Single Sign-On con Azure AD
Single Sign-On con Azure AD
Gli amministratori possono utilizzare il Single Sign-On (SSO) per accedere ai propri account scegliendo un provider di identità (IdP) SAML 2.0. SSO elimina la necessità di ricordare password aggiuntive, semplificando l'esperienza di accesso.
Per configurare il Single Sign-On (SSO) con Azure AD, l'amministratore deve:
- Creare un'app sulla console Azure AD
- Configurare SSO
- Configurare l'account di backup cloud per il Single Sign-On (SSO)
- Configurare i ruoli
- Configurare il provisioning in Microsoft Azure AD
- Assegnare utenti all'applicazione
Creare un'app sulla console Azure AD
Se l'applicazione IDrive360 è stata precedentemente scaricata nella directory Azure per SSO, è necessario eliminare l'app esistente e creare una nuova applicazione.
Per utilizzare Azure AD come provider di identità per SSO, è necessario creare un'app sulla console Azure AD.
Per creare l'app,
- Accedi alla console Azure AD utilizzando le credenziali del tuo account Azure AD e fai clic su 'Applicazioni aziendali'.
- Seleziona la scheda 'Panoramica' dal menu a sinistra e fai clic su 'Nuova applicazione'.
- Fai clic su 'Crea la tua applicazione'.
- Inserisci il nome dell'applicazione sotto 'Qual è il nome della tua app?'.
- Seleziona 'Integra qualsiasi altra applicazione non trovata nella raccolta (Non-raccolta)' e fai clic su 'Crea'.
- Ora la tua app IDrive 360 è stata aggiunta a Microsoft Azure Active Directory.
Configurare SSO
Per configurare SSO,
- Torna a 'Microsoft Entra ID' > 'Applicazione aziendale'.
- Cerca l'applicazione aggiunta di recente e fai clic su di essa.
- Vai a 'Gestisci' > 'Single Sign-On'.
- Scegli 'SAML' come metodo di Single Sign-On preferito.
- Nella schermata 'Configura Single Sign-On con SAML' che appare,
- Fai clic su 'Modifica' corrispondente alla 'Configurazione SAML di base' e inserisci gli URL come indicato di seguito:
- Identificatore (ID entità): https://webapp.idrive360.com/api/sso/metadata
- URL di risposta (URL del servizio consumer di asserzione): https://webapp.idrive360.com/api/sso/process
- URL di disconnessione: https://webapp.idrive360.com/api/v1/logout
- Dalla sezione 'Certificato SAML', fai clic su 'Scarica' e salva il certificato x509 (Base64).
- Copia l'URL di accesso e l'URL dell'identificatore Microsoft Entra, e configuralo con il tuo account di backup cloud.
- Fai clic su 'Modifica' corrispondente alla 'Configurazione SAML di base' e inserisci gli URL come indicato di seguito:
Configurare l'account di backup cloud per il Single Sign-On (SSO)
L'amministratore deve fornire gli URL SAML 2.0 ricevuti e il certificato da Azure AD nel modulo di configurazione Single Sign-On nella Management Console.
Per configurare SSO,
- Accedi all'account di backup cloud e fai clic su 'Vai alla Management Console'.
- Vai a 'Impostazioni' > 'Single Sign-On (SSO)'.
- Inserisci l'URL dell'emittente IDP, l'URL di accesso Single Sign-On e carica il 'Certificato X.509 (Base64)' ricevuto dalla tua app appena creata sulla console Azure AD.
- URL emittente - Identificatore Microsoft Entra
- Endpoint SSO - URL di accesso
- Fai clic su 'Configura Single Sign-On'.
Configurare i ruoli
I ruoli dell'app sono definiti nell'interfaccia di amministrazione di Microsoft Entra durante il processo di registrazione dell'app. Quando un utente accede all'applicazione, Microsoft Entra ID emette un'attestazione dei ruoli per ogni ruolo assegnato, abilitando l'autorizzazione basata su attestazioni.
Nota: I ruoli predefiniti creati da Azure devono essere eliminati. Per rimuovere i ruoli non supportati, assegna prima un valore, disabilita il ruolo e poi eliminalo.
Per creare un ruolo app,
- Vai a Home.
- Vai a 'Microsoft Entra ID' > 'Gestisci' > 'Registrazioni app'.
- Cerca la tua app aggiunta di recente nella scheda 'Tutte le applicazioni' e fai clic su 'Ruoli app'.
- Fai clic su 'Crea ruolo app' e compila le seguenti informazioni:
- Nome visualizzato: Proprietario account
- Tipi di membri consentiti: Utenti/Gruppi
- Valore: 1
- Descrizione: Amministratore MSP
- Fai clic su 'Applica' per salvare le modifiche.
Ripeti i passaggi precedenti per creare ruoli per Amministratore aziendale, Amministratore backup, Utente ripristino, Utente backup, Utente backup e ripristino.
| Ruoli utente | Valori |
|---|---|
| Proprietario account | 1 |
| Amministratore aziendale | 2 |
| Amministratore backup | 7 |
| Utente (Aggiungi dispositivi e gestisci) | 3 |
| Utente ripristino | 4 |
| Utente backup | 5 |
| Utente backup e ripristino | 6 |
Nota: I valori dei ruoli devono corrispondere esattamente ai ruoli corrispondenti definiti nel codice dell'applicazione.
Configurare il provisioning in Microsoft Azure AD
Per abilitare il provisioning, segui i passaggi seguenti,
- Vai a 'Provisioning' dal pannello di navigazione sinistro.
- Vai a 'Gestisci > Provisioning'.
- Seleziona la 'Modalità di provisioning' su Automatica.
- Fornisci le seguenti informazioni:
URL tenant: https://webapp.idrive360.com/api/scim/v2/?aadOptscim062020
Token segreto: Token generato nell'app IDrive360. - Fai clic su 'Verifica connessione' per garantire la connessione tra Azure AD e l'app IDrive 360.
- Nella sezione 'Impostazioni',
- Nel campo 'E-mail di notifica',
- Inserisci l'indirizzo e-mail della persona che deve ricevere le notifiche di errore di provisioning.
- Seleziona la casella per 'Invia una notifica e-mail quando si verifica un errore'.
- Inserisci il valore per 'Soglia di eliminazione accidentale' in base alla policy aziendale.
- Seleziona 'Sincronizza solo gli utenti e i gruppi assegnati' per il campo 'Ambito'.
- Nella sezione 'Mappature',
- Seleziona 'Provision Azure Active Directory Groups', attiva la casella abilitata su No e fai clic su 'Salva'.
- Seleziona 'Provision Azure Active Directory Users'.
Nota: IDrive 360 attualmente non supporta i gruppi.
- Lascia i campi invariati.
- Fai clic su 'Mostra opzioni avanzate'.
- In 'Attributi supportati', seleziona 'Modifica elenco attributi per customappsso'.
- Nell'elenco degli attributi, aggiungi un attributo denominato 'roles', seleziona il tipo come stringa e seleziona la casella per richiesto.
- Fai clic su 'Salva'.
- Fai clic su 'Sì' nel popup di conferma.
- Torna alla sezione 'Mapping attributi'.
- Fai clic su 'Aggiungi nuovo mapping'.
- Seleziona 'Espressione' come tipo di mapping.
- Specifica il valore dell'espressione come,
'AppRoleAssignmentsComplex([appRoleAssignments])'. - Seleziona 'Roles' come attributo di destinazione.
- Seleziona 'No' per 'Abbina oggetto usando l'attributo'.
- Scegli quando applicare questo mapping, quindi seleziona 'Sempre'.
- Fai clic su 'Ok'.
- Puoi trovare il mapping degli attributi aggiunto di recente in 'Mapping attributi'.
Dopo aver configurato le impostazioni di provisioning, puoi assegnare qualsiasi utente che desideri effettuare il provisioning in IDrive 360.
Assegnare utenti alla tua applicazione
Per abilitare SSO per gli account utente, l'amministratore deve assegnare gli utenti all'app creata sulla console Azure AD.
Per assegnare utenti all'app Azure AD,
- Dalla app appena creata nella console di amministrazione Azure AD, vai a 'Utenti e gruppi' e fai clic su 'Aggiungi utente'.
- Seleziona gli utenti che desideri assegnare all'app.
- Scegli un ruolo dal menu a discesa e fai clic su 'Seleziona'.
Nota: Gli amministratori possono assegnare qualsiasi ruolo agli utenti selezionati.
- Fai clic su 'Assegna' per completare il processo.
Nota: In Azure, il ciclo di provisioning automatico avviene ogni 40 minuti.