Single Sign-On (SSO) - Configurazione Principale

Abilitare il Single Sign-On (SSO)

Per abilitare il Single Sign-On (SSO), segui questi passaggi:

1. Individua l'interruttore a levetta SSO nelle tue impostazioni di autenticazione.
2. Attiva l'interruttore per abilitare SSO.

Opzioni di Configurazione SSO

1. Configurare SSO basato su SAML

Se scegli di utilizzare SAML, dovrai configurare sia i dettagli del fornitore di servizi di Drimify che quelli del tuo provider di identità.

Dettagli del Fornitore di Servizi (forniti da Drimify):

• Entity ID – Identificatore unico per la tua configurazione.
• ACS (Assertion Consumer Service) URL – Dove l'IdP invia le asserzioni SAML.
• SLS (Single Logout Service) URL – Gestisce le richieste di logout.

Dettagli del Provider di Identità (forniti da te):

• Entity ID (Issuer) – ad esempio, https://idp.example.com/
• Single Sign-On Service URL – ad esempio, https://idp.example.com/sso/saml
• Single Esci Service URL – ad esempio, https://idp.example.com/slo/saml
• Certificato X.509 – Richiesto per convalidare le risposte SAML.
• Certificato di Cifratura (opzionale) – Per criptare le asserzioni.

2. Metodo di Autenticazione (Opzionale)

Puoi opzionalmente definire un authenticationMethod per imporre un livello specifico di autenticazione quando gli utenti accedono tramite SSO.

Metodi disponibili:

• None (Lascia decidere all'IdP)
• Password / Password over TLS
• Certificato X.509
• Autenticazione PKI
• Kerberos
• Smartcard / Smartcard PKI
• Token sincronizzati nel tempo (OTP)
• Mobile (1FA / 2FA)
• Solo indirizzo IP / IP + Password
• Sessione precedente
• Non specificato

3. Configurare SSO basato su OAuth

Puoi anche configurare l'SSO utilizzando un fornitore oauth.

Opzioni OAuth supportate:

• Keycloak
• Fornitore personalizzato

Per Keycloak:

• id cliente
• Client Secret
• url del server keycloak
• Realm
• Versione

Per OAuth personalizzato:

• id cliente
• Client Secret
• url di autorizzazione
• url del token di accesso
• Resource Proprietario (User Info) URL
• Scopo (e.g., openid, profile, email)
• campo id (e.g., sub)
• Campo e-mail (e.g., email)
• Campo Nome (e.g., given_name)
• Campo Cognome (e.g., family_name)

Riepilogo Passo-Passo

1. Abilita SSO tramite l'interruttore.
2. Scegli un metodo di configurazione:

• Configura manualmente SAML o OAuth.

3. Inserisci i dettagli richiesti (a seconda del metodo).
4. Salva e testa utilizzando il link diretto dell'applicazione.

Note Importanti

• 🔐 Requisito del Piano: Il tuo abbonamento deve includere l'opzione SSO Premium.
• 🔗 Testa utilizzando il collegamento diretto: La modalità anteprima non supporta SSO.
• 🛠️ Verifica la tua piattaforma SSO: Assicurati che il tuo IdP o fornitore oauth permetta richieste da Drimify.

Suggerimenti per la Risoluzione dei Problemi

Specifico di SAML

• ✅ Incongruenza URL ACS / Entity ID: Verifica attentamente questi valori nel tuo IdP.
• 📅 Certificato Scaduto: Aggiorna il certificato X.509 se è scaduto o cambiato.
• 🚫 Metodo di Autenticazione Non Supportato: Prova a impostarlo su "None" se l'accesso fallisce.
• 📥 Asserzione SAML non accettata: Assicurati che sia nel formato corretto e che includa i campi richiesti (come l'email).

Specifico di OAuth

• ❌ ID/Secret Cliente Non Valido: Verifica attentamente le credenziali.
• 🌐 URL Errati: Assicurati che tutti gli URL siano corretti e accessibili.
• 🔍 Obiettivo Mancante: Conferma che l'obiettivo richiesto sia incluso.
• 🧩 Mappature dei Campi Mancanti: Abbina i nomi dei campi con la risposta utente info del tuo provider OAuth.### Problemi Generali

• ⚠️ SSO funziona solo tramite collegamento diretto: Evita di fare test in anteprima.
• 🔄 SSO non si attiva: Assicurati che sia abilitato e che il tuo piano lo includa.
• 🧭 Disallineamento dei dati utente: Verifica che il tuo IdP o fornitore oauth restituisca un identificatore utente valido e unico.

Aggiornato il: 30/05/2025