Gli amministratori della sicurezza dell'organizzazione possono seguire i passi seguenti per configurare le impostazioni SAML single sign-on dell'organizzazione. Il single sign-on (SSO) basato su SAML consente ai membri di accedere a Workiva attraverso un provider di identità (IdP). Prima di configurare le impostazioni, assicurati di aver controllato Cos'è SAML single sign-on?.
Nota: gli amministratori della sicurezza dell'organizzazione devono essere aggiunti a un workspace per poter accedere all'amministrazione dell'organizzazione.
Passo 1: accedi alle impostazioni di SAML SSO
- Vai all'Amministratore dell'organizzazione.
- Clicca su Sicurezza nel menu a sinistra.
- Clicca sulla scheda Single Sign-On.
Passo 2: abilita SAML SSO
- Nella scheda Single Sign-On e nella sezione Impostazioni SAML, seleziona l'opzione Abilita SAML Single Sign-On.
Nota: la sola selezione della casella Abilita SAML Single Sign-On non avrà alcun impatto sull'esperienza di accesso dell'utente. Gli utenti potranno comunque accedere con il loro nome utente e la loro password fino a quando non avrai completato la configurazione del SAML single sign-on.
- Clicca su Salva modifiche.
Passo 3: accedere agli URL SAML SSO
Dopo aver abilitato SAML SSO:
- Nella scheda Single Sign-On, clicca su Impostazioni IdP.
- Scorri fino alla sezione Dettagli del fornitore di servizi.
- Vedrai l'URL di accesso, l'URL dei metadati, l'URL del consumatore e l'URL del servizio di logout. Questi URL sono unici per ogni organizzazione, non possono essere modificati e contengono app.wdesk.com, eu.wdesk.com o apac.wdesk.com.
- Copiando e incollando l'URL Metadata in una finestra del browser, si scaricherà automaticamente il file XML dei metadati di Workiva. Puoi anche copiare e salvare questi valori URL.
Passo 4: integrare Workiva con il fornitore di identità
Per sapere come integrare Workiva con i fornitori di identità più comuni, consulta i passaggi seguenti.
Per configurare il SSO con Okta:
- Accedi al portale di amministrazione di Okta e, alla voce Applicazioni, seleziona Sfoglia catalogo app.
- Nel Catalogo delle integrazioni delle app, cerca Workiva e selezionala. Quindi clicca su Aggiungi integrazione.
- Configura le impostazioni generali in base alle tue politiche e procedure IT. Quindi fai clic su Avanti.
- Nella sezione SAML 2.0, lascia vuoto il campo Stato inoltro predefinito. Scarica il file XML dei metadati da caricare in Workiva come indicato in Passo 7: Configura le impostazioni dell'IdP. Un modo per scaricare il file XML è copiare l'URL dei metadati, incollarlo in un browser e salvare la pagina come file XML.
- Utilizza gli URL di Workiva che trovi in Passo 3: accedi agli URL SAML SSO:
- Copia e incolla l'URL del consumatore Workiva nel campo URL ACS di Okta.
- Copia e incolla l'URL dei metadati di Workiva nel campo URL pubblico di Okta.
- In Attributi e richieste di Okta, si consiglia di abbinare il nome utente di Workiva (senza distinzione tra maiuscole e minuscole) all'attributo Primary NameID, in modo che Workiva mappi automaticamente l'attributo al nome utente di Workiva quando l'utente effettua il primo accesso con SSO. Tuttavia, questa mappatura dipende dalle tue specifiche politiche IT.
- Se questi attributi non corrispondono, dovrai mappare manualmente l'attributo al nome utente corrispondente come descritto in Passo 5: configura le impostazioni dell'ID utente SAML SSO prima che l'utente possa accedere con SSO.
Per configurare l'SSO con Azure:
- accedi al portale di amministrazione di Azure e vai su ID Microsoft Entra > Applicazioni aziendali.
- Clicca su Nuova applicazione.
- Cerca Workiva e selezionalo. Tuttavia, se intendi implementare SCIM, dovrai creare un'applicazione personalizzata.
- Dai un nome all'applicazione, poi clicca su Crea.
- Una volta creata l'applicazione, vai su Single sign-on > SAML.
- Modifica la configurazione SAML di base.
- Utilizzando gli URL di Workiva che trovi in Passo 3: accedi agli URL SAML SSO.
- Copia e incolla l'URL dei metadati di Workiva nel campo Identificatore (ID entità) di Azure.
- Copia e incolla l'URL consumatore di Workiva nel campo URL di risposta (URL del servizio consumatore di asserzione) di Azure.
- Copia e incolla l'URL di accesso di Workiva nel campo URL Sign-on di Azure (opzionale).
- Lascia vuoto il campo Stato inoltro.
- Copia e incolla l'URL di disconnessione di Workiva nel campo URL di disconnessione di Azure (facoltativo).
- Una volta salvata la configurazione, modifica Attributi e richieste. Si consiglia di abbinare il nome utente di Workiva (senza distinzione tra maiuscole e minuscole) all'attributo Primary NameID, in modo che Workiva mappi automaticamente l'attributo al nome utente di Workiva quando l'utente effettua il primo accesso con SSO. Tuttavia, questa mappatura dipende dalle tue specifiche politiche IT.
- Se questi attributi non corrispondono, dovrai mappare manualmente l'attributo al nome utente corrispondente come descritto in Passo 5: configura le impostazioni dell'ID utente SAML SSO prima che l'utente possa accedere con SSO.
- Workiva esamina solo le richieste obbligatorie Identificatore univoco dell'utente (NameID) per gli utenti e qualsiasi altra richiesta viene ignorata.
- Dopo aver impostato gli attributi e le richieste, nella sezione Certificati SAML, clicca su Scarica accanto a Metadati XML della Federazione per scaricare il file XML dei metadati da caricare in Workiva come indicato in Passo 7: Configura le impostazioni dell'IdP.
Passo 5: configura le impostazioni dell'ID utente SAML SSO
- Nella scheda Single Sign-On, clicca su Impostazioni SAML.
- Scorri fino alla sezione Impostazioni ID utente SAML.
- È altamente raccomandato verificare le impostazioni ID utente SAML è il nome utente Wdesk e ID SAML senza distinzione maiuscole/minuscole. Questi permettono a Wdesk di aspettarsi che l'attributo NameID primario in entrata corrisponda al nome utente di Wdesk, ignorando la distinzione maiuscole/minuscole, quando l'utente effettua l'accesso. Ad esempio, questo permette a
User.Name.Exampledi corrispondere auser.name.example. - Quindi clicca su Salva le modifiche.
Tuttavia, se non puoi configurarlo a causa di una politica, dovrai stabilire manualmente una mappatura tra ID SAML e nome utente Wdesk:
- Nella scheda Single Sign-On, clicca su Mappatura utente.
- Puoi caricare un file di mappatura .csv dell'ID SAML (vedi Requisiti del file di mappatura dell'ID SAML .csv), oppure impostare manualmente l'ID SAML nel profilo di ogni utente (questo annullerà il controllo della corrispondenza del nome utente).
Requisiti del file di mappatura ID SAML .csv
Una riga valida nel file di mappatura ID SAML .csv si attiene al seguente formato:
samlId,username
Una riga può essere non valida se:
- Ci sono meno di due elementi nella riga
- L'ID SAML e/o il nome utente non sono stati forniti
- Il nome utente fornito non esiste
- L'utente con il nome utente fornito non è un membro dell'organizzazione
- L'organizzazione principale dell'utente con il nome utente fornito non è la stessa dell'organizzazione che si sta modificando
- L'ID SAML fornito è già stato preso da un altro utente
Un esempio di file di mappatura valido è il seguente:
exampleSamlId,exampleUsername
exampleSamlId2,exampleUsername2
exampleSamlId3,exampleUsername3
Altri punti da notare sono:
- Non sono necessarie intestazioni nel file di mappatura
- Tutte le righe verranno elaborate e quelle non valide verranno saltate
- Se ci sono nomi utente duplicati, verrà utilizzata solo la prima riga con quel nome utente
- Se un nome utente fornito ha già una mappatura esistente, la sua mappatura verrà aggiornata con quella fornita nel file di mappatura
- Se le righe vengono saltate, gli errori verranno registrati nel registro delle attività di SAML single sign-on
Passo 6: configura le impostazioni del NameIdentifier (facoltativo)
Nella scheda Single Sign-On e in Impostazioni SAML, vedrai la sezione Impostazioni NameIdentifier.
Per impostazione predefinita, nella maggior parte delle configurazioni è selezionata l'impostazione Elemento NameIdentifier nella dichiarazione Oggetto. Ciò significa che Wdesk verificherà la presenza dell'elemento NameIdentifier nella dichiarazione Oggetto.
Tuttavia, puoi modificare questa impostazione in modo che l'applicazione cerchi l'attributo nella risposta SAML selezionando l'opzione NameIdentifier è l'attributo e incollando la posizione desiderata. Quindi clicca su Salva le modifiche per salvare questa impostazione.
Nota: la maggior parte degli amministratori della sicurezza dell'organizzazione non modificherà le impostazioni di NameIdentifier rispetto a quelle predefinite. Prima di apportare modifiche, contatta il Workiva Support per ricevere assistenza.
Passo 7: configura le impostazioni dell'IdP
Per caricare il file XML dei metadati dell'IdP:
- Nella scheda Single Sign-On, clicca su Impostazioni IdP.
- Clicca su Sfoglia per individuare e scegliere il tuo file.
- Fare clic su Carica. Se il caricamento è andato a buon fine, le tue modifiche verranno salvate automaticamente.
Nota: se utilizzi Azure come provider di identità, assicurati che il campo URL di accesso avviato dall'IdP sia lasciato vuoto, altrimenti si verificheranno errori di accesso.
- Se vuoi un URL di servizio disconnessione IdP e un URL di reindirizzamento disconnessione e questi valori non sono presenti nel tuo file di metadati XML caricato, allora dovrai incollarli separatamente nei rispettivi campi della sezione Informazioni sul fornitore di identità.
Se hai bisogno di inserire le impostazioni dell'IdP manualmente, invece di caricare un file, inserisci i dettagli appropriati nei campi Informazioni sul fornitore di identità. I campi obbligatori sono URL fornitore di identità, Binding, Emittente e Certificato. Quindi clicca su Salva le modifiche per concludere.
Passo 8: aggiorna le opzioni dei requisiti SAML SSO
Dopo aver configurato l'impostazione SAML e averne verificato il corretto funzionamento, puoi aggiornare le opzioni dei requisiti SAML.
- Nella scheda Single Sign-On e nella sezione Impostazioni SAML vedrai le opzioni relative ai requisiti SAML:
- Abilita SAML Single Sign-On: gli utenti possono accedere con SAML SSO o continuare a usare il loro nome utente e la loro password.
Nota: affinché l'SSO funzioni correttamente, selezionare questa opzione.
- Richiedi SAML Single Sign-On per gli utenti: gli utenti non amministratori dovranno utilizzare SAML SSO (cioè non potranno più utilizzare il loro nome utente e la loro password), mentre gli amministratori della sicurezza dell'organizzazione potranno continuare ad accedere utilizzando il loro nome utente e la loro password.
Nota: prima di attivare questa opzione, assicurati di aver effettuato dei test completi e di essere completamente sicuro della tua configurazione SAML SSO.
- Richiedi SAML Single Sign-On per gli amministratori della sicurezza dell'organizzazione: gli amministratori della sicurezza dell'organizzazione dovranno utilizzare SAML SSO (cioè non potranno più utilizzare il loro nome utente e la loro password). Per abilitare questa opzione, dovrai anche selezionare Richiedi Single Sign-On SAML per gli utenti.
- Abilita SAML Single Sign-On: gli utenti possono accedere con SAML SSO o continuare a usare il loro nome utente e la loro password.
- Clicca su Salva Modifiche.
Se lo desideri, puoi consentire a determinati utenti di accedere senza SAML SSO aggiungendoli come utenti bypass.
Nota: prima di richiedere SAML SSO, assicurati di aggiungere gli utenti bypass necessari per evitare che gli utenti non possano più accedere ai propri account.