Panoramica dell'SSO in entrata con SAML

Questo articolo descriverà come il Single Sign-On (SSO) può essere implementato utilizzando il Security Assertion Markup Language 2.0 (SAML) per consentire ai dipendenti autenticati da un sistema di terze parti di accedere a Reward Gateway senza credenziali.

Il Single Sign-On (SSO) ti aiuta a fornire ai tuoi utenti un accesso semplificato ad applicazioni SaaS, mobili, cloud e aziendali. Con SSO, puoi offrire l'esperienza che i tuoi utenti richiedono e rafforzare la tua sicurezza nel processo.

SAML

Reward Gateway utilizza il protocollo Security Assertion Markup Language 2.0 (SAML) basato su XML per il Single Sign-On.

SAML è un modo standardizzato per comunicare alle applicazioni e ai servizi esterni che un utente è chi dice di essere. SAML rende possibile la tecnologia del single sign-on (SSO) fornendo un modo per autenticare un utente una volta e poi comunicare tale autenticazione a più applicazioni.

Considerazioni

• Reward Gateway supporta la versione 2.0 di SAML

• Reward Gateway supporta SSO iniziato dal Fornitore di Identità e SSO iniziato dal Fornitore di Servizi

• Reward Gateway supporta il binding HTTP POST, non HTTP REDIRECT. Devi configurare i binding HTTP POST nei metadati dell'IDP. 

• Il Fornitore di Identità deve garantire che un utente sia sia autenticato che autorizzato prima di inviare un'asserzione. Se un utente non è autorizzato, le asserzioni non dovrebbero essere inviate. Raccomandiamo che il tuo fornitore di identità reindirizzi le persone a una pagina HTTP 403 o qualcosa di simile.

• Reward Gateway supporta il provisioning degli utenti Just-In-Time tramite SAML. Leggi di più sul JIT nell'articolo Just-In-Time (JIT) Provisioning.

Configurare il tuo fornitore di identità

Per iniziare, devi configurare una connessione su Reward Gateway con il Fornitore di Identità. Puoi consultare le nostre guide qui sotto per i diversi fornitori con cui abbiamo lavorato.

Se il provider di identità non è elencato sopra, non c'è nulla di cui preoccuparsi. Puoi configurare un SSO in entrata personalizzato. Consulta la nostra guida su come farlo nell'articolo, Come configurare un'integrazione SSO in entrata.

Configurazione dell'integrazione su Reward Manager

Ciascuno dei fornitori di identità elencati sopra ha la propria integrazione associata nella Dashboard delle integrazioni in Reward Manager.

Seleziona l'integrazione con cui desideri procedere e segui le istruzioni qui sotto per completare la configurazione.

Il processo di configurazione include 4 passaggi:

1. Configurazione iniziale: Acquisizione dei dettagli del fornitore di identità

2. Mappatura: Mappatura degli attributi SAML dall'IDP allo SP

3. Test: Test del connettore

4. Revisione e pubblicazione: Revisione della configurazione e richiesta di pubblicazione 

Test della tua integrazione SAML

È necessario testare l'integrazione affinché possa essere pubblicata. Durante la fase di test, una risposta SAML effettiva deve essere inviata all'URL del consumatore SAML (ACS). Questo può essere fatto tentando di accedere utilizzando il nuovo connettore SAML con il fornitore di identità.

Se ci sono errori nella connessione, il processo di test fornirà un elenco dettagliato degli errori e mostrerà anche la risposta SAML grezza relativa a quel tentativo.

Gestione

SAML è un metodo per l'autenticazione, non per la gestione degli account. Sebbene possiamo configurare il provisioning Just-In-Time, gli amministratori del programma dovranno comunque rimuovere gli utenti.

La rimozione degli utenti può essere effettuata tramite sFTP, API SCIM o qualsiasi altra applicazione di provisioning che supportiamo.

Ulteriori letture

Ulteriori informazioni su SAML possono essere trovate attraverso i seguenti link:

• http://en.wikipedia.org/wiki/SAML_2.0

• https://www.oasis-open.org/standards#samlv2.0