Vai al contenuto principale
Benvenuti nel nostro nuovo Centro Assistenza! Siamo entusiasti di annunciare che il nostro nuovo Centro Assistenza è ora in beta pubblica. Mentre continuiamo a migliorarlo e a risolvere eventuali limitazioni, apprezziamo la vostra pazienza.

Come configurare un'integrazione SSO in entrata

Ajay Pillai
  • Aggiornato

Questo articolo descriverà le diverse impostazioni che devono essere configurate per far funzionare una connessione SAML tra un IDP (Identity Provider) e Reward Gateway (Service Provider).

Che si utilizzi un IDP esistente o un connettore SAML personalizzato, questa guida aiuterà a comprendere meglio le impostazioni necessarie per completare la configurazione.

Si prega di notare che alcuni di questi campi potrebbero non essere richiesti a seconda del provider di identità utilizzato con Reward Gateway.

Lettura consigliata prima Guida: Panoramica di Inbound SSO con SAML

Creazione di una nuova integrazione Inbound

Per creare un'integrazione Inbound SSO, accedi a Reward Manager > scheda ‘Integrazioni’ a sinistra. Sotto la scheda ‘Esplora’, clicca su ‘Inbound SAML’ che ti porterà alla pagina di configurazione.

Se non hai accesso, parla con il tuo Client Success Manager o con un membro del team di supporto clienti che assegnerà i tuoi permessi.

Screenshot_2022-06-24_at_13.41.30.png

Puoi guardare il seguente video o seguire la guida qui sotto:

Configurazione iniziale

Nome della configurazione

Screenshot_2022-06-24_at_14.04.07.png

Un nome per identificare univocamente l'integrazione. Questo nome verrà utilizzato se viene visualizzato un pulsante “Accedi con” nella pagina di accesso, ad esempio “Accedi con Okta”.

Nome del parametro

Screenshot_2022-06-24_at_14.04.12.pngÈ impostato di default su 'SAML Response', ma se è diverso può essere cambiato.

Certificato

Screenshot_2022-06-24_at_14.07.15.png

Richiediamo che la risposta SAML sia firmata per verificare l'identità del cliente. Questo è diverso dal certificato SSL e sarà fornito dall'IDP. Puoi caricare un file .crt o incollare un certificato X.509 .pem valido.

Controllo della firma da eseguire su

Screenshot_2022-06-24_at_14.08.54.pngQuale elemento della risposta SAML è firmato utilizzando il certificato sopra? È l'intera risposta SAML o solo le asserzioni SAML?
Nella maggior parte dei casi, dovrebbe essere l'asserzione SAML.

Autenticazione Iniziata dal Fornitore di Servizi?

Screenshot_2022-06-24_at_14.09.21.png

L'autenticazione è iniziata dal SP (RG) quando l'utente ha un pulsante 'Accedi tramite SSO' sulla pagina di accesso di RG che avvia l'autenticazione (anziché fare clic su un pulsante sulla tua intranet che porta a RG).
Questa opzione può fornire un'autenticazione più sicura tra il fornitore di identità e RG inviando un dettaglio aggiuntivo al fornitore di identità che deve essere restituito a RG come parte della Risposta SAML. Questo serve come un ulteriore livello di verifica.

URL del Fornitore di Identità
Screenshot_2022-06-24_at_14.10.08.pngA seconda della modalità di SSO (iniziata dal SP o iniziata dal IDP) questo campo sarà obbligatorio o facoltativo.
Se è iniziata dal SP (gli utenti hanno un pulsante 'Accedi tramite SSO' sulla pagina di accesso di RG), è un campo obbligatorio poiché deve essere inviata una Richiesta SAML per avviare il tentativo di autenticazione.

Se è una configurazione iniziata dal IDP (gli utenti hanno un pulsante sulla intranet aziendale che porta alla piattaforma RG), è facoltativo. Tuttavia, se c'è una pagina di accesso o qualcosa di simile per il IDP, puoi includerlo qui poiché aiuterà a reindirizzare gli utenti al posto corretto per essere autenticati - ad esempio, saranno indirizzati alla pagina di accesso di Microsoft per inserire le loro credenziali.

Mappatura

Questa sezione permetterà la mappatura dei campi / delle affermazioni in uscita dal IDP ai campi su Reward Gateway.

IdentificatoreScreenshot_2022-06-23_at_14.16.27.png
Scegli l'identificatore univoco utilizzato per identificare il membro. Se il tuo schema è Precaricato, puoi scegliere tra Numero di Busta Paga (ID Dipendente) o Indirizzo Email. Se il tuo schema è su auto-registrazione, questo sarà l'ID Dipendente per impostazione predefinita.

Posizione dell'Identità SAML

Screenshot_2022-06-24_at_14.14.11.png

Puoi scegliere di inviare l'identificatore del dipendente tramite il Nome Identificatore o come un'affermazione di attributo separata (sotto un campo diverso, ad esempio Indirizzo Email). Se è un'affermazione di attributo separata, devi includere qual è l'alias in uscita.

Attributi Aggiuntivi

Screenshot_2022-06-23_at_14.31.59.png

Inoltre, puoi configurare qualsiasi degli attributi visualizzati su questa pagina. Inclusi i tipi di affermazioni in uscita o gli alias per questi e saranno automaticamente mappati durante il trasferimento SAML.

Provisioning Just-in-Time

Screenshot_2022-06-23_at_14.32.48.png

Se abilitato, creeremo automaticamente un account per il dipendente dopo il suo primo accesso SSO. Gli attributi aggiuntivi configurati sopra verranno utilizzati per pre-popolare i campi durante l'onboarding del membro.
Puoi saperne di più sul JIT nel seguente articolo: Provisioning Just-in-Time

Test

Screen_Shot_2019-12-17_at_07.50.02.png

A questo punto, puoi tentare un accesso per testare l'integrazione. Questi tentativi dovrebbero essere rilevati automaticamente e in caso di errori, verranno visualizzati sullo schermo insieme al tentativo di asserzione.

Screen_Shot_2019-12-17_at_07.50.05.png

Una volta risolti eventuali errori identificati e effettuato un tentativo riuscito, il pulsante "Avanti" grigio diventerà verde e ti permetterà di procedere al passaggio successivo.

Revisione e Pubblicazione

Screenshot_2022-06-23_at_14.39.57.png

Una volta completato il test, puoi rivedere le impostazioni dell'integrazione e fare clic su ‘Completa’ in fondo. Una volta completato, l'integrazione SSO sarà in stato 'In sospeso'. Puoi quindi pubblicarla tornando alla dashboard delle integrazioni e facendo clic su Opzioni > Pubblica.

Come creare e utilizzare i deep link

Se desideri reindirizzare gli utenti a diverse parti della piattaforma con deep link, ci sono due modi per farlo; aggiungere un URL del Provider di Identità o cambiare l'URL ACS.

Aggiungere un URL del Provider di Identità

Aggiungi l'URL del Provider di Identità nella configurazione in Reward Manager e poi crea i link, utilizzando il seguente formato, dove prendi l'URL ACS da noi, cambi "EndLogin" in "StartLogin" e aggiungi &url=MyRewards o qualunque sia l'estensione. Puoi copiare l'estensione dalla piattaforma quando hai aperto la pagina.

Per esempio: Search?sFields[a]=12&sType=Attribute

Screenshot 2024-08-12 at 14.39.20.png

Quindi questo sarà un esempio dell'URL completo, che avvierà l'SSO e una volta autenticati, gli utenti atterreranno sulla pagina delle Offerte Top - https://site1.rewardgateway.dev/Authentication/StartLogin?idp=88&url=Search?sFields[a]=12&sType=Attribute

Cambiare l'URL ACS

Se non aggiungi l'URL del Provider di Identità in Reward Manager, allora dovrai cambiare l'URL ACS nella configurazione sul tuo lato per avere l'estensione alla fine.

Questo è un esempio di come dovrebbe essere aggiunto l'URL ACS: https://site1.rewardgateway.dev/Authentication/EndLogin?idp=88&url=Search?sFields[a]=12&sType=Attribute

Se hai domande, contatta il Team di Integrazioni clientintegrations@rewardgateway.com

Articoli correlati

Commenti

0 commenti

Accedi per aggiungere un commento.