Guida online ESET

Ricerca Italiano
Seleziona l'argomento

Esempi di configurazione IdP Connector

Negli esempi di configurazione riportati di seguito si presuppone che vi siano le seguenti impostazioni:

URL installazione ESA: https://esa.test.local:44322/

Path Name (nome percorso) configurato in ESA Identity Provider Connector (ESA IdP Connector>): test

Collegamenti agli esempi di configurazione riportati di seguito: Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox, Confluence

Provider di identità

OpenAM

Configura ESA IdP Connector

1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.

2.Nella sezione Provider di identità originale > Configurazione dal provider di identità originale, impostare l'URL dei metadati su

<OpenAM_FQDN> deve essere sostituito con il nome del dominio specificato durante la creazione dell'IdP ospitato nella console OpenAM.

3.Se in Impostazioni avanzate della configurazione di ESA IdP Connector sono selezionate le opzioni Validate original Identity Provider certificate (Convalida il certificato del provider di identità originale) e Check original Identity Provider Certificate revocation (Controlla la revoca del certificato del provider di identità originale), il certificato di firma OpenAM deve essere configurato come attendibile sulla macchina su cui è installato ESA IdP Connector (ad esempio, aggiungendolo all’archivio Persone attendibili).

Configura OpenAM

1.Effettuare l’autenticazione a OpenAM.

2.In Aree di autenticazione, selezionare un’area di autenticazione, quindi selezionare Crea provider SAML v2.

3.Fare clic su Registra provider del servizio remoto.

4.Inserire l'URL dei metadati ottenuto da ESA:

a.In ESA Web Console portarsi in Components (Componenti) > Identity Provider Connector (Connettore provider di identità) > selezionare il connettore IdP configurato > Original Identity Provider (Provider di identità originale) > Configuration to the original Identity Provider (Configurazione in base al provider di identità originale) > Metadata URL (URL metadati). In questo esempio: https://esa.test.local:44322/test/metadata/ToIdentityProvider

5.In Circle of Trust:

a.Selezionare Aggiungi a esistente.

b.Selezionare il Circle of Trust esistente al quale appartiene il provider di identità ospitato.

6.Portarsi su Federazione > Provider di entità > selezionare il provider di identità utilizzato > Formato ID nome.

7.Assegnare un valore a Mappa valore ID nome se non è presente alcun valore.

8.Importare i certificati di ESA IdP Connector in OpenAM utilizzando lo strumento della riga di comando.

Nel codice precedente <openam_keystore.jks>, <esa_signing_ceritificate> e <esa_decryption_ceritificate> devono essere sostituiti con il percorso corrispondente che conduce alla relativa posizione.


Okta

Configura ESA IdP Connector

1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.

2.Nella sezione Original Identity Provider (Provider di identità originale) > Configuration from the original Identity Provider (Configurazione dal provider di identità originale), impostare il Metadata URL (URL metadati) recuperato da Okta al termine della configurazione:

a.Effettuare l’autenticazione nell'applicazione Okta creata come amministratore.

b.Selezionare la scheda Accesso, fare clic con il pulsante destro del mouse su Metadati provider di identità nella sezione Impostazioni e copiarne l'indirizzo del collegamento (posizione del collegamento).

3.Se in Impostazioni avanzate della configurazione di ESA IdP Connector sono selezionate le opzioni Validate original Identity Provider certificate (Convalida il certificato del provider di identità originale) e Check original Identity Provider Certificate revocation (Controlla la revoca del certificato del provider di identità originale), il certificato di firma Okta deve essere configurato come attendibile sulla macchina su cui è installato ESA IdP Connector (ad esempio, aggiungendolo all’archivio Persone attendibili).

Configura Okta

1.Effettuare l’autenticazione all'account Okta Admin.

2.Portarsi su Applicazioni > Applicazioni.

3.Fare clic su Aggiungi applicazione, quindi su Crea nuova app.

4.Selezionare Web come Piattaforma e SAML 2.0 come Metodo di accesso.

5.Fare clic su Crea.

6.Durante la configurazione dell'app:

a. URL Single Sign-On: recupera l'indirizzo URL da ESA Web Console in caso di configurazione di ESA IdP Connector:

i. Original Identity Provider (Provider di identità originale) > Configuration to the Original Identity Provider (Configurazione sul provider di identità originale) > Sign-on URL (URL di accesso). In questo esempio:
https://esa.test.local:44322/test/Auth/LoginResponse
 

b.URI del gruppo di destinatari (ID entità SP): recuperare il valore corrispondente da ESA Web Console in caso di configurazione di ESA IdP Connector:

i.Original Identity Provider (Provider di identità originale) > Configuration to the Original Identity Provider (Configurazione sul provider di identità originale) > Identifier (URL di accesso). In questo esempio:
https://esa.test.local:44322/test/

c.In Impostazioni SAML, selezionare E-mail per il campo Nome utente dell’applicazione.


Microsoft Entra ID

Prerequisiti:

Installazione di ESA core con Identity Provider Connector.

Account Azure.

Configura Microsoft Entra ID

1.Effettuare l’autenticazione al portale Azure.

2.Andare a Microsoft Entra ID > Enterprise applications (Applicazioni Enterprise) > New Application (Nuova applicazione) > Create your own application (Crea la tua applicazione) e inserire il nome dell’applicazione desiderato.

3.Fare clic su Integrate any other application you don't find in the gallery (Non-gallery) (Applica) > Create (Salva).

4.Nella sezione Manage (Gestisci) del menu a sinistra fare clic su Single sign-on > SAML:

a.Nella finestra SAML Certificates (Certificati SAML) copiare App Federation Metadata Url (URL metadati federazione app).

5.Aprire ESA e andare al pulsante Components (Componenti) > Identity Provider Connector (Connettore provider di identità) > Create new identity provider configuration (Crea nuova configurazione provider di identità):

a.Compilare il campo Configuration Name (Nome configurazione).

b.In 2FA Settings (Impostazioni autenticazione a due fattori, 2FA) lasciare selezionate entrambe le caselle di controllo.

c.In Original Identity Provider (Provider di identità originale) lasciare l’opzione Use metadata (Usa metadati) selezionata.

d.In Metadata URL (URL metadati) incollare App Federation Metadata Url (URL metadati federazione app) copiato nel passaggio 5.

6.In Azure > Microsoft Entra ID > Enterprise applications (Applicazioni Enterprise) > Manage (Gestisci) > Single sign-on > SAML nella finestra Basic SAML Configuration (Configurazione SAML di base) fare clic su Edit (Modifica):

a.Configurare i seguenti campi in base alle informazioni recuperate da Configurazione ESA IdP Connector:

b.Identifier (Entity ID) (Identificatore: (ID entità)): utilizzare il valore da Original Identity Provider (Provider di identità originale) > Configuration to the Original Identity Provider (Configurazione sul provider di identità originale) > Identifier (Identificatore). In questo esempio: https://esa.test.local:44322/test

c.Reply URL (Assertion Consumer Service URL) (URL risposta (URL servizio consumer di asserzione)): utilizzare il valore da Original Identity Provider (Provider di identità originale) > Configuration to the Original Identity Provider (Configurazione sul provider di identità originale) > Sign-on response URL. In questo esempio: https://esa.test.local:44322/test/Auth/LoginResponse

d.Logout Url (URL di disconnessione): utilizzare il valore da Original Identity Provider (Provider di identità originale) > Configuration to the Original Identity Provider (Configurazione sul provider di identità originale) > Logout response URL (URL risposta disconnessione). In questo esempio: https://esa.test.local:44322/test/Auth/LogoutResponse

e.Fare clic sul pulsante Save (Salva).

f.Nella finestra SAML Certificate (Certificato SAML) fare clic su Download (Scarica) accanto a Certificate (Raw) (Certificato (non elaborato)).

7.Se in Impostazioni avanzate della configurazione di ESA IdP Connector sono selezionate le opzioni Validate original Identity Provider certificate (Convalida il certificato del provider di identità originale) e Check original Identity Provider Certificate revocation (Controlla la revoca del certificato del provider di identità originale), il certificato di firma Azure deve essere configurato come attendibile sulla macchina su cui è installato ESA IdP Connector (ad esempio, aggiungendolo a Persone attendibili).

8.In Azure > Microsoft Entra ID > Enterprise applications (Applicazioni Enterprise) > Manage (Gestisci) > Users and groups (Utenti e gruppi) > Add user/group (Aggiungi utente/gruppo) > Users and groups (Utenti e gruppi) > None Selected (Nessuna selezione):

a.Cercare l’utente che si desidera aggiungere e selezionare una casella di controllo posizionata accanto alla voce. Fare clic sul pulsante Select (Seleziona). Fare clic sul pulsante Assign (Assegna).

b.Nella finestra Azure > Microsoft Entra ID > Enterprise applications (Applicazioni Enterprise) > Manage (Gestisci) > Single sign-on > SAML > Test single sign-on (Prova Single Sign On) fare clic sul pulsante Test (Prova). Viene visualizzata una nuova scheda con la conferma dell’autenticazione dell’utente.


AD FS

Configura ESA IdP Connector

1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.

2.Nella sezione Original Identity Provider (Provider di identità originale) > Configuration from the original Identity Provider (Configurazione dal provider di identità originale), impostare il Metadata URL (URL metadati) su

dove <AD FS_FQDN> deve essere sostituito con il nome del dominio del server AD FS.

3.Se in Impostazioni avanzate della configurazione di ESA IdP Connector sono selezionate le opzioni Validate original Identity Provider certificate (Convalida il certificato del provider di identità originale) e Check original Identity Provider Certificate revocation (Controlla la revoca del certificato del provider di identità originale), il certificato di firma AD FS deve essere configurato come attendibile sulla macchina su cui è installato ESA IdP Connector (ad esempio, aggiungendolo all’archivio Persone attendibili).

Configura AD FS

1.Apri Gestione AD FS.

2.Fare clic su Rapporti di attendibilità > Attendibilità del componente > Aggiungi attendibilità del componente.

3.Selezionare Consapevolezza attestazioni e fare clic su Avvio.

4.Selezionare Importa dati relativi al componente attendibile pubblicato online o su una rete locale, quindi digitare nel campo Indirizzo metadati federativi (URL del nome host) l'URL dei metadati disponibile in ESA IdP Connector:

a.Original Identity Provider (PROVIDER DI IDENTITÀ ORIGINALE) > Configuration to the Original Identity Provider (CONFIGURAZIONE SUL PROVIDER DI IDENTITÀ ORIGINALE) > Metadata URL (URL METADATI)

5.Completare la configurazione.

6.Facendo clic su Chiudi nella pagina Fine, si aprirà automaticamente la finestra di dialogo Modifica regole attestazioni.

7.Selezionare la scheda Rilascio regole di trasformazione e fare clic su Aggiungi regola.

8.Da Modello regola attestazione, selezionare Invia attributi LDAP come attestazioni e fare clic su Avanti.

9.Da Archivio attributi, selezionare Active Directory.

10.Selezionare Utente-Nome-Principale per l’attributo LDAP e l’ID del nome per l’Attestazione in uscita.

11.Fare clic su Fine, quindi su OK nella finestra di dialogo Modifica regole attestazioni.

12.Applicare la seguente configurazione tramite PowerShell:

Nel codice precedente sostituire <relying_party_name> con il nome dell'attendibilità del componente configurata nei passaggi precedenti.

13.Scaricare i certificati da ESA IdP Connector, sezione Original Identity Provider (Provider di identità originale) > Configuration from the original Identity Provider (Configurazione dal provider di identità originale) e importarli nell’archivio di certificati di Windows per renderli attendibili.


Shibboleth

Configura ESA IdP Connector

1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.

2.Nella sezione Original Identity Provider (Provider di identità originale) > Configuration from the original Identity Provider (Configurazione dal provider di identità originale), impostare il Metadata URL (URL metadati) su

se ESA IdP Connector è installato sulla stessa macchina di Shibboleth. In caso contrario, copiare il file idp-metadata.xml di Shibboleth sul computer su cui è installato ESA IdP Connector e fare riferimento a tale percorso.

3.Se in Impostazioni avanzate della configurazione di ESA IdP Connector sono selezionate le opzioni Validate original Identity Provider certificate (Convalida il certificato del provider di identità originale) e Check original Identity Provider Certificate revocation (Controlla la revoca del certificato del provider di identità originale), il certificato di firma Shibboleth (posizionato in C:\Program Files (x86)\Shibboleth\IdP\credentials\idp-signing.crt per impostazione predefinita) deve essere configurato come attendibile sulla macchina su cui è installato ESA IdP Connector (ad esempio, aggiungendolo all’archivio Persone attendibili).

Configura Shibboleth

1.Scaricare il file dei metadati ESA IdP Connector dall’URL fornito in ESA IdP Connector:

a.Original Identity Provider (PROVIDER DI IDENTITÀ ORIGINALE) > Configuration to the Original Identity Provider (CONFIGURAZIONE SUL PROVIDER DI IDENTITÀ ORIGINALE) > Metadata URL (URL METADATI)

b.Salvarlo sul computer su cui è installato Shibboleth e fare riferimento alla relativa posizione in "C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xml":

Nel codice precedente <metadata_xml_file_from_esa> si riferisce al percorso del file dei metadati di ESA IdP Connector scaricato.

2.Fare in modo che Shibboleth invii alcuni dati, che identificano l'utente, nel formato di e-mail come valore del parametro NameID. Ad esempio, attributo LDAP di posta elettronica:

a.Definirlo per shibboleth.SAML2NameIDGenerators in "C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.xml":

b.Aggiungere a "C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.properties":


Keycloak

Configura ESA IdP Connector

1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.

2.Nella sezione Original Identity Provider (Provider di identità originale) > Configuration from the original Identity Provider (Configurazione dal provider di identità originale), impostare il Metadata URL (URL metadati) su

mentre nell'indirizzo URL precedente sostituire <keycloak> con il nome del dominio (e la porta) dell'istanza di Keycloak e <realm> con il nome corrispondente dell'area di autenticazione.

3.Se in Impostazioni avanzate della configurazione di ESA IdP Connector sono selezionate le opzioni Validate original Identity Provider certificate (Convalida il certificato del provider di identità originale) e Check original Identity Provider Certificate revocation (Controlla la revoca del certificato del provider di identità originale), il certificato di firma Keycloak deve essere configurato come attendibile sulla macchina su cui è installato ESA IdP Connector (ad esempio, aggiungendolo all’archivio Persone attendibili).

Configura Keycloak

1.Scaricare i metadati di ESA IdP Connector come file XML da ESA Web Console:

a.Aprire l’URL dei metadati trovato in Components (Componenti) > Identity Provider Connector (Connettore provider di identità) > selezionare l’IdP Connector configurato > Original Identity Provider (Provider di identità originale) > Configuration to the Original Identity Provider (Configurazione sul provider di identità originale) > Metadata URL (URL metadati) in un browser.

b.Premere CTRL + S, selezionare "XML" per Salva come tipo, se disponibile, e fare clic su Salva.

2.Effettuare l’autenticazione alla console di amministrazione Keycloak.

3.Fare clic su Client > Crea.

4.Accanto a Importa, fare clic su Seleziona file, ricercare il file di metadati .xml scaricato nel passaggio 1.

5.Da Protocollo client, selezionare SAML.

6.Completare il resto dei campi e fare clic su Salva.

7.Nella scheda Impostazioni del client creato, disattivare Asserzioni firma.

8.Da Formato ID nome, selezionare e-mail.


Provider di servizi

Dropbox

Configura ESA IdP Connector

1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.

2.Quando si aggiunge un provider di servizi, selezionare Configure manually (Configura manualmente) nella sezione Configuration from the Service Provider (Configurazione dal provider di servizi).

3.Nel campo Autorità emittente, digitare http://Dropbox.

4.Impostare Single Sign-on Destination (Destinazione Single Sign-On) https://www.dropbox.com/saml_login.

5.Copiare il Sign-on URL (URL di accesso), il Logout URL (URL di disconnessione) in un file di testo ed esportare il Singing Certificate (Certificato di firma) per un utilizzo successivo durante la configurazione del provider di servizi.

6.In Advanced Security Settings (Impostazioni di protezione avanzate), deselezionare Check signature of requests from the Service Provider (Controlla la firma delle richieste dal provider di servizi).

Configura Dropbox

1.Effettuare l’autenticazione a Dropbox come amministratore.

2.Accedere a Impostazioni > Single Sign-On.

3.Digitare nel campo URL di accesso l'URL di accesso copiato dall’istanza di ESA IdP Connector configurata.

4.Digitare nel campo URL di disconnessione l’URL di disconnessione copiato dall’istanza di ESA IdP Connector configurata.

5.Per il Certificato X.509, importare il certificato di firma esportato in precedenza dall’istanza di ESA IdP Connector configurata.


Confluence

Configura ESA IdP Connector

1.Attenersi alle istruzioni generiche sulla Configurazione di IdP Connector in ESA Web Console.

2.Quando si aggiunge un provider di servizi, selezionare Configure manually (Configura manualmente) nella sezione Configuration from the Service Provider (Configurazione dal provider di servizi).

3.Nel campo Issuer (Autorità emittente), copiare e incollare l'indirizzo URL trovato in Confluence Admin Console in Autenticazione SAML > URL destinatari (ID entità).

4.Nel campo Single Sign-on Destination (Destinazione Single Sign-On), copiare e incollare l'indirizzo URL trovato in Confluence Admin Console in Autenticazione SAML > URL servizio consumer di asserzione.

5.Copiare il Identifier (URL di accesso), il Sign-on URL (URL di disconnessione) in un file di testo ed esportare il Singing Certificate (Certificato di firma) per un utilizzo successivo durante la configurazione del provider di servizi.

6.In Advanced Security Settings (Impostazioni di protezione avanzate), deselezionare Check signature of requests from the Service Provider (Controlla la firma delle richieste dal provider di servizi).

Configura confluenza

1.Effettuare l’autenticazione a Confluence as administrator.

2.Fare clic su Autenticazione SAML.

3.Nella sezione Impostazioni SAML SSO 2.0:

a.Digitare nel campo Autorità emittente Single Sign-on l'Identificatore copiato da ESA IdP Connector.

b.Digitare nel campo URL Single Sign-on provider di identità, l'URL di accesso copiato da ESA IdP Connector.

c.Copiare e incollare nel campo Certificato X.509 il contenuto del certificato di firma esportato da ESA IdP Connector.