Single Sign-On con provider di identità OpenID

Un dominio UBIQUITY può essere configurato per implementare l'uso di un singolo provider di identità OpenID Connect (OIDC), ad esempio Azure AD, Auth0 e altri.

L'integrazione di un provider di identità esterno può essere configurata in due modi:

  • Solo autenticazione: l'autenticazione è fornita dal provider di identità esterno, ma l'autorizzazione è gestita tramite autorizzazioni assegnate a utenti e gruppi definiti in UBIQUITY.
  • Autenticazione e autorizzazione: l'autenticazione è fornita dal provider di identità esterno, ma le autorizzazioni vengono assegnate solo tramite gruppi in UBIQUITY, dove l'appartenenza al gruppo avviene automaticamente abbinando i gruppi degli utenti come riportato dal provider di identità.
Nota: Oltre a confermare l'identità dell'utente, il provider di identità può gestire eventuali diritti di autorizzazione sulle entità e sulle risorse di un determinato dominio, se configurati in precedenza.
Nota: È possibile impostare un singolo utente per l'autenticazione tramite autenticazione interna o esterna.
Un dominio UBIQUITY può essere configurato per supportare l'autenticazione in due modi diversi:
  • Ibrido: (autenticazione interna ed esterna) Gli utenti impostati sia come interni che esterni possono effettuare il login. Ciò significa che un dominio UBIQUITY può includere utenti la cui autenticazione è fornita da un provider di identità esterno, ma anche utenti la cui autenticazione è fornita da UBIQUITY. L'autenticazione ibrida è obbligatoria per la creazione del dominio ma consente anche un passaggio graduale a un'autenticazione/autorizzazione esterna per i domini esistenti.
  • Solo esterno: Solo gli utenti esterni possono accedere, ovvero gli utenti la cui identità è verificata e memorizzata nel provider di identità.
Nota: Questa configurazione non può essere effettuata tramite UBIQUITY Manager. Contattare il team di supporto tecnico ASEM per impostare la configurazione delle comunicazioni del provider di identità.
Nota: Quando si utilizza OpenID per l'autenticazione e l'autorizzazione dell'utente, le operazioni dell'utente non vengono né tracciate né memorizzate nel log di audit di UBIQUITY. Questo perché tali operazioni sono gestite da un provider di identità esterno a UBIQUITY. Ciò è rilevante quando si esaminano i log di audit o si eseguono valutazioni della sicurezza.

Creare un utente esterno e impostare l'autenticazione esterna

Per aggiungere un utente esterno al dominio e consentire l'autenticazione esterna, procedere nel seguente modo:

  1. In UBIQUITY Manager, accedere alla sezione Explorer > Domain view.
  2. Fare clic sul pulsante Aggiungi risorsa (con il segno più cerchiato) accanto al dominio.
  3. Selezionare Crea account utente.
  4. Nella finestra dell'account Crea account utente, contrassegnare la voce L'utente accede con l'autenticazione esterna.

Quando si tenta di accedere a UBIQUITY Manager, l'utente esterno appena creato viene quindi reindirizzato al provider di identità collegato alla sua azienda per l'autenticazione dell'identità esterna.

Una volta completato il processo di autenticazione, l'utente accede direttamente a UBIQUITY Manager.

Sincronizzazione utenti

In un ambiente OpenID Connect, le informazioni di autenticazione vengono trasferite tramite token JWT, ognuna delle quali include claim relativi al token stesso, all'utente e alle relative autorizzazioni.

È possibile configurare i tipi di claim nei token JWT per abilitare la sincronizzazione degli utenti tramite l'associazione tra UBIQUITY e il provider di identità.

Le e-mail sono attestazioni OpenID Connect (OIDC) standard che fungono da identificatori per l'associazione tra UBIQUITY e il provider di identità. Tuttavia, è possibile utilizzare altri tipi di claim per abilitare l'associazione, ad esempio il nome utente dell'utente UBIQUITY.