Questo articolo descriverà le diverse impostazioni che devono essere configurate per far funzionare una connessione SAML tra un IDP (Identity Provider) e Reward Gateway (Service Provider).
Che si utilizzi un IDP esistente o un connettore SAML personalizzato, questa guida aiuterà a comprendere meglio le impostazioni necessarie per completare la configurazione.
Si prega di notare che alcuni di questi campi potrebbero non essere richiesti a seconda del provider di identità utilizzato con Reward Gateway.
Lettura consigliata prima Guida: Panoramica di Inbound SSO con SAML
Creazione di una nuova integrazione Inbound
Per creare un'integrazione Inbound SSO, accedi a Reward Manager > scheda ‘Integrazioni’ a sinistra. Sotto la scheda ‘Esplora’, clicca su ‘Inbound SAML’ che ti porterà alla pagina di configurazione.
Se non hai accesso, parla con il tuo Client Success Manager o con un membro del team di supporto clienti che assegnerà i tuoi permessi.
Puoi guardare il seguente video o seguire la guida qui sotto:
Configurazione iniziale
Nome della configurazione
Un nome per identificare univocamente l'integrazione. Questo nome verrà utilizzato se viene visualizzato un pulsante “Accedi con” nella pagina di accesso, ad esempio “Accedi con Okta”.
Nome del parametro
È impostato di default su 'SAML Response', ma se è diverso può essere cambiato.
Certificato
Richiediamo che la risposta SAML sia firmata per verificare l'identità del cliente. Questo è diverso dal certificato SSL e sarà fornito dall'IDP. Puoi caricare un file .crt o incollare un certificato X.509 .pem valido.
Controllo della firma da eseguire su
Quale elemento della risposta SAML è firmato utilizzando il certificato sopra? È l'intera risposta SAML o solo le asserzioni SAML?
Nella maggior parte dei casi, dovrebbe essere l'asserzione SAML.
Autenticazione Iniziata dal Fornitore di Servizi?
L'autenticazione è iniziata dal SP (RG) quando l'utente ha un pulsante 'Accedi tramite SSO' sulla pagina di accesso di RG che avvia l'autenticazione (anziché fare clic su un pulsante sulla tua intranet che porta a RG).
Questa opzione può fornire un'autenticazione più sicura tra il fornitore di identità e RG inviando un dettaglio aggiuntivo al fornitore di identità che deve essere restituito a RG come parte della Risposta SAML. Questo serve come un ulteriore livello di verifica.
URL del Fornitore di Identità
A seconda della modalità di SSO (iniziata dal SP o iniziata dal IDP) questo campo sarà obbligatorio o facoltativo.
Se è iniziata dal SP (gli utenti hanno un pulsante 'Accedi tramite SSO' sulla pagina di accesso di RG), è un campo obbligatorio poiché deve essere inviata una Richiesta SAML per avviare il tentativo di autenticazione.
Se è una configurazione iniziata dal IDP (gli utenti hanno un pulsante sulla intranet aziendale che porta alla piattaforma RG), è facoltativo. Tuttavia, se c'è una pagina di accesso o qualcosa di simile per il IDP, puoi includerlo qui poiché aiuterà a reindirizzare gli utenti al posto corretto per essere autenticati - ad esempio, saranno indirizzati alla pagina di accesso di Microsoft per inserire le loro credenziali.
Mappatura
Questa sezione permetterà la mappatura dei campi / delle affermazioni in uscita dal IDP ai campi su Reward Gateway.
Identificatore
Scegli l'identificatore univoco utilizzato per identificare il membro. Se il tuo schema è Precaricato, puoi scegliere tra Numero di Busta Paga (ID Dipendente) o Indirizzo Email. Se il tuo schema è su auto-registrazione, questo sarà l'ID Dipendente per impostazione predefinita.
Posizione dell'Identità SAML
Puoi scegliere di inviare l'identificatore del dipendente tramite il Nome Identificatore o come un'affermazione di attributo separata (sotto un campo diverso, ad esempio Indirizzo Email). Se è un'affermazione di attributo separata, devi includere qual è l'alias in uscita.
Attributi Aggiuntivi
Inoltre, puoi configurare qualsiasi degli attributi visualizzati su questa pagina. Inclusi i tipi di affermazioni in uscita o gli alias per questi e saranno automaticamente mappati durante il trasferimento SAML.
Provisioning Just-in-Time
Se abilitato, creeremo automaticamente un account per il dipendente dopo il suo primo accesso SSO. Gli attributi aggiuntivi configurati sopra verranno utilizzati per pre-popolare i campi durante l'onboarding del membro.
Puoi saperne di più sul JIT nel seguente articolo: Provisioning Just-in-Time
Test
A questo punto, puoi tentare un accesso per testare l'integrazione. Questi tentativi dovrebbero essere rilevati automaticamente e in caso di errori, verranno visualizzati sullo schermo insieme al tentativo di asserzione.
Una volta risolti eventuali errori identificati e effettuato un tentativo riuscito, il pulsante "Avanti" grigio diventerà verde e ti permetterà di procedere al passaggio successivo.
Revisione e Pubblicazione
Una volta completato il test, puoi rivedere le impostazioni dell'integrazione e fare clic su ‘Completa’ in fondo. Una volta completato, l'integrazione SSO sarà in stato 'In sospeso'. Puoi quindi pubblicarla tornando alla dashboard delle integrazioni e facendo clic su Opzioni > Pubblica.
Come creare e utilizzare i deep link
Se desideri reindirizzare gli utenti a diverse parti della piattaforma con deep link, ci sono due modi per farlo; aggiungere un URL del Provider di Identità o cambiare l'URL ACS.
Aggiungere un URL del Provider di Identità
Aggiungi l'URL del Provider di Identità nella configurazione in Reward Manager e poi crea i link, utilizzando il seguente formato, dove prendi l'URL ACS da noi, cambi "EndLogin" in "StartLogin" e aggiungi &url=MyRewards o qualunque sia l'estensione. Puoi copiare l'estensione dalla piattaforma quando hai aperto la pagina.
Per esempio: Search?sFields[a]=12&sType=Attribute
Quindi questo sarà un esempio dell'URL completo, che avvierà l'SSO e una volta autenticati, gli utenti atterreranno sulla pagina delle Offerte Top - https://site1.rewardgateway.dev/Authentication/StartLogin?idp=88&url=Search?sFields[a]=12&sType=Attribute
Cambiare l'URL ACS
Se non aggiungi l'URL del Provider di Identità in Reward Manager, allora dovrai cambiare l'URL ACS nella configurazione sul tuo lato per avere l'estensione alla fine.
Questo è un esempio di come dovrebbe essere aggiunto l'URL ACS: https://site1.rewardgateway.dev/Authentication/EndLogin?idp=88&url=Search?sFields[a]=12&sType=Attribute
Se hai domande, contatta il Team di Integrazioni clientintegrations@rewardgateway.com
Commenti
0 commenti
Accedi per aggiungere un commento.