Gli amministratori della sicurezza dell'organizzazione possono seguire i passaggi seguenti per configurare le impostazioni SAML single sign-on per l'organizzazione. Il single sign-on (SSO) basato su SAML consente ai membri di accedere a Workiva attraverso un identity provider (IdP). Prima di configurare le impostazioni, assicurarsi di aver letto Cos'è SAML single sign-on?.
Passo 1: Abilitare il SAML single sign-on
Per abilitare SAML single sign-on nell'organizzazione:
- In Organization Admin, andare su Security, e selezionare Single Sign-On.
- Selezionare la casella Abilita SAML Single Sign-On.
- Fare clic su Salva le modifiche.
Passo 2: raccogliere gli URL SSO
Dopo aver abilitato il single sign-on, è possibile raccogliere l'URL di accesso , l'URL dei metadati , l'URL del consumatore e l'URL del servizio di logout . Questi URL sono unici per ogni organizzazione e non possono essere modificati.
Per accedere ai dettagli del fornitore di servizi:
- In Organization Admin, andare su Security, e selezionare Single Sign-On.
- Fare clic su IdP Settings.
- Scorrere fino a Dettagli del fornitore di servizi.
- È quindi possibile salvare, copiare e salvare i valori degli URL.
Passo 3: Impostare i requisiti degli attributi SSO (facoltativo)
La scelta degli attributi dei reclami da inviare dipende dalla politica aziendale. Si consiglia di abbinare i nomi utente. In genere si tratta dell'indirizzo e-mail, ma può essere diverso a seconda della politica aziendale.
Per impostazione predefinita, la maggior parte delle configurazioni ha le impostazioni NameIdentifier impostate per avere l'elemento nella dichiarazione Subject. Se necessario, è possibile modificare il NameIdentifier per utilizzare l'elemento Attributo.
Nota: La maggior parte degli amministratori della sicurezza dell'organizzazione non modificherà i requisiti degli attributi rispetto all'impostazione predefinita. Prima di apportare modifiche alle impostazioni predefinite, contattare l'assistenza Workiva Support.
Passo 4: Configurare le impostazioni del provider di identità (IdP)
È possibile configurare le impostazioni di identity provider (IdP) per SAML single sign-on. Ecco alcuni fornitori di identità comunemente utilizzati:
- Okta
- Microsoft Azure
- Suite G
È possibile caricare i metadati del provider in un file o inserire manualmente i dettagli per l'URL dell'Identity Provider, l'Emittente e il Certificato.
Per caricare un file di metadati:
- In Organization Admin, andare su Security, e selezionare Single Sign-On.
- Scegliere IdP Settings.
- Fare clic su Sfogliare per individuare e scegliere il file.
- Fare clic su Upload per terminare.
Se è necessario immettere manualmente le impostazioni dell'IdP, seguire le istruzioni di cui sopra, ma invece di caricare un file, inserire i dettagli appropriati nei campi Identity Provider Information e fare clic su Save Changes.
Dopo aver caricato il file XML dei metadati IdP o aver inserito manualmente le impostazioni, la configurazione dell'IdP è completa. Se è necessario impostare un URL del servizio di logout avviato dall'IdP o un URL di reindirizzamento, incollarli separatamente.
Passo 5: Impostare le opzioni dell'ID utente
La configurazione preferita consiste nel far corrispondere il nome utente di Wdesk (senza distinzione tra maiuscole e minuscole) all'ID soggetto SAML. Ad esempio, questo permette a User.Name.Example
di corrispondere a user.name.example
. Questa mappatura dei nomi utente può essere controllata dal provider di identità SAML.
Per aggiornare le impostazioni dell'ID utente SAML:
- In Organization Admin, andare su Security, e selezionare Single Sign-On.
- Fare clic su Impostazioni SAML e scorrere fino a Impostazioni ID utente SAML.
- Selezionare le caselle SAML User ID is Wdesk Username e Case-insensitive SAML ID come necessario.
- Fare clic su Salva le modifiche.
Se non si riesce a configurarlo, è necessario stabilire una mappatura tra ID SAML e nome utente di Wdesk. Esistono due opzioni per stabilire una mappatura:
- Caricare un ID SAML .csv (vedere Requisiti del file di mappatura ID SAML .csv)
- Impostare manualmente l'ID SAML nel profilo di ciascun utente. Questo annulla il controllo della corrispondenza del nome utente.
Per stabilire una mappatura utente:
- In Amministrazione organizzazione, andare su Sicurezza e selezionare Single Sign-On.
- Fare clic su User Mapping.
- È possibile sfogliare e caricare un file di mappatura SAML ID .csv o aggiungere utenti individualmente.
Requisiti del file di mappatura .csv dell'ID SAML
Una riga valida nel file di mappatura SAML ID .csv segue il seguente formato:
samlId, nome utente
Una riga può essere non valida se:
- Ci sono meno di due elementi nella riga
- L'ID SAML e/o il nome utente non sono stati forniti
- Il nome utente fornito non esiste
- L'utente con il nome utente fornito non è un membro dell'organizzazione
- L'organizzazione principale dell'utente con il nome utente fornito non è la stessa dell'organizzazione in corso di modifica
- L'ID SAML fornito è già stato utilizzato da un altro utente
Un esempio di file di mappatura valido è il seguente:
esempioSamlId,esempioUsername
esempioSamlId2,esempioUsername2
esempioSamlId3,esempioUsername3
Altri punti da notare sono:
- Non sono necessarie intestazioni nel file di mappatura
- Tutte le righe vengono elaborate e quelle non valide vengono saltate
- Se ci sono nomi utente duplicati, verrà utilizzata solo la prima riga con quel nome utente
- Se un nome utente fornito ha già una mappatura esistente, la sua mappatura sarà aggiornata a quella fornita nel file di mappatura
- Se le righe vengono saltate, i fallimenti saranno registrati nel registro delle attività di SAML single sign-on di
Passo 6: aggiornare le opzioni SAML
Dopo aver configurato l'impostazione di SAML e averne verificato il corretto funzionamento, è possibile aggiornare le opzioni SAML per richiedere SAML agli utenti o agli amministratori.
- Abilita SAML Single Sign-On: gli utenti possono accedere con SSO o continuare a usare il loro nome utente e la loro password.
- Richiedi SAML Single Sign-On per gli utenti: Gli utenti non amministratori sono tenuti a utilizzare SSO, mentre gli amministratori della sicurezza dell'organizzazione possono continuare ad accedere utilizzando il proprio nome utente e la propria password.
Nota: Prima di attivare l'opzione Require SAML Single Sign-On for Users, accertarsi di aver effettuato test completi e di essere completamente sicuri della propria configurazione SAML single sign-on (SSO).
- Richiedi SAML Single Sign-On per gli amministratori della sicurezza dell'organizzazione: Richiede il single sign-on per gli amministratori della sicurezza dell'organizzazione. Per abilitare questa opzione, è necessario richiedere SAML Sign-on per gli utenti.
Per aggiornare le opzioni SAML Sign-On:
- In Amministrazione organizzazione, andare su Sicurezza e selezionare Single Sign-On.
- Fare clic su Impostazioni SAML, selezionare le opzioni da abilitare.
- Fare clic su Salva le modifiche.