Attivare e Configurare la App SAML

Configurare SAML per il Single Sign On degli utenti

Ultimo Aggiornamento

Ottobre 14th, 2019

Tempo di Lettura

6 min

Livello Utente

Introduzione

Attivando la App SAML in Docebo, gli utenti potranno connettersi alla piattaforma utilizzando le credenziali delle sessioni attive in altre piattaforme web.  Questo articolo è una guida all’attivazione e alla configurazione della App.

Attenzione: Per evitare configurazioni non corrette di SAML, a partire da Aprile 2018 Docebo ha attivato un blocker. Se la connessione continua a saltare, uno stopper mostrerà una pagina di errore, e il browser che ha iniziato il loop non sarà utilizzabile per un’ora.

Configurare SAML utilizzando OKTA, Microsoft Azure e OneLogin

Se si desidera configurare SAML utilizzando OKTA, Microsoft Azure o OneLogin, fare riferimento alla configurazione step-by-step suggerita dai nostri Solution Deployment Manager. Fare riferimento a questo documento per OKTA, a questo documento per Microsoft Azure e a questo documento per OneLogin.

Questa App è disponibile per i clienti del piano Enterprise ed è opzionale per i clienti del piano Growth.

Attivare la App SAML

Per attivare la app, connettersi all’LMS come Superadmin, accedere al Menu Amministrazione dall’icona ingranaggi in alto a destra, e premere Aggiungi Nuove Applicazioni.

Selezionare il tab Integrazione Software Terzi dal menu a sinistra e individuare l’App SAML 2.0/ADFS nell’elenco delle App, quindi premere Contattaci. Leggere la descrizione nella finestra pop up, e premere Contattaci Ora.

Docebo entrerà in contatto con il richiedente, attivando la App nella piattaforma. Docebo attiverà la app nella piattaforma a nome del richiedente. Una volta attivata la App, è possibile iniziare a configurarla facendo riferimento alla sezione che segue.

Configurare la App SAML

Iniziare a configurare la App accedendo al Menu Amministrazione dall’icona ingranaggio in alto a destra. Individuare la sessione Impostazioni SAML e premere Impostazioni per accedere alla pagina di configurazione. Si accederà alla pagina di configurazione. Selezionare l’opzione Attiva per abilitare la configurazione. Questa opzione non è abilitata all’attivazione della app in piattaforma. E’ necessario abilitarla per procedere con la configurazione della app in piattaforma.

Come primo step, inserire l’ID dell’Identity Provider, l’XML Metadata (senza spazi e commenti) e lo Username nei campi di testo corrispondenti. Questi campi sono obbligatori. Contattare il proprio responsabile IT per recuperare queste informazioni.

Definire quale tipo di algoritmo di cifratura utilizzare (SHA-1 o SHA-256) per validare l’Identity Provider. Per le nuove configurazioni, il valore di default è SHA-256. Se si possiede una configurazione già attiva nella piattaforma, il valore di default sarà SHA-1. SHA-256 è fortemente consigliato per questioni di sicurezza.

E’ possibile inoltre selezionare l’opzione per abilitare il certificato del Service Provider. Alcuni Identity Provider o Federazioni potrebbero richiedere che i Service Provider abbiamo un certificato. Abilitando questa opzione, sarà possibile firmare le richieste e le risposte inviate all’Identity Provider. Premere i pulsanti Carica File che sono visualizzati quando l’opzione è selezionata per caricare il file Private Key e il file Certificate.

Attenzione: non è possibile caricare solo uno dei due file. Se i file non contengono le informazioni richieste (uno deve includere solo il Private Key e l’altro deve includere solo la Certificazione), la piattaforma visualizzerà un messaggio di errore durante la configurazione dell’App. Questo è un esempio di certificato in formato PEM e questo è un esempio di file private key in formato PEM.

Tutti i campi obbligatori sono stati configurati. Se non si desidera configurare il campo unico, il comportamento del SSO, il logout behavior o lo user provisioning, premere Salva Modifiche per terminare. E’ possibile scaricare il file XML e importarlo nel proprio Identity Provider o configurare le autorizzazioni necessarie e completare il processo.

Se si desidera configurare il campo unico, il comportamento del SSO, il logout behavior e/o lo user provisioning non premere Salva Modifiche. Fare riferimento alle sezioni successive per ulteriori informazioni riguardo i campi di questa pagina.

Campo Unico

Configurare questo campo permette di selezionare un identificativo condiviso, aggiungendo più flessibilità al SSO nella configurazione di SAML e Docebo. L’attributo selezionato di default è lo Username, ma è possibile scegliere anche lo UUID (Unique User ID) oppure l’Email, in base alla proprie necessità. Consigliamo di utilizzare il Nome Utente come campo unico.

Attenzione, selezionando Email in questa sezione, nel caso in cui nell’LMS siano presenti più account con lo stesso indirizzo email, quando uno degli account esegue il login in piattaforma attraverso SAML, si connetterà alla piattaforma l’account creato più recentemente.

Attenzione: Selezionando UUID, non sarà possibile creare nuovi utenti attraverso SAML, poiché lo UUID non esiste finché l’utente non è creato nella piattaforma.

SSO Behavior

Per configurare il SSO Behavior è possibile scegliere fra due opzioni. Scegliere se si desidera visualizzare la pagina di login standard dell’LMS o se ridirigere i visitatori alla pagina dell’Identity Provider. Selezionando la prima opzione, è possibile selezionare se mostrare il pulsante SSO nella pagina di login della piattaforma (questa opzione è disponibile solo dalla versione 6.8)

Selezionando l’opzione per il re-indirizzamento automatico all’Identity Provider, è possibile indicare la pagina che sarà visualizzata quando gli utenti si disconnettono dalla piattaforma invece di mantenere la pagina standard di logout. Utilizzare il campo di testo per digitare l’URL della pagina.

Attenzione: L’opzione Mostra la pagina di login predefinita è supportata dall’app mobile Go.Learn di Docebo. Se si seleziona questa opzione e si utilizza SAML nell’app mobile, ricordare che è necessario selezionare anche l’opzione Mostra il bottone di SSO nella pagina di login. L’opzione Redirigi automaticamente all’identity provider (e di conseguenza la possibilità di aggiungere la pagina di destinazione del logout) non è supportata dall’app mobile Go.Learn.

Logout Behavior

La sezione Logout Behavior permette di selezionare l’opzione per la disconnessione automatica dall’Identity Provider quando l’utente si disconnette dall’LMS. Affinché la richiesta di logout sia accettata da un Identity Provider, la richiesta deve essere firmata. Questo significa caricare la propria chiave pubblica e quella privata nella sezione Service Provider Certificate quando si desidera utilizzare il Logout Behaviour.

User provisioning

Questa sezione consente di creare in Docebo gli utenti presenti nell’Identity Provider ma non ancora presenti del database della piattaforma. Selezionare l’opzione Abilita per attivare lo user provisioning, e attivare i parametri della sezione. L’opzione Blocca campi user provisioned permette di impedire agli utenti di modificare i propri dati importati attraverso lo user provisioning, in modo da non disallineare i dati utente sui due sistemi. Sarà comunque possibile modificare i dati gestiti unicamente in piattaforma.

Nel caso in cui esistano utenti codificati in entrambi i database, definire se aggiornare le informazioni dell’utente in piattaforma al momento dell’import. Se questa opzione non è selezionata, sarà necessario registrare (opzione abilita) o aggiornare (opzione aggiorna) manualmente gli utenti nell’LMS.

Ora è possibile indicare per quali campi aggiuntivi  si desidera creare delle associazioni fra Docebo e l’Identity Provider, creando delle corrispondenze fra i nomi dei campi di Docebo e i nomi dei campi dell’Identity Provider (Attribute Statement).

Ogni campo deve essere unico, non è quindi possibile utilizzare lo stesso nome per più campi. Indicare il nome del campo aggiuntivo nel campo di testo dell’LMS, quindi premere Aggiungi. Il campo aggiuntivo sarà visualizzato in un elenco nella parte inferiore di questa sezione, e i nomi del campo e della categoria saranno automaticamente completati dalla piattaforma. Inserire l’attributo corrispondente dell’Identity Provider nei campi di testo corrispondenti.

E’ possibile definire la lingua degli utenti creati in piattaforma attraverso SAML utilizzando il campo Language. In questo modo, una volta creato l’utente, la sua piattaforma sarà nella lingua definita attraverso SAML. Una volta aggiungo il campo Language, inserire la stessa stringa nel campo di testo Attribute Statement inserito nel campo dell’identity provider che si sta interfacciando.

Attenzione: Nel campo lingua dell’Identity Provider, la stringa deve utilizzare uno dei codici utilizzati dall’LMS per identificare le lingue (en=inglese, de=tedesco, ecc), Fare riferimento a questo link per l’elenco completo dei codici. Se il codice di questo campo non corrisponder ai codici lingua utilizzati dall’LMS, al momento dell’attivazione, l’utente utilizzerà la lingua di default della piattaforma.

Premere Salva Modifiche per terminare. Ora è possibile scaricare il file XML  e importarlo nel proprio Identity Provider per configurare le autorizzazioni necessarie e completare la procedura.

Suggerimenti per questa App

Per sfruttare al meglio questa integrazione, consigliamo di definire dei gruppi auto-popolati e di utilizzare la App Regole di Iscrizione per iscrivere automaticamente questi gruppi ai corsi e ai piani formativi. Alla creazione di un nuovo utente, non sarà quindi necessario assegnarlo manualmente ad un gruppo o iscriverlo ad un corso o ad un piano formativo. Per creare le corrette corrispondenze fra i campi SAML e i campi aggiuntivi di Docebo e per utilizzarli per il popolamento automatico dei gruppi, è necessario disconnettersi sia dall’Identity Provider che da Docebo. Assicurarsi di aver selezionato l’opzione nella sezione Logout Behavior. Se questa opzione non è selezionata, il processo di user provisioning non funzionerà.

Inoltre, è possibile utilizzare i seguenti link SSO per accedere automaticamente ad alcune aree della piattaforma con un login SSO:

  • Homepage dell’LMS: /lms/index.php?r=site/sso&sso_type=saml
  • In un Corso Specifico: /lms/index.php?r=site/sso&sso_type=saml&id_course=18
  • Area Cataloghi: /lms/index.php?r=site/sso&sso_type=saml&destination=catalog
  • Piani Formativi: /lms/index.php?r=site/sso&sso_type=saml&destination=learningplan

Alcuni Identity Provider SAML, non consentono l’utilizzo degli endpoints standard di SAML forniti da metadata XML. In questo caso, Docebo può utilizzare endpoint semplificati. A partire da Docebo 6.9, Docebo utilizza metadata SAML 2.0, rendendo possibile l’utilizzo di OpenSAML:

  • http(s)://exampleLMS.docebosaas.com/simplesaml/modules/saml/sp/saml2-logout.php/default-sp
  • http(s)://exampleLMS.docebosaas.com/simplesaml/modules/saml/sp/saml2-acs.php/default-sp

Certificazione AWS

Docebo è disponibile nel Catalogo AWS SSO. Per ulteriori informazioni fare riferimento a questo PDF.