Guida online ESET

Ricerca Italiano
Seleziona l'argomento

Configurare Identity Provider Connector (Connettore IdP) in ESA Web Console

La configurazione prevede dettagli sia di Identity Provider (IdP) sia di Service Provider (SP).

1.In ESA Web Console, portarsi in Components (Componenti) > Identity Provider Connector (Connettore provider di identità).

2.Fare clic su Create New Identity Provider Configuration.

3.In Basic settings (Impostazioni di base):

oDigitare un Configuration Name (Nome di configurazione desiderato). Verrà utilizzato nell'elenco di configurazioni di IdP Connector.

oDigitare il Path Name (Nome del percorso) desiderato che verrà utilizzato come parte del Configuration URL (URL di configurazione) utilizzato in ulteriori configurazioni.

4.In 2FA settings (Impostazioni di base):

oLasciare l’opzione 2FA enabled (2FA attivata) selezionata per richiedere il secondo fattore di autenticazione dagli utenti che hanno configurato un’opzione 2FA.

oPer consentire agli utenti non configurati per 2FA di effettuare l’autenticazione tramite questa configurazione IdP Connector, lasciare selezionata l’opzione Allow non-2FA (Consenti non-2FA).

5.In Original Identity Provider (Impostazioni di base):

oConfiguration from the Original Identity Provider

Use metadata (Utilizza metadati): utilizzare questa opzione se i metadati di configurazione dell’IdP sono disponibili attraverso la connessione protetta (HTTPS) o come file locale. Inserire l’URL protetto (che inizia con https:// o file://) nel campo URL metadati.

Configure manually (Configura manualmente): in caso di utilizzo di questa opzione, è necessario recuperare e inserire manualmente i seguenti dettagli dell’IdP:

oSingle Sign-on Destination (destinazione Single Sign-on) in cui l'utente autenticato viene reindirizzato all’autenticazione. Alcuni provider di identità fanno riferimento a questa opzione con l’espressione URL di autenticazione.

oSingle Logout Destination (destinazione Single Logout) in cui l'utente viene reindirizzato all’autenticazione. Alcuni provider di identità fanno riferimento a questa opzione con l’espressione URL di disconnessione.

oSignature Validation Certificate (Certificato di convalida della firma): certificato di firma dell’IdP.

oConfiguration to the Original Identity provider

In questa sezione vengono forniti tutti i dati e le informazioni essenziali per la configurazione del provider di identità originale ai fini dell'utilizzo con ESA IdP Connector.

i.Se il provider di identità è in grado di leggere la configurazione dai metadati, è possibile fornire l'URL visualizzato in Metadata URL (URL metadati). In caso contrario, utilizzare le informazioni degli altri campi (Identifier (Identificatore), Sign-on response URL (URL risposta accesso), Logout response URL (URL risposta disconnessione), Logout URL (URL disconnessione) ed esportare il Certificato di firma e il Certificato di decrittografia se richiesto dal provider di identità.

ii.Configurare il provider di identità per rilasciare l'attestazione Name ID (ID nome) nel formato <username>@<domain> (le opzioni comuni sono indirizzo e-mail o UPN). ESA IdP Connector registrerà quindi l'utente identificato da <username> in ESA Authentication Server nell’area di autenticazione <domain>.

6.Modificare le Advanced Security Settings (Impostazioni di protezione avanzate) per adattarle alle proprie preferenze o qualora richiesto dall’IdP.

oSign Requests to the original Identity Provider (Richieste di firma al provider di identità originale): se questa opzione è selezionata, è necessario configurare il Singing Certificate (Certificato di firma) di ESA come attendibile sulla macchina che ospita l’IdP.

oValidate original Identity Provider certificate (Convalida il certificato del provider di identità originale): se questa opzione è selezionata, è necessario configurare il certificato di firma dell’IdP attendibile sulla macchina che ospita ESA.

oCheck original Identity Provider certificate revocation (Verifica la revoca del certificato del provider di identità originale): se questa opzione è selezionata, ESA controlla se il certificato di firma dell’IdP è ancora valido.
 

7.Fare clic su Add Service Provider (Aggiungi provider di servizi) e digitare un Display Name (Nome visualizzato) desiderato. Verrà utilizzato nell'elenco di provider di servizi configurati all'interno dell’IdP Connector configurato.

oConfiguration from the Service Provider

i.Use metadata (Utilizza metadati): utilizzare questa opzione se i metadati di configurazione del provider di identità sono disponibili attraverso la connessione protetta (HTTPS). Inserire l’URL protetto (che inizia con https://) nel campo URL metadati provider di servizi.

ii.Configure manually (Configura manualmente): in caso di utilizzo di questa opzione, è necessario recuperare e inserire manualmente i seguenti dettagli del provider di servizi:

oIssuer (Autorità emittente). Alcuni SP fanno riferimento a questa opzione con l’espressione Audience URL (URL destinatari) o Entity ID (ID entità).

oSingle Sign-on Destination (destinazione Single Sign-on) in cui l'utente autenticato viene reindirizzato. Alcuni SP fanno riferimento a questa opzione con l’espressione URL del servizio consumer di asserzione.

oSingle Logout Destination (destinazione punto di disconnessione singolo) in cui l'utente viene reindirizzato dopo la disconnessione.

oSignature Validation Certificate (Certificato di convalida della firma): certificato di firma dell’SP.

b.Configuration to the Service Provider:

Questa sezione fornisce tutti i dati e le informazioni essenziali per la configurazione del provider di identità originale ai fini dell'utilizzo con ESA IdP Connector

i.Se l’SP è in grado di leggere la configurazione dai metadati, fornire l’URL visualizzato in Metadata URL (URL metadati). In caso contrario, utilizzare le informazioni degli altri campi (Identifier (Identificatore), Sign-on URL (URL di accesso), Logout URL (URL disconnessione)) ed esportare il Singing Certificate (Certificato di firma) e il Decryption Certificate (Certificato di decrittografia) se richiesto dall’SP.

ii.Per rimuovere, aggiungere o aggiornare le informazioni relative all'identità (attestazione) raccolte prima dell’inoltro all’SP, creare le regole desiderate nella sezione Claims Translation (Traduzione di attestazioni). Consultare gli esempi di traduzione delle attestazioni nella sezione sottostante.

8.Modificare le Advanced Security Settings (Impostazioni di protezione avanzate) per adattarle alle proprie preferenze o qualora richiesto dall’SP.

oCheck signature of requests from the Service Provider(Verificare la firma delle richieste dal provider di servizi): se questa opzione è selezionata, è necessario configurare il certificato dell’SP in ESA.

oValidate Service Provider certificate (Convalidare il certificato del provider di servizi): se questa opzione è selezionata, è necessario configurare il certificato dell’SP attendibile sulla macchina che ospita ESA.

oCheck Service Provider certificate revocation (Verificare la revoca del certificato del provider di servizi): se questa opzione è selezionata, ESA verifica se il certificato dell’SP è ancora valido.

9.Fare clic su Save.

 

Esempi di traduzioni di attestazioni

Negli esempi riportati di seguito si presuppone che l'utente abbia effettuato l’autenticazione attraverso un IdP e che le seguenti attestazioni siano state ricevute da ESA IdP Connector:

http://original_identity_provider/claim/nameid: sample@user.com

http://original_identity_provider/claim/displayname: SU

http://original_identity_provider/claim/name: Sample User

http://original_identity_provider/claim/nameid: sample@user.com

http://original_identity_provider/claim/saml2nameid: sample@user.com

http://original_identity_provider/claim/samle2nameidformat: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Rimuovi una specifica attestazione

Per rimuovere "http://original_identity_provider/claim/displayname: SU" dal set di attestazioni di cui sopra, configurare la seguente regola in ESA IdP Connector:

1.Fare clic su Add.

2.Selezionare Remove (Rimuovi) dalla casella di riepilogo.

3.Per Type (Tipo), digitare “http://original_identity_provider/claim/displayname” senza virgolette.

4.Fare clic su Save.

Per creare una nuova attestazione con un valore personalizzato o aggiornare un'attestazione esistente (sostituirne il valore)

Per sostituire “SU” con “sampleuser” in “http://original_identity_provider/claim/displayname: SU”, configurare la seguente regola in ESA IdP Connector:

1.Fare clic su Add.

2.Selezionare Add (Rimuovi) dalla casella di riepilogo.

3.Per Type (Tipo), digitare “http://original_identity_provider/claim/displayname” senza virgolette.

4.Per Constant value (Valore costante), digitare “sampleuser”.

5.Fare clic su Save.

Se “http://original_identity_provider/claim/displayname” non esiste nel set di attestazioni ricevute, viene creato con il valore definito in Constant value (Valore costante):

"http://original_identity_provider/claim/displayname: sampleuser"

Per creare una nuova attestazione con il valore di un'attestazione esistente

Per creare l’attestazione “http://original_identity_provider/claim/profilename” con il valore dell’attestazione “http://original_identity_provider/claim/displayname”, configurare la seguente regola in ESA IdP Connector:

1.Fare clic su Aggiungi.

2.Selezionare Copia dalla casella di riepilogo.

3.Per From type (Tipo Da), digitare “http://original_identity_provider/claim/displayname” senza virgolette.

4.Per To type (Tipo A), digitare “http://original_identity_provider/claim/profilename” senza virgolette.

5.Fare clic su Save.