• Casa
• Integrazioni di app
• Integrazioni Single Sign-On
• Accesso singolo a Pingboard

Accesso singolo SSO Pingboard

---

La soluzione Single Sign-On (SSO) di miniOrange fornisce sicurezza Single Sign-On accesso in Tabellone utilizzando un singolo set di credenziali di accesso. Puoi accedere a Pingboard utilizzando le credenziali miniOrange o le credenziali Azure AD o uno qualsiasi dei tuoi provider di identità esistenti. Con i servizi miniOrange SSO, insieme a Pingboard puoi anche accedere ad altri On-Premise and Applicazioni cloud usando il tuo esistente Credenziali di provider di identità/archivio utenti (Azure Active Directory, Okta, Ping) Seguire la guida di installazione fornita per integrare SAML SSO per il tuo account Pingboard.

L'integrazione Single Sign-On (SSO) di miniOrange e Pingboard supporta le seguenti funzionalità:

• Single Sign-On (SSO) avviato da SP
• Single Sign-On (SSO) avviato da IdP
• Approvvigionamento JIT (Just In Time)

Segui la guida dettagliata fornita di seguito per l'accesso Single Sign-On (SSO) di Pingboard

1. Configura Pingboard in miniOrange

• Accedi a miniOrange Console di amministrazione.
• Vai su Apps e cliccare su Aggiungi applicazione pulsante.



• In Scegli il tipo di applicazione, selezionare SAML/WS-FED dal Tutte le applicazioni cadere in picchiata.



• Cercare Tabellone nell'elenco, se non trovi Pingboard nell'elenco, cerca costume e puoi configurare la tua applicazione in App SAML personalizzata.

• Inserire il ID entità SP or Emittente : http://app.pingboard.com/sp
• Inserire il URL ACS : https://<subdomain>.pingboard.com/auth/saml/consume
• Fare clic su Avanti procedere ulteriormente.



• Nel Mappatura degli attributi scheda configura i seguenti attributi come mostrato nell'immagine sottostante.



• Per caricare il rispettivo logo dell'app per un App SAML personalizzata, clicca su Scheda Carica logo.



• Fare clic su Salva.

Ottieni i dettagli dei metadati IdP da caricare su Pingboard:

• Vai su App >> Visualizza app.
• Cerca la tua app e clicca su select nel menu Azione della tua app.
• Fare clic su Metadati per ottenere i dettagli dei metadati, che saranno richiesti in seguito. Clicca su Mostra collegamento SSO per vedere il collegamento SSO avviato da IDP per Pingboard.



• Qui vedrai 2 opzioni, se stai configurando miniOrange come IDP copia i dettagli dei metadati relativi a miniOrange, se ne hai già uno IDP esterni (OKTA, AZURE AD, ADFS, ONELOGIN, GOOGLE APPS) è possibile ottenere metadati dalla seconda sezione come mostrato di seguito.



• mantenere URL di accesso SAML , URL di disconnessione SAML e fare clic sul Scarica certificato pulsante per scaricare il certificato che ti servirà in Fase 2.

2. Configurazione Pingboard

• Login per Tabellone come amministratore.



• Accedere a amministratori e seleziona Add-ons .



• Incolla il testo dei metadati sotto Metadati IDP campo, che hai copiato in step 1.



• Il tuo SSO è stato configurato. Avvia il flusso SSO da Pagina di accesso a Pingboard.

3. Testare la configurazione SSO

Prova l'accesso SSO al tuo account Pingboard con miniOrange IdP:

Utilizzo dell'accesso avviato da SP

• Vai all'URL di Pingboard, qui ti verrà chiesto di inserire il nome utente o di cliccare sul link SSO che ti reindirizzerà alla pagina di accesso miniOrange IdP.



• Inserisci le tue credenziali di accesso miniOrange e clicca su Accedi. Verrai automaticamente loggato nel tuo account Pingboard.

Utilizzo dell'accesso avviato da IDP

• Accedi a miniOrange IdP utilizzando le tue credenziali.



• Nella dashboard, fare clic su Tabellone applicazione che hai aggiunto, per verificare la configurazione SSO.





Non riesci a configurare o testare l'SSO?


Contattaci o inviare un'e-mail a idpsupport@xecurify.com e ti aiuteremo a configurarlo in pochissimo tempo.

4. Configura la tua directory utente (facoltativo)

miniOrange fornisce l'autenticazione utente da varie fonti esterne, che possono essere Directory (come ADFS, Microsoft Active Directory, Microsoft Entra ID, OpenLDAP, Google, AWS Cognito ecc.), Provider di identità (come Okta, Shibboleth, Ping, OneLogin, KeyCloak), Database (come MySQL, Maria DB, PostgreSQL) e molti di piùPuoi configurare la tua directory/archivio utenti esistente o aggiungere utenti in miniOrange.

• Imposta miniOrange come IDP
• Imposta AD come directory utente
• Imposta IDP esterno

• Per aggiungere i tuoi utenti in miniOrange ci sono 2 modi:
• Crea utente in miniOrange
• Caricamento in blocco degli utenti

1. Crea utente in miniOrange

• Fare clic su Utenti >> Elenco utenti >> Aggiungi utente.



• Qui, compila i dettagli dell'utente senza la password e poi clicca su Crea utente pulsante.



• Dopo la creazione corretta dell'utente, verrà visualizzato un messaggio di notifica "Un utente finale è stato aggiunto correttamente" verrà visualizzato nella parte superiore della dashboard.



• Fare clic su Scheda Stato di onboardingControlla l'e-mail con l'ID e-mail registrato e seleziona l'azione Invia e-mail di attivazione con collegamento per la reimpostazione della password da Seleziona azione elenco a discesa e quindi fare clic su APPLICA pulsante.



• Ora, apri il tuo ID e-mail. Apri la posta che ricevi da miniOrange e poi clicca su link per impostare la password del tuo account.
• Nella schermata successiva, inserisci la password e conferma la password, quindi fai clic su Reimposta password Single Sign-On (SSO) pulsante.



• Ora puoi accedere all'account miniOrange inserendo le tue credenziali.

2. Caricamento in blocco degli utenti in miniOrange tramite caricamento di file CSV.

• Accedere a Utenti >> Elenco utenti. Fare clic su Aggiungi utente pulsante.



• Registrazione in blocco degli utenti Scarica il formato csv di esempio dalla nostra console e modifichiamo questo file csv seguendo le istruzioni.



• Per caricare in blocco gli utenti, seleziona il file e assicurati che sia in formato file .csv separato da virgole quindi fare clic su Carica.



• Dopo aver caricato correttamente il file csv, vedrai un messaggio di successo con un link.
• Cliccando su quel link vedrai l'elenco degli utenti a cui inviare la mail di attivazione. Seleziona gli utenti a cui inviare la mail di attivazione e clicca su Invia mail di attivazione. Una mail di attivazione verrà inviata agli utenti selezionati.

• Fare clic su Provider di identità >> Aggiungi provider di identità nel menu a sinistra della dashboard



• In Scegli provider di identità, seleziona Directory AD/LDAP dal menu a discesa.



• Quindi cerca Annuncio pubblicitario/LDAP e fare clic su di esso.



• MEMORIZZA LA CONFIGURAZIONE LDAP IN MINIORANGE: Scegli questa opzione se desideri mantenere la tua configurazione in miniOrange. Se Active Directory è protetto da un firewall, dovrai aprirlo per consentire le richieste in arrivo al tuo dominio Active Directory.
• MEMORIZZA LA CONFIGURAZIONE LDAP IN LOCALE: Scegli questa opzione se vuoi mantenere la tua configurazione nei tuoi locali e consentire l'accesso ad AD solo all'interno dei locali. Dovrai scaricare e installare miniGateway arancione presso la vostra sede.




• Inserisci AD/LDAP Display Nome and Identifier nome.
• Seleziona Tipo di directory as Active Directory.
• Inserisci l'URL o l'indirizzo IP del server LDAP rispetto a LDAP URL del server campo.
• Clicca sul Test di connessione pulsante per verificare se la connessione con il tuo Server LDAP.



• In Active Directory, vai alle proprietà dei contenitori/OU utente e cerca Attributo Nome distintoL'account di associazione deve disporre dei privilegi di lettura minimi richiesti in Active Directory per consentire le ricerche nelle directory. Se il caso d'uso prevede il provisioning (ad esempio, la creazione, l'aggiornamento o l'eliminazione di utenti o gruppi), all'account devono essere concesse anche le autorizzazioni di scrittura appropriate.



• Inserisci la password valida dell'account Bind.
• Clicca sul Test delle credenziali dell'account Bind pulsante per verificare le credenziali LDAP Bind per la connessione LDAP.



• Base di ricerca è la posizione nella directory in cui inizia la ricerca di un utente. Lo otterrai dallo stesso posto in cui hai ottenuto il tuo Distinguished name.



• Seleziona un filtro di ricerca adatto dal menu a discesa. Se utilizzi Utente nel filtro di gruppo singolo or Utente nel filtro multigruppo, sostituire ilgruppo-dn> nel filtro di ricerca con il nome distinto del gruppo in cui sono presenti i tuoi utenti. Per utilizzare il filtro di ricerca personalizzato seleziona "Scrivi il tuo filtro personalizzato" opzione e personalizzarla di conseguenza.



• Clicca sul Avanti pulsante, o vai al Opzioni Login scheda.
• È inoltre possibile configurare le seguenti opzioni durante la configurazione di AD. Abilita Attiva LDAP per autenticare gli utenti da AD/LDAP. Fare clic su Avanti pulsante per aggiungere l'archivio utente.




Ecco l'elenco degli attributi e cosa fa quando li abilitiamo. Puoi abilitarli/disabilitarli di conseguenza.

Attributo	Descrizione
Attiva LDAP	Tutte le autenticazioni utente verranno eseguite con credenziali LDAP se lo attivi
Autenticazione di fallback	Se le credenziali LDAP falliscono, l'utente verrà autenticato tramite miniOrange
Abilita l'accesso dell'amministratore	Abilitando questa opzione, il tuo accesso di amministratore miniOrange si autentica tramite il tuo server LDAP
Mostra IdP agli utenti	Se abiliti questa opzione, questo IdP sarà visibile agli utenti
Sincronizza gli utenti in miniOrange	Gli utenti verranno creati in miniOrange dopo l'autenticazione con LDAP



• Clicca sul Avanti pulsante, o vai al Attributi scheda.

Mappatura degli attributi da AD

• Per impostazione predefinita, sono configurati nome utente, nome, cognome ed email. Scorri verso il basso e clicca su Salva pulsante. Per recuperare attributi aggiuntivi da Active Directory, abilitare Invia attributi configuratiSul lato sinistro, inserisci il nome che desideri rilasciare alle applicazioni. Sul lato destro, inserisci il nome dell'attributo da Active Directory. Ad esempio, se desideri recuperare l'attributo aziendale da Active Directory e inviarlo come organizzazione alle applicazioni configurate, inserisci quanto segue:

  Nome attributo inviato a SP = organizzazione
  Nome attributo da IDP = azienda






• Clicca sul Avanti pulsante, o vai al vettovagliamento scheda.

Importazione e provisioning degli utenti da AD

• Se si desidera impostare il provisioning, clicca qui. per informazioni dettagliate. Per ora salteremo questo passaggio.

Importa i criteri password da Active Directory

• Se desideri importare i criteri password di Active Directory in miniOrange, clicca qui. per informazioni dettagliate. Per ora salteremo questo passaggio.

Connessioni di prova

• Vedrai un elenco di directory sotto Provider di identitàDal menu a discesa, seleziona Directory AD/LDAP, cerca la directory configurata, fai clic sui tre punti accanto ad essa e seleziona Test di connessione.



• Verrà visualizzata una finestra pop-up che ti chiederà di immettere un nome utente e una password per verificare la configurazione LDAP.



• On di risposte positive connessione con il server LDAP, viene visualizzato un messaggio di successo.

Mappatura degli attributi di prova

• Vedrai un elenco di directory sotto Provider di identitàDal menu a discesa, seleziona Directory AD/LDAP, cerca la directory configurata, fai clic sui tre punti accanto ad essa e seleziona Mappatura degli attributi di prova.



• Appare un pop-up in cui inserire un nome utente e cliccare Test.



• Verrà visualizzato il risultato della mappatura degli attributi del test.

La configurazione di Impostazione AD come directory esterna è completata.

Nota: Segnala il nostro guida per configurare LDAP sul server Windows.

miniOrange si integra con varie fonti utente esterne, come directory, provider di identità, ecc.

• Okta
• ADFS
• Ping
• AWS Cognito
• Molti altri

Non riesci a trovare il tuo IdP o hai bisogno di aiuto per configurarlo?

Contattaci o inviare un'e-mail a idpsupport@xecurify.com e ti aiuteremo a configurarlo in pochissimo tempo.

5. Autenticazione adattiva con Pingboard

A. Limitazione dell'accesso a Pingboard con configurazione IP

Per migliorare la sicurezza e la funzionalità del Single Sign-On (SSO) di Pingboard, è possibile utilizzare l'autenticazione adattiva con tale sistema. È possibile consentire l'accesso SSO a un determinato indirizzo IP all'interno di un intervallo specifico oppure negarlo in base alle proprie esigenze, e si può anche richiedere all'utente di verificare la propria autenticità. L'autenticazione adattiva gestisce l'autenticazione dell'utente in base a diversi fattori, come ID dispositivo, posizione, orario di accesso, indirizzo IP e molti altri.

È possibile configurare l'autenticazione adattiva con blocco IP nel modo seguente:

• Login per Console self-service >> Autenticazione adattiva >> Aggiungi criterio.



• Aggiungere un Nome della politica per la tua politica di autenticazione adattiva.
• Seleziona Azione per il cambiamento del comportamento, clicca il Modifica collegamento, quindi scegliere l'appropriato Action and Tipo di sfida per l'utente di quella sezione.





Azione per le opzioni di modifica del comportamento:




Attributo	Descrizione
Consentire	Consentire agli utenti di autenticarsi e utilizzare i servizi se la condizione di autenticazione adattiva è vera.
Rifiuta	Nega le autenticazioni utente e l'accesso ai servizi se la condizione di autenticazione adattiva è vera.
La sfida	Prova gli utenti con uno dei tre metodi indicati di seguito per verificare l'autenticità dell'utente.




Opzioni tipo sfida:




Attributo	Descrizione
Fattore secondo utente	L'utente deve autenticarsi utilizzando il secondo fattore che ha scelto o assegnato, ad esempio OTP tramite SMS Notifica PUSH OTP tramite e-mail e, molti di più.
KBA (autenticazione basata sulla conoscenza)	Il sistema chiederà all'utente di rispondere a 2 delle 3 domande configurate nella sua console self-service. Solo dopo aver risposto correttamente a entrambe le domande, l'utente potrà procedere.
OTP tramite e-mail alternativa	L'utente riceverà un OTP all'indirizzo email alternativo configurato tramite la Self Service Console. Una volta fornito l'OTP corretto, potrà procedere.



• Ora cliccate Modifica opzione dal Configurazione IP sezione per configurare un intervallo IP personalizzato.
• Seleziona Aggiungi IP se l'Utente Indirizzo IP non è presente nell'elenco configurato.
• Specifica l'indirizzo IP che desideri inserire nella whitelist. Per gli intervalli IP diversi da quello inserito nella whitelist, puoi selezionare l'impostazione sopra indicata.
• Scegli se consentire o negare selezionando l'opzione corrispondente dal menu a discesa.
• Se un utente tenta di accedere con l'indirizzo IP presente nella whitelist, l'accesso gli sarà sempre consentito.
• Supportiamo l'intervallo di indirizzi IP in tre formati, ovvero: IPv4, CIDR IPv4 e CIDR IPv6Puoi scegliere quello più adatto a te dal menu a discesa.
• È possibile aggiungere più IP o intervalli IP facendo clic su + Aggiungi IP pulsante.



• Una volta apportate le modifiche, scorrere fino alla fine e fare clic su Salva.

B. Autenticazione adattiva con limitazione del numero di dispositivi

Utilizzando l'Autenticazione adattiva puoi anche limitare il numero di dispositivi su cui l'utente finale può accedere ai Servizi. Puoi consentire agli utenti finali di accedere ai servizi su un numero fisso di dispositivi. Gli utenti finali saranno in grado di accedere ai servizi forniti da noi su questo numero fisso di dispositivi.

È possibile configurare l'autenticazione adattiva con restrizione dispositivo nel modo seguente


• Login per Console self-service >> Autenticazione adattiva >> Aggiungi criterio.
• Aggiungere un Nome della politica per la tua politica di autenticazione adattiva.
• Seleziona la tua Azione per il cambiamento del comportamento and Tipo di sfida per l'utente dal Azione per il cambiamento del comportamento Sezione.



• Sulla Aggiungi criterio scheda, vai al Configurazione del dispositivo sezione e fare clic sul Modifica pulsante.
• Inserire il Numero di registrazioni di dispositivi consentite in base alle tue esigenze. (Si consigliano 2-3 dispositivi.)
• Scegli Action se il numero di dispositivi è stato superato (ciò sovrascriverà l'impostazione per Azione per il cambiamento del comportamento.)
• La sfida: L'utente deve verificare se stesso utilizzando uno dei tre metodi menzionati nella tabella in step 5.1
• Rifiuta : Nega agli utenti l'accesso al sistema
• Consentire a tutti Restrizione dispositivi mobili per bloccare gli accessi da dispositivi mobili. In questo modo, tutti i tentativi di accesso da dispositivi mobili verranno rifiutati.
• Consentire a tutti Restrizione basata sull'indirizzo MAC se si desidera limitare l'accesso in base all'indirizzo MAC del dispositivo.



• Scorri fino alla fine della pagina e fai clic su Salva.

C. Aggiungi la policy di autenticazione adattiva a Pingboard

• Login per Console self-service >> Criteri >> Aggiungi criterio di accesso.
• Fare clic su Modifica opzione icona per i criteri predefiniti delle app.



• Imposta la tua politica in Nome della politica e seleziona Password come Primo fattore.
• Consentire a tutti Autenticazione adattiva nella pagina Modifica policy di accesso e seleziona l'opzione richiesta metodo di restrizione come opzione.
• Da Seleziona la politica di accesso seleziona dal menu a discesa la policy creata nel passaggio precedente e clicca su Invia.

D. Messaggio di notifica e avviso.

Questa sezione gestisce le notifiche e gli avvisi relativi all'Autenticazione adattiva. Fornisce le seguenti opzioni:

• Ricevi avvisi via e-mail se gli utenti accedono da dispositivi o posizioni sconosciuti: gli amministratori devono abilitare questa opzione per abilitare la ricezione di avvisi per diverse opzioni di avviso.
  
  
  

Opzione	Descrizione
Gli utenti accedono da indirizzi IP, dispositivi o posizioni sconosciuti	Abilitando questa opzione è possibile effettuare l'accesso da indirizzi IP o dispositivi sconosciuti e persino da posizioni diverse.
Il numero di registrazioni di dispositivi ha superato il conteggio consentito	Questa opzione ti consentirà di registrare più dispositivi rispetto a quelli che hai numerato.
Sfida completata e dispositivo registrato	Abilitando questa opzione è possibile inviare un avviso via e-mail quando un utente finale completa una sfida e registra un dispositivo.
Sfida completata ma dispositivo non registrato	Abilitando questa opzione è possibile inviare un avviso via e-mail quando un utente finale completa una sfida ma non registra il dispositivo.
Sfida fallita	Abilitando questa opzione è possibile inviare un avviso via e-mail quando un utente finale non riesce a completare la sfida.




• La sottosezione successiva è Invia avvisi via email che ci consente di abilitare o disabilitare gli avvisi per gli amministratori e gli utenti finali. Per abilitare gli avvisi per gli amministratori, puoi abilitare Gli amministratori casella di controllo.



• Nel caso in cui desideri che più account amministratore ricevano avvisi, puoi abilitare l'opzione per l'amministratore e quindi immettere le email dell'amministratore separate da una ',' nel campo di input accanto a Email dell'amministratore per ricevere gli avvisi etichetta. Per abilitare gli avvisi per gli utenti finali, è possibile abilitare l' Utente finale casella di controllo.
• Nel caso in cui si desideri personalizzare il messaggio di rifiuto che l'utente finale riceve nel caso in cui la sua autenticazione venga negata a causa di una politica adattiva, è possibile farlo inserendo il messaggio all'interno Nega messaggio casella di testo.

Come aggiungere un dispositivo attendibile

• Quando l'utente finale accede alla console self-service dopo la policy per restrizione del dispositivo è attivo, gli viene offerta la possibilità di aggiungere il dispositivo corrente come dispositivo attendibile.

Riferimenti esterni

• Accesso singolo (SSO)
• Che cos'è il Single Sign-On (SSO) e come funziona?
• Altre integrazioni