Configurare SAML single sign-on

Gli amministratori della sicurezza dell'organizzazione possono seguire i passi seguenti per configurare le impostazioni SAML single sign-on dell'organizzazione. Il single sign-on (SSO) basato su SAML consente ai membri di accedere a Workiva attraverso un provider di identità (IdP). Prima di configurare le impostazioni, assicurati di aver controllato Cos'è SAML single sign-on?.

Nota: gli amministratori della sicurezza dell'organizzazione devono essere aggiunti a un workspace per poter accedere all'amministrazione dell'organizzazione.

Passo 1: accedi alle impostazioni di SAML SSO

Vai all'Amministratore dell'organizzazione.
Fai clic su Sicurezza nel menu a sinistra.
Fai clic sulla scheda Single Sign-On.

Se disponi già di una configurazione SSO, la pagina apparirà in questo modo:

Passaggio 2: crea la tua configurazione SAML SSO e seleziona il tuo provider di identità

Fai clic su Crea configurazione SSO.
Inserisci un nome di configurazione e seleziona il provider di identità (IdP) dal menu a discesa.
Fai clic su Crea configurazione per procedere.

Passaggio 3: Invia i metadati di Workiva all'amministratore del tuo provider di identità

Nella sezione Metadati di Workiva , vedrai l' Identificatore (ID entità) e l ' URL di risposta.
Fai clic su Opzioni avanzate per visualizzare l' URL di accesso e l' URL di disconnessione.
Questi URL sono univoci per ogni organizzazione e non possono essere modificati e conterranno app.wdesk.com, eu.wdesk.com, o apac.wdesk.com.
Invia questi URL dei metadati di Workiva all'amministratore del tuo provider di identità.
Puoi anche fare clic su Scarica i metadati XML di Workiva per scaricare e inviare il file XML dei metadati di Workiva all'amministratore del tuo provider di identità.
È possibile regolare la tolleranza di sfasamento dell'orologio. La tolleranza di scostamento orario (Clock Skew Allowance) rappresenta la differenza di orario massima consentita tra il provider di identità SAML e Workiva. Il valore predefinito è 300 secondi (5 minuti).

Suggerimento: Un valore maggiore amplia la "finestra di accettazione" per le differenze di tempo. Se da un lato questo migliora l'affidabilità riducendo le richieste rifiutate, dall'altro introduce anche rischi per la sicurezza e le prestazioni. In alternativa, un valore inferiore aumenta la probabilità di errori di autenticazione dovuti a timeout.
Se si utilizza Microsoft Azure come provider di identità, l'amministratore del provider di identità può fare riferimento al passaggio 2 nella scheda Azure in Configurare l'SSOSAML con il provider di identità.
Se si utilizza Okta come provider di identità, l'amministratore del provider di identità può fare riferimento al Passaggio 3 nella scheda Okta in Configurare l'SSO SAML con il provider di identità.
Se utilizzi un provider di identità diverso da Microsoft Azure o Okta, contatta l'assistenza clienti del tuo provider di identità se hai bisogno di aiuto.

Passaggio 4: Inserisci i metadati del tuo provider di identità in Workiva

Prerequisito: È necessario ottenere le informazioni sui metadati del provider di identità richieste dall'amministratore del provider di identità prima di procedere.

Se si utilizza Microsoft Azure come provider di identità, l'amministratore del provider di identità può fare riferimento al passaggio 4 nella scheda Azure in Configurare l'SSO SAML con il provider di identità.
Se utilizzi Okta come provider di identità, l'amministratore del tuo provider di identità può fare riferimento al Passaggio 2 nella scheda Okta in Configura l'SSO SAML con il tuo provider di identità.
Se si utilizza un provider di identità diverso da Microsoft Azure o Okta, contattare l'assistenza clienti del provider di identità per ottenere le informazioni necessarie.

Nella sezione dei metadati del provider di identità (ad esempio, Metadati di Microsoft Azure), immettere i metadati del provider di identità.

Innanzitutto, nel menu a tendina Metodo di immissione preferito , seleziona come desideri immettere i metadati del provider di identità. È possibile inserire unURL dei metadati della federazione, caricare un fileXML dei metadati oppure inserire i metadati tramite immissione manuale.
Nella finestra di dialogo di selezione file, selezionare il file che contiene le informazioni sui metadati del provider di identità, quindi fare clic su Importa.

In alternativa, è possibile inserire i valori manualmente:

Passaggio 5: Impostare la mappatura utente

Nella sezione Mappatura utente, fai clic sul menu a discesa e seleziona una delle seguenti opzioni:

Associa gli utenti al loro nome utente Workiva (consigliato)
Mappare gli utenti manualmente

Nota: Se hai inserito manualmente le informazioni sui metadati del provider di identità, dovrai attivare le Opzioni avanzate per questa sezione.

Associazione degli utenti al loro nome utente Workiva

Se nel menu a tendina hai selezionato Associa gli utenti al loro nome utente Workiva, Workiva si aspetterà che l'attributo Primary NameID in entrata corrisponda al nome utente Workiva, ignorando la distinzione tra maiuscole e minuscole, quando l'utente effettua l'accesso. Ad esempio, questo permette a User.Name.Example di corrispondere a user.name.example.

Puoi quindi fare clic sul menu a discesa Imposta mappatura e selezionare Imposta tutti gli ID SSO sul nome utente Workiva per popolare la tabella.

Fai clic su Crea configurazione per procedere.

Mappatura manuale degli utenti

Se hai selezionato Mappa utenti manualmente nel menu a tendina, controlla prima le opzioni avanzate. Sotto Posizione NameIdentifier, la maggior parte delle configurazioni avrà selezionata l'opzione NameIdentifier è nell'istruzione Subject. Ciò significa che Workiva verificherà la presenza dell'elemento NameIdentifier nell'istruzione Subject.

Tuttavia, è possibile selezionare l'opzione NameIdentifier si trova in un attributo di elemento diverso e immettere l'attributo di elemento NameIdentifier, in modo che l'applicazione cerchi l'attributo nella risposta SAML.

Nota: La maggior parte degli amministratori della sicurezza dell'organizzazione non modificherà la posizione di NameIdentifier rispetto a quella predefinita. Prima di apportare modifiche, contatta l'assistenza Workiva per

ricevere supporto .

Mappa gli utenti tramite importazione file

Fai clic su Imposta mappaturae seleziona Importa ID SSO tramite file per mappare gli utenti agli ID SSO in un file di mappatura .csv (vedi Requisiti del file di mappatura ID SAML .csv).

Nel file di mappatura non sono necessarie intestazioni.
Tutte le righe verranno elaborate e quelle non valide verranno ignorate.
In caso di nomi utente duplicati, verrà utilizzato solo il primo nome utente presente nella riga corrispondente.
Se a un nome utente fornito corrisponde già una mappatura esistente, quest'ultima verrà aggiornata in base a quanto specificato nel file di mappatura.
Se vengono saltate delle righe, gli errori verranno registrati nel registro delle attività di single sign-on SAML.

Mappa gli utenti individualmente

Se devi impostare o modificare gli ID SSO per i singoli utenti, cerca l'utente e/o utilizza il filtro Stato ID SSO per trovarlo più facilmente. Quindi, nella tabella, fai doppio clic sul campo ID SSO accanto all'utente e inserisci l'ID SSO corretto.

Dopo aver impostato la mappatura utente, fare clic su Crea configurazione per procedere.

Requisiti del file di mappatura ID SAML .csv

Una riga valida nel file di mappatura ID SAML .csv si attiene al seguente formato:

samlId,username

Una riga può essere non valida se:

Ci sono meno di due elementi nella riga
L'ID SAML e/o il nome utente non sono stati forniti
Il nome utente fornito non esiste
L'utente con il nome utente fornito non è un membro dell'organizzazione
L'organizzazione principale dell'utente con il nome utente fornito non è la stessa dell'organizzazione che si sta modificando
L'ID SAML fornito è già stato preso da un altro utente

Un esempio di file di mappatura valido è il seguente:

esempioSamlId,esempioUsername esempioSamlId2,esempioUsername2 esempioSamlId3,esempioUsername3

Passaggio 6: Attiva la configurazione SAML SSO

Dopo aver creato la configurazione SAML SSO, è necessario attivarla esplicitamente affinché abbia effetto.

Fai clic su Attiva nella configurazione. La tua configurazione verrà quindi visualizzata come Attiva.

AzureID Activation x2 callout.png

Passaggio 7: Aggiornare le opzioni di autenticazione SAML SSO

Workiva raccomanda vivamente di obbligare gli utenti ad accedere tramite SSO (Single Sign-On) come buona pratica per semplificare il processo di login e offrire un'esperienza complessiva migliore. Dopo aver creato e attivato la configurazione SAML SSO:

Nella scheda Single sign-on, la sezione Forza SSO ed eccezioni presenta due opzioni di autenticazione:
- Forza gli utenti ad accedere tramite SSO (Consigliato): Gli utenti non amministratori sono obbligati a utilizzare l'SSO, mentre gli amministratori della sicurezza dell'organizzazione possono continuare ad accedere utilizzando il proprio nome utente e password. Questa opzione è ideale se la tua azienda desidera imporre l'SSO, ma consentire comunque agli amministratori della sicurezza dell'organizzazione di accedere alla piattaforma in caso di problemi con l'SSO.
  
  Nota: Assicurati di aver effettuato test completi e di essere completamente sicuro della tua configurazione SAML SSO prima di abilitare questa opzione.
- Forza gli amministratori della sicurezza dell'organizzazione ad accedere tramite SSO: Gli amministratori della sicurezza dell'organizzazione sono obbligati a utilizzare l'SSO. Questa opzione è ideale se le politiche di sicurezza aziendali non prevedono esenzioni per gli utenti dal requisito di Single Sign-On (SSO). Per abilitare questa opzione, dovrai anche selezionare Forza gli utenti ad accedere tramite SSO.
Dopo aver selezionato le opzioni, fai clic su Salva.

Se lo si desidera, è possibile consentire a specifici utenti di accedere senza SAML SSO aggiungendoli all'elenco delle eccezioniSSO .

Nota: Prima di forzare l'SSO SAML, assicurarsi di aggiungere gli utenti necessari all'elenco delle eccezioni SSO per evitare di bloccare l'accesso degli utenti ai propri account.

Configura l'SSO SAML con il tuo provider di identità.

L'amministratore del provider di identità può fare riferimento ai passaggi seguenti per configurare l'SSO SAML con i provider di identità più comuni.

Okta
Azure

Caratteristiche supportate

SSO avviato da SP
SSO avviato dall'IdP
SLO (Single Logout) avviato dall'IdP
Elenco delle eccezioni SSO
Crittografia opzionale delle asserzioni

Passaggio 1: Aggiungi l'integrazione

Accedi al portale di amministrazione di Okta e, sotto Applicazioni, seleziona Sfoglia catalogo app.
Nel Catalogo delle integrazioni delle app, cerca Workiva e selezionala. Quindi fai clic su Aggiungi integrazione.
Configura le impostazioni generali in base alle tue politiche e procedure IT. Quindi fai clic su Avanti.

Passaggio 2: Inserire i metadati di Okta in Workiva

Nella sezione SAML 2.0, lascia vuoto il campo Stato inoltro predefinito. Scarica il file XML dei metadati da caricare in Workiva come descritto nel passaggio 4 di Workiva : inserisci i metadati del tuo provider di identità inWorkiva .
Un modo per scaricare il file XML è copiare l'URL dei metadati, incollarlo in un browser e quindi salvare la pagina come file XML.

Passaggio 3: Inserire i metadati di Workiva in Okta

Utilizzando gli URL di Workiva trovati nel passaggio 3 di Workiva : inviare i metadati di Workiva all'amministratore del provider di identità:

Copia e incolla l'URL ACS di Workiva nel campo URL ACS di Okta
Copia e incolla l'URL del pubblico di Workiva nel campo URL del pubblico di Okta

Passaggio 4: Modificare gli attributi e le rivendicazioni

In Attributi e richieste di Okta, si consiglia di abbinare il nome utente di Workiva (senza distinzione tra maiuscole e minuscole) all'attributo Primary NameID, in modo che Workiva mappi automaticamente l'attributo al nome utente di Workiva quando l'utente effettua il primo accesso con SSO. Tuttavia, questa mappatura dipende dalle vostre specifiche politiche IT.

Se questi attributi non corrispondono, dovrai mappare manualmente l'attributo al nome utente corrispondente come descritto nel passaggio 5 di Workiva: Imposta la mappatura utente prima che l'utente possa accedere con SSO.

Processo SSO avviato da SP

La procedura di accesso viene avviata dall'URL SP app.wdesk.com, eu.wdesk.com o apac.wdesk.com della propria organizzazione di appartenenza.

Dal tuo browser, accedi alla pagina di login di Workiva.
Inserisci il tuo nome utente Workiva.
Fai clic su Accedi con Single Sign-On.
Verrai reindirizzato alla pagina di accesso della tua organizzazione.
Inserisci le tue credenziali e completa eventuali verifiche aggiuntive previste dalle politiche della tua organizzazione.
Verrai reindirizzato a Workiva e accederai all'interfaccia.

Passaggio 1: Creare l'applicazione

Accedi al portale di amministrazione di Azure e vai a ID di accesso Microsoft > Applicazioni aziendali.
Clicca su Nuova applicazione.
Cerca Workiva e selezionalo.
Tieni presente che, se intendi implementare SCIM, dovrai creare un'applicazione personalizzata.
Dai un nome all'applicazione, poi clicca su Crea.
Una volta creata l'applicazione, vai a Single sign-on > SAML.

Passaggio 2: Inserire i metadati di Workiva in Microsoft Azure

Modifica la Configurazione SAML di base.
Utilizzando gli URL di Workiva trovati nel passaggio 3 di Workiva : inviare i metadati di Workiva all'amministratore del provider di identità:
1. Copia e incolla l'identificativo Workiva (ID entità ) nel campo Identificativo Azure (ID entità ) .
2. Copia e incolla l'URL di risposta di Workiva nel campo URL di risposta di Azure (URL del servizio di consumo delle asserzioni).
3. (Facoltativo) Copia e incolla l'URL di accesso a Workivanel campo URL di accesso ad Azure
4. Lascia vuoto il campo Stato inoltro.
5. (Facoltativo) Copia e incolla l'URL di disconnessione di Workiva nel campo URL di disconnessione di Azure

Passaggio 3: Modificare gli attributi e le rivendicazioni

Una volta salvata la configurazione, modificare Attributi e rivendicazioni. Si consiglia di associare il nome utente Workiva (senza distinzione tra maiuscole e minuscole) all'attributo Primary NameID, in modo che Workiva associ automaticamente l'attributo al nome utente Workiva quando l'utente effettua l'accesso tramite SSO per la prima volta. Tuttavia, questa mappatura dipende dalle vostre specifiche politiche IT.

Se questi attributi non corrispondono, dovrai mappare manualmente l'attributo al nome utente corrispondente come descritto nel passaggio 5 di Workiva: Imposta la mappatura utente prima che l'utente possa accedere con SSO.
Workiva esamina solo le richieste obbligatorie Identificatore univoco dell'utente (NameID) per gli utenti e qualsiasi altra richiesta viene ignorata.

Passaggio 4: Inserire i metadati di Microsoft Azure in Workiva

Se stai inserendo i metadati di Microsoft Azure in Workiva tramite l'URL dei metadati di federazione, puoi trovare l'URL dei metadati di federazione all'interno della configurazione SAML SSO di Azure.

Se stai inserendo i metadati di Microsoft Azure in Workiva tramite un file XML di metadati, nella sezione Certificati SAML, fai clic su Scarica accanto a Metadati di federazione XML. Successivamente, carica il file XML dei metadati in Workiva.

Nota: Se si utilizza Microsoft Azure come provider di identità, assicurarsi che il campo URL di accesso Workiva(nelle Opzioni avanzate) sia lasciato vuoto, altrimenti si verificheranno errori di accesso.

Se desideri un URL di disconnessione (nelle opzioni avanzate) ma tale valore non è presente nel file di metadati XML caricato, dovrai inserirlo manualmente.

Argomenti successivi

Assistenza

Community

Centro assistenza di Workiva