Home
Home

Autenticazione

Scopri le opzioni disponibili per consentire agli utenti di accedere a Workplace.

Contenuti

Panoramica

Panoramica

L'accesso singolo (SSO) consente agli utenti di accedere a Workplace attraverso un identity provider (IdP) controllato da te. Questo offre alcuni vantaggi a te e al tuo team:

  • Maggiore sicurezza. L'accesso singolo offre un ulteriore livello di protezione e governance (le credenziali non vengono archiviate al di fuori dei sistemi controllati dalla tua azienda o trasmesse sulla rete).
  • Maggiore semplicità per gli utenti finali. L'accesso a Workplace viene effettuato usando le stesse credenziali SSO degli altri sistemi (ad esempio, computer portatili o app interne), in modo che gli utenti possano accedere a Workplace senza dover ricordare un'altra password.

Workplace è direttamente supportato da diversi identity provider, tra cui Azure AD, G Suite, Okta, OneLogin e Ping Identity, che offrono connettori diretti per semplificare l'installazione.

?
Nota: Workplace supporta SAML (Security Assertion Markup Language) 2.0 per SSO. Poiché si tratta di uno standard di settore, ci consente di integrare facilmente un identity provider che supporta SAML 2.0, anche se non è elencato in questa pagina, o addirittura di creare una tua implementazione SSO.

Attivazione dell'SSO per Workplace

Una volta completate correttamente le configurazioni SSO indicate di seguito, gli utenti per cui hai effettuato il provisioning su Workplace saranno in grado di autenticarsi tramite l'identity provider selezionato.

Prerequisiti

Prerequisiti

Per abilitare l'autenticazione tramite SSO su Workplace ti occorre:

  • Accesso alle impostazioni di configurazione dell'identity provider
  • Un ruolo di amministratore di sistema assegnato su Workplace
  • Un account corrispondente nell'identity provider con lo stesso indirizzo e-mail dell'utente di Workplace con cui hai effettuato l'accesso (ad esempio, che usa lo stesso indirizzo e-mail per eseguire l'autenticazione sia su Workplace sia sull'identity provider); questo è essenziale per testare l'SSO e completare la configurazione su Workplace correttamente
?
Workplace supporta un identity provider per SSO in ciascun istanza per impostazione predefinita. Ciò significa che per abilitare l'SSO per ogni utente è necessario disporre di un identity provider globale per l'SSO. In alternativa, supportiamo uno scenario di autenticazione mista, in cui alcuni utenti eseguono l'autenticazione usando l'SSO e altri con il nome utente e la password di Workplace, oppure offriamo il supporto di più identity provider nel piano Enterprise.

Istruzioni generali

L'attivazione dell'SSO richiede alcune modifiche nel tuo identity provider e su Workplace. Devi eseguire questi tre passaggi:

1
Configura il tuo IdP per attivare l'SSO per Workplace.

2
Configura Workplace per autenticare gli utenti tramite SSO.

3
Attiva l'SSO per i tuoi utenti

Ecco una panoramica dettagliata di ogni passaggio.

Configurazione del tuo IdP per SSO con Workplace

1. Configura il tuo IdP per attivare l'SSO per Workplace

Segui le istruzioni del tuo identity provider fornite di seguito per configurare l'SSO per Workplace. Tutti gli identity provider cloud che supportiamo offrono un'app preconfigurata per semplificare la configurazione di Workplace:

G-Suite
Azure AD
Okta
OneLogin
Ping
Duo

Workplace supporta inoltre ADFS come provider SSO. Scopri di più sulla configurazione di ADFS come provider SSO per Workplace.

Tutte le configurazioni sopra indicate forniscono almeno un URL del SAML, un URL di emissione del SAML e un certificato X.509 che useremo nei prossimi passaggi per configurare Workplace. Ti consigliamo di annotarli.

?
Per il certificato X.509, potrebbe essere necessario aprire il certificato scaricato in un editor di testo per usarlo durante il prossimo passaggio.
Configura Workplace per autenticare gli utenti tramite SSO

2. Configura Workplace per autenticare gli utenti tramite SSO

Questo collega il tuo provider SSO a Workplace:

1
Nel Pannello di amministrazione, seleziona Sicurezza.

2
Clicca sulla tab Autenticazione.

3
Seleziona la casella Accesso singolo (SSO).

4
Clicca su +Aggiungi nuovo provider SSO.

5
Inserisci nei rispettivi campi i valori forniti dal tuo identity provider:
  • URL SAML
  • URL di emissione del SAML
  • Reindirizzamento disconnessione del SAML (facoltativo)
  • Certificato SAML

?
A seconda dell'identity provider in uso, potresti dover copiare i valori per Audience URL, Recipient URL e ACS (Assertion Consumer Service) URL elencati nella sezione Configurazione SAML e configurare il tuo identity provider di conseguenza.

5
Scorri fino in fondo alla sezione e clicca sul pulsante Testa SSO. Comparirà una finestra pop-up con la pagina di accesso del tuo identity provider. Inserisci le tue credenziali per effettuare l'autenticazione.

?
Risoluzione dei problemi: assicurati che l'indirizzo e-mail usato per l'autenticazione con il tuo identity provider sia lo stesso dell'account Workplace con cui hai effettuato l'accesso.

6
Una volta completato correttamente il test, scorri fino in fondo alla pagina e clicca su Salva.

7
Se necessario, configura SSO come autenticazione preda per i nuovi utenti selezionando SSO nel menu a discesa Default to new users (Opzione predefinita per i nuovi utenti).

3. Attiva l'SSO per i tuoi utenti.

Attiva l'SSO per i tuoi utenti.

Ora puoi attivare l'SSO per i tuoi utenti in uno dei seguenti modi:

  • Attiva l'SSO per un utente.
  • Attiva l'SSO in gruppo per tutti i tuoi utenti o solo per alcuni.

Attiva l'SSO per un utente

Per attivare l'SSO per un utente, esegui l'accesso come amministratore con autorizzazione ad aggiungere e rimuovere account:

1
Nel Pannello di amministrazione, seleziona Persone.

2
Cerca l'utente per cui vuoi attivare l'SSO.

3
Clicca sul pulsante ... e seleziona Modifica i dettagli della persona.

4
In Accedi con seleziona SSO.
Attiva l'SSO in gruppo per tutti i tuoi utenti o solo per alcuni.

Per attivare l'SSO per tutti i tuoi utenti o solo per alcuni di essi, puoi scegliere tra diversi approcci:

  • Usa la nostra API Account Management per aggiornare automaticamente il campo Metodo di accesso per un gruppo di utenti. La maggior parte degli identity provider integrati con Workplace usa questa API per sincronizzare le impostazioni di autenticazione per tutti i tuoi utenti su vasta scala. Scopri di più in API Account Management.
  • Metodo di accesso è uno dei campi che supportiamo per la modifica di gruppo. Puoi impostare il campo Login method su SSO per un gruppo di utenti usando l'importazione tramite foglio di calcolo. Scopri di più in Gestione di gruppo degli account.
Reindirizzamento disconnessione del SAML

Reindirizzamento disconnessione del SAML (facoltativo)

Puoi scegliere di configurare facoltativamente un URL di disconnessione del SAML nella pagina di configurazione dell'SSO e usarlo per reindirizzare alla pagina di disconnessione del tuo identity provider. Quando questa impostazione è abilitata e configurata, l'utente non viene più indirizzato alla pagina di disconnessione di Workplace. Al contrario, viene reindirizzato all'URL precedentemente aggiunto nell'impostazione Reindirizza disconnessione del SAML.

Frequenza della riautenticazione

Frequenza della riautenticazione

Puoi configurare Workplace in modo che richieda un controllo del SAML ogni giorno, ogni 3 giorni, ogni settimana, ogni 2 settimane, ogni mese o mai. Puoi anche forzare la reimpostazione del SAML per tutti gli utenti usando il pulsante Forza subito la riautenticazione.

Architettura dell'SSO di Workplace

Architettura dell'SSO di Workplace

?
Questa sezione fornisce una panoramica più dettagliata del flusso SSO supportato da Workplace. Le soluzioni SSO personalizzate basate su SAML devono seguire le linee guida sopra riportate per l'integrazione con Workplace ai fini dell'autenticazione.

Workplace supporta SAML 2.0 per SSO, offrendo così agli amministratori la possibilità di gestire l'accesso alla piattaforma usando un identity provider (IdP) controllato da loro. Workplace riceve e accetta asserzioni basate su SAML dall'IdP e svolge il ruolo di SAML Service Provider (SP) nel seguente flusso di autenticazione:

1
SSO avviato dall'SP. Un utente abilitato per SSO accede alla pagina di accesso di Workplace, quindi:
  • Inserisce il nome utente e clicca sul pulsante ContinuaOPPURE
  • Clicca sul pulsante Accedi con SSO.

2
Workplace esegue un binding HTTP Redirect da SP a IdP. L'oggetto <samlp:AuthnRequest> trasmesso nella richiesta contiene dati, come Issuer che contiene l'ID istanza di Workplace, e NameIDPolicy che è stato concordato in precedenza tra IdP e SP e specifica i vincoli sull'identificatore nominativo da usare per rappresentare l'oggetto richiesto. Workplace richiede che l'ID nome contenga l'indirizzo e-mail dell'utente (nameid-format:emailAddress).

3
Workplace aspetta un binding HTTP Post da IdP a SP. Viene restituito un token SAML contenente le asserzioni dell'utente, incluso lo stato di autenticazione. L'URL post-back di Workplace (chiamato anche Assertion Consumer Service URL) è configurato a livello di IdP e reindirizza all'endpoint /work/saml.php dell'istanza di Workplace dell'azienda.

4
Prima di consentire l'accesso a un utente, Workplace verifica quanto segue:
  • La risposta è firmata con il certificato emesso dall'IdP.
  • emailAddress ha restituito le stesse asserzioni SAML corrispondenti a quelle utilizzate per avviare il flusso SSO.
  • L'autenticazione è stata eseguita correttamente (<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>).