Configurazione SSO (Azure AD, OIDC, SAML2)
Abilita l'autenticazione aziendale con il tuo provider di identità
KaliaOps supporta il Single Sign-On (SSO) tramite i protocolli OAuth2/OIDC e SAML2, permettendo ai tuoi utenti di autenticarsi con le loro credenziali aziendali da Azure AD, Okta, Auth0, Keycloak, Google Workspace o qualsiasi provider di identità compatibile con SAML2. La configurazione richiede meno di 15 minuti.
Panoramica
Il Single Sign-On (SSO) consente ai tuoi utenti di accedere a KaliaOps utilizzando le loro credenziali aziendali, eliminando la necessità di password separate. KaliaOps supporta due protocolli di autenticazione:
- OAuth2/OIDC: Usato da Azure AD, Okta, Auth0, Keycloak, Google Workspace
- SAML2: Usato da ADFS, Ping Identity, OneLogin e IdP aziendali legacy
Perché SSO invece di LDAP?
Come piattaforma SaaS cloud, KaliaOps non può connettersi direttamente ai tuoi server LDAP/AD on-premise (che sono tipicamente dietro firewall). I protocolli SSO sono specificamente progettati per l'autenticazione basata su Internet e sono lo standard per le applicazioni cloud aziendali.
Configurazione Azure AD
Creare una registrazione app
Nel portale Azure, vai a Registrazioni app e clicca su Nuova registrazione:
- Nome: KaliaOps SSO
- Tipi di account supportati: Account solo in questa directory organizzativa
- URI di reindirizzamento: Copia l'URI mostrato in KaliaOps Impostazioni > SSO
Ottenere ID client e ID tenant
Dopo aver creato la registrazione app, copia i seguenti valori:
- ID applicazione (client): Questo è il tuo ID client
- ID directory (tenant): Questo è il tuo ID tenant Azure
Creare un segreto client
Vai a Certificati e segreti, clicca su Nuovo segreto client e copia immediatamente il valore (non sarà mostrato di nuovo).
Configurare le autorizzazioni API
Vai a Autorizzazioni API e aggiungi le autorizzazioni delegate di Microsoft Graph:
- openid
- profile
- User.Read
Clicca su Concedi consenso amministratore per approvare queste autorizzazioni.
Configurare KaliaOps
In KaliaOps, vai a Impostazioni > Single Sign-On e inserisci:
- Provider: Azure AD
- ID client: Il tuo ID applicazione
- Segreto client: Il tuo valore segreto
- ID tenant Azure: Il tuo ID directory
Clicca su Salva e usa il pulsante Testa connessione per verificare.
Configurazione OIDC generica
Per altri provider di identità (Okta, Auth0, Keycloak, Google Workspace), usa la configurazione OIDC generica.
Informazioni richieste
- ID client: Identificatore applicazione dal tuo IdP
- Segreto client: Chiave segreta dal tuo IdP
- URL dell'emittente: URL dell'emittente OIDC del tuo IdP
Esempi di URL emittente
- Okta: https://tua-org.okta.com
- Auth0: https://tuo-tenant.auth0.com
- Keycloak: https://keycloak.example.com/realms/tuo-realm
- Google Workspace: https://accounts.google.com
Assicurati di configurare l'URI di reindirizzamento nel tuo IdP: copialo da Impostazioni KaliaOps > SSO.
Configurazione SAML2
Per i provider di identità basati su SAML2 (ADFS, Ping Identity, OneLogin), è necessario scambiare metadati tra KaliaOps e il tuo IdP.
Informazioni dal tuo IdP
- Entity ID dell'IdP: Identificatore univoco del tuo provider di identità
- URL SSO dell'IdP: URL dove gli utenti vengono reindirizzati per autenticarsi
- Certificato dell'IdP: Certificato X.509 per la validazione delle firme (formato PEM)
Informazioni da fornire al tuo IdP
- Entity ID del SP: https://kaliaops.com/{tenant}/auth/saml2/metadata
- URL ACS: https://kaliaops.com/{tenant}/auth/saml2/acs
- Formato NameID: Indirizzo email
Mappatura attributi
Configura il tuo IdP per inviare i seguenti attributi SAML:
- Email (obbligatorio)
- Nome e cognome (opzionale, per il provisioning automatico)
- Gruppi (opzionale, per il controllo degli accessi)
Provisioning degli utenti
KaliaOps può creare automaticamente account utente quando i dipendenti accedono per la prima volta tramite SSO.
Creazione automatica utenti
Quando abilitato, i nuovi utenti vengono creati automaticamente con le loro informazioni dal provider di identità. Puoi specificare un ruolo predefinito per questi utenti.
Collegamento ai dipendenti
Quando abilitato, KaliaOps tenterà di abbinare i nuovi utenti SSO con i dipendenti esistenti nel tuo CMDB per email o nome. Questo collega automaticamente l'account utente al record del dipendente.
Controllo accessi per gruppo di sicurezza
Puoi limitare l'accesso SSO ai membri di un gruppo di sicurezza specifico. Solo gli utenti che appartengono a questo gruppo potranno accedere. Gli altri vedranno un messaggio di accesso negato.
Test e risoluzione dei problemi
Dopo aver configurato SSO, usa il pulsante Testa connessione per verificare che KaliaOps possa comunicare con il tuo provider di identità.
Problemi comuni
- Parametro state non valido
- Questo indica un problema di protezione CSRF. Assicurati che i cookie siano abilitati e che l'URI di reindirizzamento sia configurato correttamente.
- Accesso gruppo negato
- L'utente non è membro del gruppo di sicurezza consentito. Verifica l'appartenenza al gruppo nel tuo IdP.
- Risposta OIDC discovery non valida
- L'URL dell'emittente non è corretto. Verifica di poter accedere a {issuer}/.well-known/openid-configuration
- Validazione firma fallita (SAML2)
- Il certificato dell'IdP non è corretto o è scaduto. Scarica il certificato attuale dal tuo IdP.
- Supporto per Azure AD, Okta, Auth0, Keycloak, Google Workspace
- Protocolli OAuth2/OIDC e SAML2
- Provisioning automatico degli utenti al primo accesso
- Controllo degli accessi basato su gruppi di sicurezza
- 2FA opzionale in aggiunta all'autenticazione SSO