Home
Home

Autenticazione

Scopri le opzioni a tua disposizione per consentire agli utenti di accedere a Workplace.

Indice

Panoramica

Panoramica

L'accesso singolo (SSO) consente agli utenti di accedere a Workplace attraverso un identity provider (IdP) controllato da te. Questo offre alcuni vantaggi a te e al tuo team:

  • Maggiore sicurezza: l'accesso singolo offre un ulteriore livello di protezione e governance (le credenziali non vengono archiviate al di fuori dei sistemi controllati della tua azienda o trasmesse sulla rete).
  • Maggiore semplicità per gli utenti finali: l'accesso a Workplace viene effettuato usando le stesse credenziali SSO degli altri sistemi (ad es. computer portatili o app interne), in modo che gli utenti possano accedere a Workplace senza dover ricordare un'altra password.

Workplace è direttamente supportato da diversi identity provider, tra cui Azure AD, G Suite, Okta, OneLogin e Ping Identity, che offrono connettori diretti per semplificare l'installazione.

?
Workplace supporta SAML (Security Assertion Markup Language) 2.0 per l'SSO. Si tratta di un standard di settore, quindi questo si traduce nella nostra capacità di integrare facilmente un identity provider che supporta SAML 2.0, anche se non è elencato in questa pagina, o addirittura di creare una tua implementazione SSO.

Attivazione dell'SSO per Workplace

Una volta completate correttamente le configurazioni SSO di seguito, gli utenti per cui hai effettuato il provisioning su Workplace saranno in grado di autenticarsi tramite l'identity provider selezionato.

Prerequisiti

Prerequisiti

Ecco di cosa hai bisogno per abilitare l'autenticazione tramite SSO su Workplace:

  • Accesso alle impostazioni di configurazione dell'identity provider
  • Un ruolo di amministratore di sistema assegnato su Workplace
  • Un account corrispondente nell'identity provider con lo stesso indirizzo e-mail dell'utente di Workplace con cui hai effettuato l'accesso (ad es. che usa lo stesso indirizzo e-mail per eseguire l'autenticazione sia su Workplace che sull'identity provider); è essenziale per testare l'SSO e completare la configurazione su Workplace correttamente
?
Workplace supporta un identity provider per SSO in ciascun istanza. Ciò significa che per abilitare l'SSO per ogni utente è necessario disporre di un identity provider globale per l'SSO. In alternativa, supportiamo uno scenario di autenticazione mista in cui alcuni utenti eseguiranno l'autenticazione utilizzando l'SSO e altri utenti utilizzando il nome utente e la password di Workplace.

Istruzioni generali

L'attivazione dell'SSO richiede alcune modifiche nel tuo identity provider e su Workplace. A seconda del tuo identity provider, la configurazione può variare, ma i passaggi da seguire possono essere riassunti come segue:

1
Configura il tuo identity provider (IdP) per attivare l'SSO per Workplace.

2
Configura Workplace per autenticare gli utenti tramite SSO.

3
Attiva l'SSO per i tuoi utenti.

Ecco una panoramica dettagliata di ogni passaggio:

Configura il tuo IdP per l'SSO con Workplace

1. Configura il tuo IdP per attivare l'SSO per Workplace

Segui le istruzioni del tuo identity provider che trovi di seguito per configurare l'SSO per Workplace. Tutti i cloud identity provider che supportiamo offrono un'app preconfigurata per semplificare la configurazione di Workplace:

G-Suite
Azure AD
Okta
OneLogin
Ping
Duo

Workplace supporta inoltre ADFS come SSO provider. Scopri di più nella guida dedicata alla configurazione di ADFS come SSO provider per Workplace.

Tutte le configurazioni di cui sopra forniranno almeno un URL SAML, un URL di emissione del SAML e un certificato X.509 che utilizzeremo nei prossimi passaggi per configurare Workplace. Annotali.

?
Per il certificato X.509, potrebbe essere necessario aprire il certificato scaricato in un editor di testo per poterlo usare nei prossimi passaggi.
Configura Workplace per autenticare gli utenti tramite SSO

2. Configura Workplace per autenticare gli utenti tramite SSO

Una volta completata la configurazione del tuo identity provider:

1
Accedi al Pannello di amministrazione e vai alla sezione Protezione.

2
Accedi alla tab Autenticazione.

3
Seleziona la casella Accesso singolo (SSO).

4
  • URL SAML
  • URL di emissione del SAML
  • Reindirizza disconnessione del SAML (facoltativo)
  • Certificato SAML

5
A seconda del tuo identity provider, potresti dover copiare i valore per Audience URL, Recipient URL e ACS (Assertion Consumer Service) URL elencati nella sezione Configurazione SAML e configurare il tuo identity provider di conseguenza.

6
Scorri fino in fondo alla sezione e clicca sul pulsante Testa SSO. Visualizzerai una finestra pop-up con la pagina di accesso del tuo identity provider. Inserisci le tue credenziali per effettuare l'autenticazione.

?
Risoluzione dei problemi: assicurati che l'indirizzo e-mail usato per l'autenticazione con il tuo identity provider sia lo stesso dell'account Workplace con cui hai effettuato l'accesso.

7
Una volta completato correttamente il test, scorri fino in fondo alla pagina e clicca su Salva.

3. Attiva l'SSO per gli utenti

Attiva l'SSO per gli utenti

A seconda di come hai deciso di configurare l'autenticazione per la tua istanza:

  • Attiva l'SSO per un utente: puoi attivare l'SSO per un utente effettuando l'accesso come un amministratore che dispone dell'autorizzazione per aggiungere e rimuovere gli account. Completa i passaggi seguenti per modificare le impostazioni SSO per un utente:

    1
    Accedi al Pannello di amministrazione e vai alla sezione Persone.

    2
    Cerca l'utente di cui desideri modificare le impostazioni di autenticazione.

    3
    Clicca sul pulsante ... e seleziona Modifica i dettagli della persona.

    4
    Modifica il campo Accedi con impostando l'SSO.
  • Attiva l'SSO per tutti gli utenti di Workplace: puoi attivare l'SSO per tutti i tuoi utenti effettuando l'accesso come amministratore con il ruolo di amministratore di sistema. Una volta effettuato l'accesso come amministratore con questa autorizzazione, puoi completare i seguenti passaggi per modificare le impostazioni SSO per tutti i tuoi utenti di Workplace.

    1
    Accedi al Pannello di amministrazione e vai alla sezione Protezione.

    2
    Accedi alla tab Autenticazione.

    3
    Se desideri impostare l'SSO per tutti gli utenti, deseleziona la casella di Password.
  • Attiva l'SSO per una parte dei tuoi utenti: puoi usare approcci diversi per attivare selettivamente l'SSO solo per un sottoinsieme di utenti.

    Metodo di accesso è uno dei campi che supportiamo per la modifica di gruppo. Puoi impostare Metodo di accesso su SSO per un gruppo di utenti usando l'importazione tramite csv. Scopri di più nella guida Gestione di gruppo degli account.

    In alternativa, puoi usare la nostra API Account Management per aggiornare il metodo di accesso per un gruppo di utenti in modo automatico. Scopri di più sull'API Account Management.

Reindirizza disconnessione del SAML

Reindirizzamento disconnessione del SAML (facoltativo)

Puoi scegliere di configurare facoltativamente un URL di disconnessione del SAML nella pagina di configurazione dell'SSO, che può essere usato per reindirizzare alla pagina di disconnessione del tuo identity provider. Quando questa impostazione è abilitata e configurata, l'utente non viene più indirizzato alla pagina di disconnessione di Workplace. Al contrario, viene reindirizzato all'URL precedentemente aggiunto nell'impostazione Reindirizza disconnessione del SAML.

Frequenza della riautenticazione

Frequenza della riautenticazione

Puoi configurare Workplace in modo che richieda un controllo del SAML ogni giorno, ogni 3 giorni, ogni settimana, ogni 2 settimane, ogni mese o mai. Puoi anche forzare la reimpostazione del SAML per tutti gli utenti usando il pulsante Forza subito la riautenticazione.

Architettura dell'SSO di Workplace

Architettura dell'SSO di Workplace

?
Questa sezione fornisce una panoramica più dettagliata del flusso SSO supportato da Workplace. Le soluzioni SSO personalizzate basate su SAML devono seguire le linee guida sopra riportate per l'integrazione con Workplace ai fini dell'autenticazione.

Workplace supporta SAML 2.0 per SSO, dando agli amministratori l'opzione di gestire l'accesso alla piattaforma usando un identity provider (IdP) controllato da loro. Workplace riceve e accetta asserzioni basate su SAML dall'IdP e svolge il ruolo di SAML Service Provider (SP) nel seguente flusso di autenticazione:

1
SSO avviato dall'SP: un utente abilitato per SSO accede alla pagina di accesso di Workplace, quindi:
  • Compila il nome utente e clicca sul pulsante ContinuaOPPURE
  • Clicca sul pulsante Accedi con SSO.

2
Workplace esegue un binding HTTP Redirect da SP a IdP: l'oggetto <samlp:AuthnRequest> trasmesso nella richiesta contiene dati, come Issuer, che contiene l'ID istanza di Workplace, e NameIDPolicy, che è stato concordato in precedenza tra IdP e SP e specifica i vincoli sull'identificatore nominativo da usare per rappresentare l'oggetto richiesto. Workplace richiede che l'ID nome contenga l'indirizzo e-mail dell'utente (nameid-format:emailAddress).

3
Workplace aspetta un binding HTTP Post da IdP a SP: viene restituito un token SAML contenente le asserzioni dell'utente, incluso lo stato di autenticazione. L'URL post-back di Workplace (chiamato anche Assertion Consumer Service URL) è configurato a livello di IdP e reindirizza all'endpoint /work/saml.php dell'istanza di Workplace dell'azienda.

4
Workplace, prima di consentire l'accesso a un utente, verifica quanto segue:
  • La risposta è firmata con il certificato emesso dall'IdP
  • emailAddress ha restituito le stesse asserzioni SAML corrispondenti a quelle utilizzate per avviare il flusso SSO
  • L'autenticazione è stata eseguita correttamente (<samlp:​StatusCode Value="urn:​oasis:​names:​tc:​SAML​:2.0:​status:Success"/>)