SSO (single sign-on) con SAML

SSO (single sign-on) con SAML












Home » Risorse » Qui

Lokad supporta i sistemi di gestione identità e accesso (IAM) attraverso lo standard SAML. Questa funzionalità consente agli utenti di accedere all'account Lokad utilizzando le stesse credenziali di accesso usate per i sistemi dell'azienda, senza doverle condividere con Lokad. In questo modo, si evita di creare altre credenziali, specifiche per l'account Lokad, e si facilita il lavoro del reparto informatico dell'azienda, che potrà disporre di un sistema di controllo generale per monitorare tutti gli accessi dei dipendenti, compreso quello all'account Lokad.

Capire come funziona il sistema SSO

Ogni account Lokad viene collegato a un nome di dominio scelto dall'utente, che di solito corrisponde all'indirizzo e-mail dei dipendenti.

Il procedimento per l'accesso è il seguente:
  • si accede da https://hub.lokad.com (proprio come per un normale login a Lokad);
  • si inserisce l'indirizzo e-mail dell'azienda;
    • Lokad riconosce che il dominio è stato configurato per il SSO;
    • Lokad reindirizza al provider di identità associato al dominio;
  • una volta reindirizzati al provider di identità della propria azienda, si conferma l'accesso;
    • dopo aver effettuato l'accesso, si viene reindirizzati a Lokad;
  • ...e il gioco è fatto.

Potrebbe essere richiesto di reimmettere le credenziali di accesso aziendali, a seconda del sistema di autenticazione in uso all'interno dell'azienda: la maggioranza dei sistemi prevede che le credenziali siano reinserite dopo un certo periodo di tempo; in ogni caso, questi sistemi non sono controllati da Lokad, ma dal reparto informatico dell'azienda.

Configurare lo standard SAML

Per attivare il SAML, bisogna prima decidere quale nome di dominio associare all'account Lokad. Dal momento che Lokad identifica gli utenti a partire dal loro indirizzo e-mail, è consigliabile utilizzare l'indirizzo e-mail aziendale come nome di dominio.

A questo punto, è necessario recuperare i metadati del provider di identità SAML associato al sistema IAM utilizzato dall'azienda: ad esempio, se il provider di identità SAML è Google Apps, il file con i metadati può essere scaricato dal portale amministratore (vedi il tutorial Google Apps per maggiori informazioni).

L'attivazione del SAML è gestita dall'assistenza Lokad: per abilitare il SSO con Lokad è quindi necessario contattarci direttamente, inviando un messaggio a contact@lokad.com e specificando in oggetto SAML activation for esempio.com. È importante allegare al messaggio anche il file con i metadati del provider di identità.

Il team di assistenza Lokad provvederà allora a confermare che tutti gli utenti dell'account Lokad hanno un indirizzo e-mail che corrisponde al nome di dominio specificato (in caso contrario, tutti gli utenti perderebbero il proprio accesso a Lokad una volta attivato il SAML). Infine, il team Lokad si occuperà di completare l'attivazione SAML gratuitamente.

Accessi FTP e FTPS

I sistemi FTP e FTPS si basano entrambi su un sistema di autenticazione tramite login/password. In genere, se si decide di introdurre un sistema di SSO, riteniamo sia meglio sbarazzarsi di tutte le password specifiche per Lokad, invece che mantenere una password esclusivamente per i trasferimenti di file nell'account Lokad. Consigliamo quindi di passare al sistema SFTP usando chiavi pubbliche per l'autenticazione (l'autenticazione con chiavi pubbliche non risente dell'attivazione SAML). In caso il passaggio al sistema SFTP non sia possibile, il team di assistenza Lokad sarà ben lieto di studiare una soluzione alternativa.