Single Sign-On (SSO) - Configurazione Principale
Abilitare il Single Sign-On (SSO)
Per abilitare il Single Sign-On (SSO), segui questi passaggi:
- Individua l'interruttore a levetta SSO nelle tue impostazioni di autenticazione.
- Attiva l'interruttore per abilitare SSO.
Opzioni di Configurazione SSO
1. Configurare SSO basato su SAML
Se scegli di utilizzare SAML, dovrai configurare sia i dettagli del fornitore di servizi di Drimify che quelli del tuo provider di identità.
Dettagli del Fornitore di Servizi (forniti da Drimify):
- Entity ID – Identificatore unico per la tua configurazione.
- ACS (Assertion Consumer Service) URL – Dove l'IdP invia le asserzioni SAML.
- SLS (Single Logout Service) URL – Gestisce le richieste di logout.
Dettagli del Provider di Identità (forniti da te):
- Entity ID (Issuer) – ad esempio,
https://idp.example.com/
- Single Sign-On Service URL – ad esempio,
https://idp.example.com/sso/saml
- Single Esci Service URL – ad esempio,
https://idp.example.com/slo/saml
- Certificato X.509 – Richiesto per convalidare le risposte SAML.
- Certificato di Cifratura (opzionale) – Per criptare le asserzioni.
2. Metodo di Autenticazione (Opzionale)
Puoi opzionalmente definire un authenticationMethod
per imporre un livello specifico di autenticazione quando gli utenti accedono tramite SSO.
Metodi disponibili:
- None (Lascia decidere all'IdP)
- Password / Password over TLS
- Certificato X.509
- Autenticazione PKI
- Kerberos
- Smartcard / Smartcard PKI
- Token sincronizzati nel tempo (OTP)
- Mobile (1FA / 2FA)
- Solo indirizzo IP / IP + Password
- Sessione precedente
- Non specificato
3. Configurare SSO basato su OAuth
Puoi anche configurare l'SSO utilizzando un fornitore oauth.
Opzioni OAuth supportate:
- Keycloak
- Fornitore personalizzato
Per Keycloak:
- id cliente
- Client Secret
- url del server keycloak
- Realm
- Versione
Per OAuth personalizzato:
- id cliente
- Client Secret
- url di autorizzazione
- url del token di accesso
- Resource Proprietario (User Info) URL
- Scopo (e.g.,
openid
,profile
,email
) - campo id (e.g.,
sub
) - Campo e-mail (e.g.,
email
) - Campo Nome (e.g.,
given_name
) - Campo Cognome (e.g.,
family_name
)
Riepilogo Passo-Passo
- Abilita SSO tramite l'interruttore.
- Scegli un metodo di configurazione:
- Configura manualmente SAML o OAuth.
- Inserisci i dettagli richiesti (a seconda del metodo).
- Salva e testa utilizzando il link diretto dell'applicazione.
Note Importanti
- 🔐 Requisito del Piano: Il tuo abbonamento deve includere l'opzione SSO Premium.
- 🔗 Testa utilizzando il collegamento diretto: La modalità anteprima non supporta SSO.
- 🛠️ Verifica la tua piattaforma SSO: Assicurati che il tuo IdP o fornitore oauth permetta richieste da Drimify.
Suggerimenti per la Risoluzione dei Problemi
Specifico di SAML
- ✅ Incongruenza URL ACS / Entity ID: Verifica attentamente questi valori nel tuo IdP.
- 📅 Certificato Scaduto: Aggiorna il certificato X.509 se è scaduto o cambiato.
- 🚫 Metodo di Autenticazione Non Supportato: Prova a impostarlo su "None" se l'accesso fallisce.
- 📥 Asserzione SAML non accettata: Assicurati che sia nel formato corretto e che includa i campi richiesti (come l'email).
Specifico di OAuth
- ❌ ID/Secret Cliente Non Valido: Verifica attentamente le credenziali.
- 🌐 URL Errati: Assicurati che tutti gli URL siano corretti e accessibili.
- 🔍 Obiettivo Mancante: Conferma che l'obiettivo richiesto sia incluso.
- 🧩 Mappature dei Campi Mancanti: Abbina i nomi dei campi con la risposta utente info del tuo provider OAuth.### Problemi Generali
- ⚠️ SSO funziona solo tramite collegamento diretto: Evita di fare test in anteprima.
- 🔄 SSO non si attiva: Assicurati che sia abilitato e che il tuo piano lo includa.
- 🧭 Disallineamento dei dati utente: Verifica che il tuo IdP o fornitore oauth restituisca un identificatore utente valido e unico.
Aggiornato il: 30/05/2025
Grazie!