A questo punto si dovrebbe disporre di tre elementi per completare la configurazione SAML in Docebo:
- L'Issuer URL copiato in un file
- Il file certificato x.509
- L' XML metadata
Ora dovrebbe essere possibile testare l'integrazione SAML. Una buona pratica è quella di utilizzare uno strumento come SAML-tracer per monitorare le dichiarazioni SAML per la risoluzione dei problemi.