Esempi di configurazione IdP Connector
Negli esempi di configurazione riportati di seguito si presuppone che vi siano le seguenti impostazioni:
•URL installazione ESA: https://esa.test.local:44322/
•Path Name (nome percorso) configurato in ESA Identity Provider Connector (ESA IdP Connector>): test
Collegamenti agli esempi di configurazione riportati di seguito: Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox, Confluence
Provider di identità
OpenAM
Configura ESA IdP Connector
1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.
2.Nella sezione Provider di identità originale > Configurazione dal provider di identità originale, impostare l'URL dei metadati su
https://<OpenAM_FQDN>/openam/saml2/jsp/exportmetadata.jsp?entityid=https://<OpenAM_FQDN>/openam&realm=/ |
<OpenAM_FQDN> deve essere sostituito con il nome del dominio specificato durante la creazione dell'IdP ospitato nella console OpenAM.
3.Se in Impostazioni avanzate della configurazione di ESA IdP Connector sono selezionate le opzioni Validate original Identity Provider certificate (Convalida il certificato del provider di identità originale) e Check original Identity Provider Certificate revocation (Controlla la revoca del certificato del provider di identità originale), il certificato di firma OpenAM deve essere configurato come attendibile sulla macchina su cui è installato ESA IdP Connector (ad esempio, aggiungendolo all’archivio Persone attendibili).
Configura OpenAM
1.Effettuare l’autenticazione a OpenAM.
2.In Aree di autenticazione, selezionare un’area di autenticazione, quindi selezionare Crea provider SAML v2.
3.Fare clic su Registra provider del servizio remoto.
4.Inserire l'URL dei metadati ottenuto da ESA:
a.In ESA Web Console portarsi in Components (Componenti) > Identity Provider Connector (Connettore provider di identità) > selezionare il connettore IdP configurato > Original Identity Provider (Provider di identità originale) > Configuration to the original Identity Provider (Configurazione in base al provider di identità originale) > Metadata URL (URL metadati). In questo esempio: https://esa.test.local:44322/test/metadata/ToIdentityProvider
5.In Circle of Trust:
a.Selezionare Aggiungi a esistente.
b.Selezionare il Circle of Trust esistente al quale appartiene il provider di identità ospitato.
6.Portarsi su Federazione > Provider di entità > selezionare il provider di identità utilizzato > Formato ID nome.
7.Assegnare un valore a Mappa valore ID nome se non è presente alcun valore.
8.Importare i certificati di ESA IdP Connector in OpenAM utilizzando lo strumento della riga di comando.
keytool -importcert -alias esa_signing -keystore <openam_keystore.jks> -file <esa_signing_certificate> keytool -importcert -alias esa_decryption -keystore <openam_keystore.jks> -file <esa_decryption_certificate> |
Nel codice precedente <openam_keystore.jks>, <esa_signing_ceritificate> e <esa_decryption_ceritificate> devono essere sostituiti con il percorso corrispondente che conduce alla relativa posizione.
Okta
Configura ESA IdP Connector
1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.
2.Nella sezione Original Identity Provider (Provider di identità originale) > Configuration from the original Identity Provider (Configurazione dal provider di identità originale), impostare il Metadata URL (URL metadati) recuperato da Okta al termine della configurazione:
a.Effettuare l’autenticazione nell'applicazione Okta creata come amministratore.
b.Selezionare la scheda Accesso, fare clic con il pulsante destro del mouse su Metadati provider di identità nella sezione Impostazioni e copiarne l'indirizzo del collegamento (posizione del collegamento).
3.Se in Impostazioni avanzate della configurazione di ESA IdP Connector sono selezionate le opzioni Validate original Identity Provider certificate (Convalida il certificato del provider di identità originale) e Check original Identity Provider Certificate revocation (Controlla la revoca del certificato del provider di identità originale), il certificato di firma Okta deve essere configurato come attendibile sulla macchina su cui è installato ESA IdP Connector (ad esempio, aggiungendolo all’archivio Persone attendibili).
Configura Okta
1.Effettuare l’autenticazione all'account Okta Admin.
2.Portarsi su Applicazioni > Applicazioni.
3.Fare clic su Aggiungi applicazione, quindi su Crea nuova app.
4.Selezionare Web come Piattaforma e SAML 2.0 come Metodo di accesso.
5.Fare clic su Crea.
6.Durante la configurazione dell'app:
a. URL Single Sign-On: recupera l'indirizzo URL da ESA Web Console in caso di configurazione di ESA IdP Connector:
i. Original Identity Provider (Provider di identità originale) > Configuration to the Original Identity Provider (Configurazione sul provider di identità originale) > Sign-on URL (URL di accesso). In questo esempio:
https://esa.test.local:44322/test/Auth/LoginResponse
b.URI del gruppo di destinatari (ID entità SP): recuperare il valore corrispondente da ESA Web Console in caso di configurazione di ESA IdP Connector:
i.Original Identity Provider (Provider di identità originale) > Configuration to the Original Identity Provider (Configurazione sul provider di identità originale) > Identifier (URL di accesso). In questo esempio:
https://esa.test.local:44322/test/
c.In Impostazioni SAML, selezionare E-mail per il campo Nome utente dell’applicazione.
Azure AD
Configura ESA IdP Connector
1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.
2.Nella sezione Original Identity Provider (Provider di identità originale) > Configuration from the original Identity Provider (Configurazione dal provider di identità originale), impostare il Metadata URL (URL di metadati) recuperato da Azure al termine della configurazione:
a.Nel portale Azure, portarsi su Azure Active Directory > Applicazioni Enterprise e selezionare l'applicazione dall'elenco.
b.Fare clic su Single Sign-on, quindi copiare l'indirizzo URL dal campo App Federation Metadat Url nella sezione Certificato di firma SAML.
3.Se in Impostazioni avanzate della configurazione di ESA IdP Connector, sono selezionate le opzioni Validate original Identity Provider certificate (Convalida certificato del provider di identità originale) e Check original Identity Provider Certificate revocation (Controlla revoca del certificato del provider di identità originale), è necessario configurare come attendibile il certificato di firma Azure sulla macchina in cui è installato ESA IdP Connector (ad esempio aggiungendolo all’archivio Persone attendibili). È possibile scaricare il certificato di firma Azure dal portale Azure:
a.Portarsi su Azure Active Directory > Applicazioni Enterprise > selezionare l'applicazione che è stata configurata per Single Sign-on su Single Sign-on.
b.Nella sezione Certificato di firma SAMLE, fare clic su Download accanto a Certificato (non elaborato).
Configura Azure AD
1.Effettuare l’autenticazione al portale Azure.
2.Portarsi su Azure Active Directory > Applicazioni Enterprise > Nuova applicazione.
3.Fare clic su Applicazione non nella raccolta.
4.Nella sezione Single Sign-on configurare i seguenti campi in base alle informazioni recuperate da configurazione ESA IdP Connector:
a.Identificatore (ID entità): utilizzare il valore da Original Identity Provider (Provider di identità originale) > Configuration to the Original Identity Provider (Configurazione sul provider di identità originale) > Identifier (Identificatore). In questo esempio:
https://esa.test.local:44322/test
b.URL risposta (URL servizio consumer di asserzione), URL di accesso: utilizzare il valore da Original Identity Provider (Provider di identità originale) > Configuration to the Original Identity Provider (Configurazione sul provider di identità originale) > Sign-on URL (URL di accesso). In questo esempio:
https://esa.test.local:44322/test/Auth/LoginResponse
c.Url di disconnessione: utilizzare il valore da Original Identity Provider (Provider di identità originale) > Configuration to the Original Identity Provider (Configurazione sul provider di identità originale) > Logout URL (URL di disconnessione). In questo esempio:
https://esa.test.local:44322/test/Auth/LogoutResponse
AD FS
Configura ESA IdP Connector
1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.
2.Nella sezione Original Identity Provider (Provider di identità originale) > Configuration from the original Identity Provider (Configurazione dal provider di identità originale), impostare il Metadata URL (URL metadati) su
https://AD FS_FQDN>/FederationMetadata/2007-06/FederationMetadata.xml |
dove <AD FS_FQDN> deve essere sostituito con il nome del dominio del server AD FS.
3.Se in Impostazioni avanzate della configurazione di ESA IdP Connector sono selezionate le opzioni Validate original Identity Provider certificate (Convalida il certificato del provider di identità originale) e Check original Identity Provider Certificate revocation (Controlla la revoca del certificato del provider di identità originale), il certificato di firma AD FS deve essere configurato come attendibile sulla macchina su cui è installato ESA IdP Connector (ad esempio, aggiungendolo all’archivio Persone attendibili).
Configura AD FS
1.Apri Gestione AD FS.
2.Fare clic su Rapporti di attendibilità > Attendibilità del componente > Aggiungi attendibilità del componente.
3.Selezionare Consapevolezza attestazioni e fare clic su Avvio.
4.Selezionare Importa dati relativi al componente attendibile pubblicato online o su una rete locale, quindi digitare nel campo Indirizzo metadati federativi (URL del nome host) l'URL dei metadati disponibile in ESA IdP Connector:
a.Original Identity Provider (PROVIDER DI IDENTITÀ ORIGINALE) > Configuration to the Original Identity Provider (CONFIGURAZIONE SUL PROVIDER DI IDENTITÀ ORIGINALE) > Metadata URL (URL METADATI)
5.Completare la configurazione.
6.Facendo clic su Chiudi nella pagina Fine, si aprirà automaticamente la finestra di dialogo Modifica regole attestazioni.
7.Selezionare la scheda Rilascio regole di trasformazione e fare clic su Aggiungi regola.
8.Da Modello regola attestazione, selezionare Invia attributi LDAP come attestazioni e fare clic su Avanti.
9.Da Archivio attributi, selezionare Active Directory.
10.Selezionare Utente-Nome-Principale per l’attributo LDAP e l’ID del nome per l’Attestazione in uscita.
11.Fare clic su Fine, quindi su OK nella finestra di dialogo Modifica regole attestazioni.
12.Applicare la seguente configurazione tramite PowerShell:
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -SigningCertificateRevocationCheck "none" Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -EncryptionCertificateRevocationCheck "none" |
Nel codice precedente sostituire <relying_party_name> con il nome dell'attendibilità del componente configurata nei passaggi precedenti.
13.Scaricare i certificati da ESA IdP Connector, sezione Original Identity Provider (Provider di identità originale) > Configuration from the original Identity Provider (Configurazione dal provider di identità originale) e importarli nell’archivio di certificati di Windows per renderli attendibili.
Shibboleth
Configura ESA IdP Connector
1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.
2.Nella sezione Original Identity Provider (Provider di identità originale) > Configuration from the original Identity Provider (Configurazione dal provider di identità originale), impostare il Metadata URL (URL metadati) su
file://C:\Program Files (x86)\Shibboleth\IdP\metadata\idp-metadata.xml |
se ESA IdP Connector è installato sulla stessa macchina di Shibboleth. In caso contrario, copiare il file idp-metadata.xml di Shibboleth sul computer su cui è installato ESA IdP Connector e fare riferimento a tale percorso.
3.Se in Impostazioni avanzate della configurazione di ESA IdP Connector sono selezionate le opzioni Validate original Identity Provider certificate (Convalida il certificato del provider di identità originale) e Check original Identity Provider Certificate revocation (Controlla la revoca del certificato del provider di identità originale), il certificato di firma Shibboleth (posizionato in C:\Program Files (x86)\Shibboleth\IdP\credentials\idp-signing.crt per impostazione predefinita) deve essere configurato come attendibile sulla macchina su cui è installato ESA IdP Connector (ad esempio, aggiungendolo all’archivio Persone attendibili).
Configura Shibboleth
1.Scaricare il file dei metadati ESA IdP Connector dall’URL fornito in ESA IdP Connector:
a.Original Identity Provider (PROVIDER DI IDENTITÀ ORIGINALE) > Configuration to the Original Identity Provider (CONFIGURAZIONE SUL PROVIDER DI IDENTITÀ ORIGINALE) > Metadata URL (URL METADATI)
b.Salvarlo sul computer su cui è installato Shibboleth e fare riferimento alla relativa posizione in "C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xml":
<MetadataProvider id="sp-metadata" xsi:type="FilesystemMetadataProvider" metadataFile="<metadata_xml_file_from_esa>"/> |
Nel codice precedente <metadata_xml_file_from_esa> si riferisce al percorso del file dei metadati di ESA IdP Connector scaricato.
2.Fare in modo che Shibboleth invii alcuni dati, che identificano l'utente, nel formato di e-mail come valore del parametro NameID. Ad esempio, attributo LDAP di posta elettronica:
a.Definirlo per shibboleth.SAML2NameIDGenerators in "C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.xml":
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:omitQualifiers="true" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'mail'} }" /> |
b.Aggiungere a "C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.properties":
idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
Keycloak
Configura ESA IdP Connector
1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.
2.Nella sezione Original Identity Provider (Provider di identità originale) > Configuration from the original Identity Provider (Configurazione dal provider di identità originale), impostare il Metadata URL (URL metadati) su
https://<keycloak>/auth/realms/<realm>/protocol/saml/descriptor |
mentre nell'indirizzo URL precedente sostituire <keycloak> con il nome del dominio (e la porta) dell'istanza di Keycloak e <realm> con il nome corrispondente dell'area di autenticazione.
3.Se in Impostazioni avanzate della configurazione di ESA IdP Connector sono selezionate le opzioni Validate original Identity Provider certificate (Convalida il certificato del provider di identità originale) e Check original Identity Provider Certificate revocation (Controlla la revoca del certificato del provider di identità originale), il certificato di firma Keycloak deve essere configurato come attendibile sulla macchina su cui è installato ESA IdP Connector (ad esempio, aggiungendolo all’archivio Persone attendibili).
Configura Keycloak
1.Scaricare i metadati di ESA IdP Connector come file XML da ESA Web Console:
a.Aprire l’URL dei metadati trovato in Components (Componenti) > Identity Provider Connector (Connettore provider di identità) > selezionare l’IdP Connector configurato > Original Identity Provider (Provider di identità originale) > Configuration to the Original Identity Provider (Configurazione sul provider di identità originale) > Metadata URL (URL metadati) in un browser.
b.Premere CTRL + S, selezionare "XML" per Salva come tipo, se disponibile, e fare clic su Salva.
2.Effettuare l’autenticazione alla console di amministrazione Keycloak.
3.Fare clic su Client > Crea.
4.Accanto a Importa, fare clic su Seleziona file, ricercare il file di metadati .xml scaricato nel passaggio 1.
5.Da Protocollo client, selezionare SAML.
6.Completare il resto dei campi e fare clic su Salva.
7.Nella scheda Impostazioni del client creato, disattivare Asserzioni firma.
8.Da Formato ID nome, selezionare e-mail.
Provider di servizi
Dropbox
Configura ESA IdP Connector
1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.
2.Quando si aggiunge un provider di servizi, selezionare Configure manually (Configura manualmente) nella sezione Configuration from the Service Provider (Configurazione dal provider di servizi).
3.Nel campo Autorità emittente, digitare http://Dropbox.
4.Impostare Single Sign-on Destination (Destinazione Single Sign-On) https://www.dropbox.com/saml_login.
5.Copiare il Sign-on URL (URL di accesso), il Logout URL (URL di disconnessione) in un file di testo ed esportare il Singing Certificate (Certificato di firma) per un utilizzo successivo durante la configurazione del provider di servizi.
6.In Advanced Security Settings (Impostazioni di protezione avanzate), deselezionare Check signature of requests from the Service Provider (Controlla la firma delle richieste dal provider di servizi).
Configura Dropbox
1.Effettuare l’autenticazione a Dropbox come amministratore.
2.Accedere a Impostazioni > Single Sign-On.
3.Digitare nel campo URL di accesso l'URL di accesso copiato dall’istanza di ESA IdP Connector configurata.
4.Digitare nel campo URL di disconnessione l’URL di disconnessione copiato dall’istanza di ESA IdP Connector configurata.
5.Per il Certificato X.509, importare il certificato di firma esportato in precedenza dall’istanza di ESA IdP Connector configurata.
Confluence
Configura ESA IdP Connector
1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.
2.Quando si aggiunge un provider di servizi, selezionare Configure manually (Configura manualmente) nella sezione Configuration from the Service Provider (Configurazione dal provider di servizi).
3.Nel campo Issuer (Autorità emittente), copiare e incollare l'indirizzo URL trovato in Confluence Admin Console in Autenticazione SAML > URL destinatari (ID entità).
4.Nel campo Single Sign-on Destination (Destinazione Single Sign-On), copiare e incollare l'indirizzo URL trovato in Confluence Admin Console in Autenticazione SAML > URL servizio consumer di asserzione.
5.Copiare il Identifier (URL di accesso), il Sign-on URL (URL di disconnessione) in un file di testo ed esportare il Singing Certificate (Certificato di firma) per un utilizzo successivo durante la configurazione del provider di servizi.
6.In Advanced Security Settings (Impostazioni di protezione avanzate), deselezionare Check signature of requests from the Service Provider (Controlla la firma delle richieste dal provider di servizi).
Configura confluenza
1.Effettuare l’autenticazione a Confluence as administrator.
2.Fare clic su Autenticazione SAML.
3.Nella sezione Impostazioni SAML SSO 2.0:
a.Digitare nel campo Autorità emittente Single Sign-on l'Identificatore copiato da ESA IdP Connector.
b.Digitare nel campo URL Single Sign-on provider di identità, l'URL di accesso copiato da ESA IdP Connector.
c.Copiare e incollare nel campo Certificato X.509 il contenuto del certificato di firma esportato da ESA IdP Connector.