Panoramica
L'accesso singolo (SSO) consente agli utenti di accedere a Workplace attraverso un identity provider (IdP) controllato da te. Questo offre alcuni vantaggi a te e al tuo team:
- Maggiore sicurezza. L'accesso singolo offre un ulteriore livello di protezione e governance (le credenziali non vengono archiviate al di fuori dei sistemi controllati dalla tua azienda o trasmesse sulla rete).
- Maggiore semplicità per gli utenti finali. L'accesso a Workplace viene effettuato usando le stesse credenziali SSO degli altri sistemi (ad esempio, computer portatili o app interne), in modo che gli utenti possano accedere a Workplace senza dover ricordare un'altra password.
Workplace è direttamente supportato da diversi identity provider, tra cui Azure AD, G Suite, Okta, OneLogin e Ping Identity, che offrono connettori diretti per semplificare l'installazione.
Attivazione dell'SSO per Workplace
Una volta completate correttamente le configurazioni SSO indicate di seguito, gli utenti per cui hai effettuato il provisioning su Workplace saranno in grado di autenticarsi tramite l'identity provider selezionato.
PrerequisitiPrerequisiti
Per abilitare l'autenticazione tramite SSO su Workplace ti occorre:
- Accesso alle impostazioni di configurazione dell'identity provider
- Un ruolo di amministratore di sistema assegnato su Workplace
- Un account corrispondente nell'identity provider con lo stesso indirizzo e-mail dell'utente di Workplace con cui hai effettuato l'accesso (ad esempio, che usa lo stesso indirizzo e-mail per eseguire l'autenticazione sia su Workplace sia sull'identity provider); questo è essenziale per testare l'SSO e completare la configurazione su Workplace correttamente
Istruzioni generali
L'attivazione dell'SSO richiede alcune modifiche nel tuo identity provider e su Workplace. Devi eseguire questi tre passaggi:
Ecco una panoramica dettagliata di ogni passaggio.
Configurazione del tuo IdP per SSO con Workplace1. Configura il tuo IdP per attivare l'SSO per Workplace
Segui le istruzioni del tuo identity provider fornite di seguito per configurare l'SSO per Workplace. Tutti gli identity provider cloud che supportiamo offrono un'app preconfigurata per semplificare la configurazione di Workplace:
Workplace supporta inoltre ADFS come provider SSO. Scopri di più sulla configurazione di ADFS come provider SSO per Workplace.
Tutte le configurazioni sopra indicate forniscono almeno un URL del SAML, un URL di emissione del SAML e un certificato X.509 che useremo nei prossimi passaggi per configurare Workplace. Ti consigliamo di annotarli.
2. Configura Workplace per autenticare gli utenti tramite SSO
Questo collega il tuo provider SSO a Workplace:
- URL SAML
- URL di emissione del SAML
- Reindirizzamento disconnessione del SAML (facoltativo)
- Certificato SAML
3. Attiva l'SSO per i tuoi utenti.
Attiva l'SSO per i tuoi utenti.Ora puoi attivare l'SSO per i tuoi utenti in uno dei seguenti modi:
- Attiva l'SSO per un utente.
- Attiva l'SSO in gruppo per tutti i tuoi utenti o solo per alcuni.
Attiva l'SSO per un utente
Per attivare l'SSO per un utente, esegui l'accesso come amministratore con autorizzazione ad aggiungere e rimuovere account:
Attiva l'SSO in gruppo per tutti i tuoi utenti o solo per alcuni.
Per attivare l'SSO per tutti i tuoi utenti o solo per alcuni di essi, puoi scegliere tra diversi approcci:
- Usa la nostra API Account Management per aggiornare automaticamente il campo Metodo di accesso per un gruppo di utenti. La maggior parte degli identity provider integrati con Workplace usa questa API per sincronizzare le impostazioni di autenticazione per tutti i tuoi utenti su vasta scala. Scopri di più in API Account Management.
- Metodo di accesso è uno dei campi che supportiamo per la modifica di gruppo. Puoi impostare il campo
Login method
su SSO per un gruppo di utenti usando l'importazione tramite foglio di calcolo. Scopri di più in Gestione di gruppo degli account.
Reindirizzamento disconnessione del SAML (facoltativo)
Puoi scegliere di configurare facoltativamente un URL di disconnessione del SAML nella pagina di configurazione dell'SSO e usarlo per reindirizzare alla pagina di disconnessione del tuo identity provider. Quando questa impostazione è abilitata e configurata, l'utente non viene più indirizzato alla pagina di disconnessione di Workplace. Al contrario, viene reindirizzato all'URL precedentemente aggiunto nell'impostazione Reindirizza disconnessione del SAML.
Frequenza della riautenticazioneFrequenza della riautenticazione
Puoi configurare Workplace in modo che richieda un controllo del SAML ogni giorno, ogni 3 giorni, ogni settimana, ogni 2 settimane, ogni mese o mai. Puoi anche forzare la reimpostazione del SAML per tutti gli utenti usando il pulsante Forza subito la riautenticazione.
Architettura dell'SSO di Workplace
Workplace supporta SAML 2.0 per SSO, offrendo così agli amministratori la possibilità di gestire l'accesso alla piattaforma usando un identity provider (IdP) controllato da loro. Workplace riceve e accetta asserzioni basate su SAML dall'IdP e svolge il ruolo di SAML Service Provider (SP) nel seguente flusso di autenticazione:
- Inserisce il nome utente e clicca sul pulsante ContinuaOPPURE
- Clicca sul pulsante Accedi con SSO.
<samlp:AuthnRequest>
trasmesso nella richiesta contiene dati, come Issuer
che contiene l'ID istanza di Workplace, e NameIDPolicy
che è stato concordato in precedenza tra IdP e SP e specifica i vincoli sull'identificatore nominativo da usare per rappresentare l'oggetto richiesto. Workplace richiede che l'ID nome contenga l'indirizzo e-mail dell'utente (nameid-format:emailAddress
). /work/saml.php
dell'istanza di Workplace dell'azienda.- La risposta è firmata con il certificato emesso dall'IdP.
emailAddress
ha restituito le stesse asserzioni SAML corrispondenti a quelle utilizzate per avviare il flusso SSO.- L'autenticazione è stata eseguita correttamente (
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
).