Requisiti:
SSO deve essere configurato dall'amministratore aziendale dell'azienda Rainbow.
Deve esserci almeno una licenza Enterprise assegnata all'azienda, altrimenti la scheda Sicurezza non verrà visualizzata.
Procedura:
Effettui il login con un account di amministratore aziendale.
Apra La mia azienda> Impostazioni> Scheda Sicurezza:
Aggiunga un nuovo metodo di autenticazione: OIDC o SAML.
Per SAML, inserisca le seguenti informazioni dal suo IDP:
- URL di accesso
- URL di logout (opzionale)
- Attributo ID utente: L'ID dell'attributo non dipende dall'azienda, ma deve essere sempre lo stesso.
Per ADFS: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Per Azure AD: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Per Shibboleth: urn:oid:0.9.2342.19200300.100.1.3
- Certificati: questo certificato deve essere scaricato in formato pem dal suo IDP.
Si tratta del certificato di firma dei token.
Come esempio, può trovarlo qui su Azure AD:
Opzioni avanzate:
I valori predefiniti dovrebbero funzionare per la maggior parte dei casi, ma devono essere utilizzati con cautela.
- Forza l'autenticazione: attiva sempre l'autenticazione anche se esiste già una sessione, non selezionata per impostazione predefinita.
- Firma sempre la richiesta: le richieste di Rainbow sono firmate, non selezionato per impostazione predefinita.
- Consenti asserzioni non crittografate: Le asserzioni non sono crittografate, selezionato per impostazione predefinita.
Una volta terminato, può scaricare il file di metadati Rainbow e importarlo nel server IDP.
Per OIDC:
Inserisca le seguenti informazioni dal suo IDP:
- ID cliente
- Segreto
- URL di scoperta
Opzioni avanzate - Informazioni sull'autenticazione dell'utente:
I valori predefiniti dovrebbero funzionare nella maggior parte dei casi, ma devono essere utilizzati con cautela.
- Attributo ID utente: il nome dell'attributo da utilizzare nella richiesta di autenticazione per identificare l'utente.
- Parametro dell'ambito: il parametro dell'ambito da includere nella richiesta di autenticazione.
- Valore ACR: una stringa in area separata che specifica i valori della Classe di contesto di autenticazione da utilizzare nella richiesta di autenticazione dell'utente, valori che appaiono nell'ordine di preferenza.
Oppure utilizzi il metodo manuale:
Identificatore di autenticazione esterno
In base all'utente, è anche possibile configurare un Identificatore di Autenticazione Esterno.
Questo identificatore sarà utilizzato per autenticare l'utente.
Ad esempio, potrebbe essere utile se il LoginEmail di Rainbow è diverso dall'indirizzo e-mail dell'utente inserito in Azure AD.
Al termine della configurazione SSO, è possibile attivare SSO per tutti i membri dell'azienda modificando il menu' SAML o OIDC:
Nota: gli amministratori dell'azienda potranno ancora scegliere se effettuare il login utilizzando SSO o Login/Password.
Per maggiori informazioni su OIDC, SAML, l'elenco dei server supportati e la loro configurazione, può consultare i seguenti articoli:
https://support.openrainbow.com/hc/en-us/sections/360003695979-Authentification