Support Centre

Single Sign-on (SSO): Dettagli tecnici da conoscere

In questo articolo imparerete:

  • Quale versione di SAML è supportata da Sherpany,
  • Come impostare l'SSO con Sherpany,
  • Quali meccanismi di sicurezza di SAML sono supportati da Sherpany,
  • Metodi di autenticazione SSO supportati da Sherpany,
  • Cos'è e come funziona il Just-In-Time Provisioning,
  • Cos'è MyDomain e perché è utile,
  • Quali attributi SAML sono supportati e quali sono richiesti


Quale versione di SAML è supportata da Sherpany?

Sherpany supporta il Security Assertion Markup Language (SAML 2.0) per offrire il Single-Sign-On ai propri clienti. SAML è uno standard aperto che consente ai fornitori di identità (IdP - il vostro sistema IAM) di passare le credenziali di autorizzazione ai fornitori di servizi (SP - Sherpany).

Ulteriori dettagli su SAML 2.0 sono disponibili sul sito ufficiale. 

 

Come Impostare l'SSO con Sherpany?

State pensando di impostare l'SSO per Sherpany nella vostra organizzazione? Contattateci per iniziare. Il nostro team sarà lieto di supportarvi. 

Per configurare il login SAML in Sherpany per la vostra organizzazione, seguite questi passi:

  1. Fornite a Sherpany:

    1. Domini e-mail utilizzati nella vostra organizzazione: Elenco dei domini e-mail che verranno utilizzati nella vostra organizzazione e che sono di proprietà dell'organizzazione in modo da poterli aggiungere alla "lista consentita".

    2. URL di MyDomain che desiderate utilizzare

  2. Sherpany crea la configurazione SAML iniziale e condivide il link all'XML di configurazione dell'SP.

  3. Sulla base dell'XML di configurazione dell'SP fornito, è possibile impostare la parte IdP e condividerla con Sherpany:
    → La propria configurazione (come file XML o come link alla configurazione)
    → Mappature degli attributi SAML

  4. Sherpany termina la configurazione e SAML è pronto per essere testato dall'utente.

Quali meccanismi di sicurezza di SAML sono supportati da Sherpany?

Per impostazione predefinita, Sherpany firma le richieste e vuole che il consenso sia firmato, ma supporta anche la firma dei messaggi.

Questo può essere configurato, tuttavia si consiglia di mantenere almeno il meccanismo di firma del consenso o del messaggio.

La funzione hash utilizzata di default per la firma è SHA-256, ma supportiamo anche SHA-1, SHA-384 e SHA-512.

Se hai domande relative alla sicurezza, contattaci.

Metodi di autenticazione SSO supportati da Sherpany

IdP Initiated SSO: Post
In questo scenario, un utente è connesso all'IdP e tenta di accedere a una risorsa su un server SP remoto. Il consenso SAML viene trasportata all'SP tramite HTTP POST.

Suggerimento

Se un utente tenta di accedere alle risorse protette senza essersi prima autenticato presso il sito dell'IdP, Sherpany si limiterà a reindirizzare l'utente (codice http 302 - NON si tratta di un vero e proprio SSO avviato dall'SP) alla pagina SSO esterna dell'IdP per l'autenticazione.

DataFlow
  1. L'utente A fa clic sull'URL della piattaforma.
  2. L'utente A arriva al sito di Sherpany (pagina protetta).
  3. L'applicazione di Sherpany reindirizza l'utente A (codice http 302 - SSO non avviato dall'SP) alla pagina di login SSO esterna dell'IdP. Importante: L'applicazione Sherpany aggiunge il parametro RelayState all'URL di connessione del reindirizzamento del cliente.
  4. L'utente A viene autenticato presso il sito dell'IdP.

  5. Il sistema SSO dell'IdP costruisce l'asserzione SAML e reindirizza l'utente A all'ACS (Assertion Consumer Service) di Sherpany, insieme al parametro RelayState aggiunto al consenso.

  6. Il sistema Federation di Sherpany decifra e convalida il consenso.

  7. Il sistema Federation di Sherpany reindirizza l'utente A all'URL della piattaforma Sherpany in base al RelayState.

  8. L'utente A accede alla piattaforma di Sherpany.

SP Initiated SSO: Post / Post

In questo scenario, un utente tenta di accedere a una risorsa protetta direttamente su un sito Web dell'SP senza essere connesso. L'utente non ha un account sul sito dell'SP, ma possiede un account federato gestito da un IdP di terze parti. L'SP invia una richiesta di autenticazione all'IdP. Sia la richiesta che il consenso e SAML restituita vengono inviate attraverso il browser dell'utente tramite HTTP POST.

Cos'è e come funziona il Just-In-Time Provisioning?

Con il provisioning Just-in-Time, è possibile utilizzare il consenso SAML per creare gli utenti velocemente, al primo tentativo di accesso. In questo modo si elimina la necessità di creare gli account utente in anticipo. Ad esempio, se di recente è stato aggiunto un dipendente all'organizzazione, non è necessario creare manualmente l'utente in Sherpany. Quando l'utente accede con un single sign-on, il suo account viene creato automaticamente, velocizzando i tempi e procedendo all'onboarding dell'account senza sforzi.

Informazioni  

Sherpany supporta solo una sala per la configurazione dell'Identity Provider.

Cos'è MyDomain e perché è utile

MyDomain è necessario per impostare un single sign-on con Sherpany.

Utilizzando MyDomain, Sherpany definisce un sottodominio per i clienti aziendali. Il nome del sottodominio compare in tutti gli URL delle org e sostituisce il dominio generale app.sherpany.com. Ad esempio, si può brandizzare il proprio URL nominando il sottodominio con il nome della propria azienda, https://mydomain.my.sherpany.com/.

Il link MyDomain consente agli utenti di saltare la parte di login in cui l'utente seleziona il provider SSO e può essere condiviso, ad esempio tramite pagine Intranet.

Quali sono gli attributi SAML supportati e quali quelli richiesti?

Attributi SAML richiesti 

  • Name Id - Un identificatore unico che non cambia nel tempo. Utilizzato per identificare un utente. Per impostazione predefinita, Sherpany cerca il campo generico Name Id (urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified). Tuttavia, possiamo mapparlo su qualsiasi altro campo nell'asserzione. ad esempio, "numero di dipendente, ObjectID...".

  • Email - deve essere globalmente unica in Sherpany

Attributi SAML opzionali

  • Nome - nome dell'utente

  • Cognome - il cognome dell'utente

  • Numero di telefono - numero di telefono dell'utente


I meta dati dell'utente in Sherpany possono essere aggiornati al primo accesso dell'utente o a tutti gli accessi successivi.


Questa risposta ti è stata utile? No

Invia feedback
Siamo spiacenti di non essere riusciti ad aiutarti. Aiutaci a migliorare questo articolo con il tuo feedback.