Accedi  
Ciao!

Ho bisogno di aiuto? Siamo proprio qui!

Icona di supporto
Supporto e-mail miniOrange
il successo

Grazie per la tua richiesta. Il nostro team ti contatterà presto.

Se non ricevi nostre notizie entro 24 ore, non esitare a inviare un'e-mail di follow-up a info@xecurify.com

Risultati di Ricerca:

×

Single Sign-On (SSO) per le app che utilizzano WordPress come IDP

Come possiamo autenticarci utilizzando WordPress come fornitore di identità?

L'autenticazione per WordPress è un processo che consente agli utenti di accedere alle proprie applicazioni e siti web esterni utilizzando le credenziali del proprio sito WordPress. miniOrange permette WordPress agire come un IDP (Identity Provider) che consente agli utenti di raggiungere Accesso singolo (SSO) in più applicazioni e siti web. Gli utenti si autenticheranno tramite le proprie credenziali WordPress una sola volta e potranno accedere a tutte le applicazioni esterne.

Il database degli utenti di WordPress è collegato a miniOrange come archivio utenti per fornire l'SSO (Single Sign-On) verso applicazioni esterne con i massimi livelli di sicurezza. Ciò è reso possibile dal plugin API Authentication Source per WordPress, che offre funzionalità di accesso tramite endpoint API.

Caratteristiche del plugin di autenticazione API per WordPress:

  • Assicurate SSO per più applicazioni e siti web che utilizzano le credenziali di un singolo sito WordPress.
  • Non è necessario migrare gli utenti da WordPress a un sistema di terze parti.
  • Creazione utente al volo: creazione automatica degli utenti al momento dell'SSO e sincronizzazione automatica dei dettagli degli utenti.
  • Supporto di protocolli di autenticazione multipli: SAML, OAuth, OpenID, JWT ecc.

Ottieni assistenza gratuita per l'installazione


miniOrange offre assistenza gratuita tramite una chiamata di consulenza con i nostri ingegneri di sistema per configurare SSO per diverse app utilizzando WordPress come IDP nel tuo ambiente con Prova gratuita 30-day.

Per questo, devi solo inviarci un'e-mail a idpsupport@xecurify.com per prenotare un posto e ti aiuteremo in pochissimo tempo.



Segui la guida passo passo fornita di seguito per accedere con Wordpress come IdP

1. Configura il plugin API Source per WordPress

  • Contattaci per configurare e ottenere il file Zip per Codice sorgente dell'API di autenticazione Plugin per WordPress.
  • Accedi alla dashboard di amministrazione di WordPress per installare e attivare il plugin Authentication API Source per WordPress.
  • Dopo aver installato il plugin, apri le impostazioni del plugin Authentication API Source per WordPress e annota il URL di autenticazione utente e Parametro di autenticazione utente nella sezione credenziali API.

    autenticazione: credenziali API per WordPress
  • Seleziona gli attributi che desideri rendere disponibili alla tua applicazione durante l'autenticazione API per WordPress.

    Autenticazione API per la dichiarazione di rilascio degli attributi di WordPress
  • Clicca sul Salva pulsante per salvare le configurazioni API e procedere con l'autenticazione tramite WordPress.

2. Imposta WordPress come fonte di autenticazione in miniOrange

  • Accedi al tuo miniOrange Console di amministrazione e vai a Provider di identità >> Aggiungi provider di identità.
    • Vai a Provider di identità e clicca su Aggiungi provider di identità

  • Sotto il Scegli il fornitore di identità, selezionare API dal Tutti cadere in picchiata.
    • Seleziona API dal menu a discesa Tutti i tipi

  • Cercare WordPress e selezionalo dall'elenco.
    • Passa alla scheda di configurazione API e seleziona Wordpress

  • Fornire un nome identificativo API.
  • Sotto il Configurazione di autenticazione sezione, incolla il URL di autenticazione utente and Parametri di autenticazione utente che hai copiato dalla sezione Credenziali API nel passaggio 1 precedente.
    • parametri di autenticazione API per l'autenticazione degli utenti sorgente di WordPress

  • Fornire il nome dell'intestazione come Content-Type e il suo valore come application / json.
  • Seleziona il metodo come POST.
  • Per la Criteri di successo, puoi selezionare una qualsiasi opzione dal menu a discesa e inserire i valori come:

      • 1. è uguale a: È possibile immettere la chiave di stato come 'stato' e valore di stato 'SUCCESSO'.

      2. non è vuoto: È possibile immettere la chiave di stato come 'Messaggio'.

      3. contiene un indirizzo email valido: È possibile immettere la chiave di stato come 'E-mail'.

  • Per il messaggio di stato di errore, puoi inserire errore come valore.
  • Clicca sul Salva pulsante.
  • Per controllare la tua configurazione, clicca su tre punti e seleziona API di autorizzazione al test.
    • Test dell'API di autorizzazione di WordPress

  • Immetti le tue credenziali WordPress quando richiesto e dovresti vedere un messaggio di conferma dell'operazione.

3. Configura la tua applicazione in miniOrange


Nota:

Se hai già configurato la tua applicazione in miniOrange puoi saltare i passaggi successivi.




  • In Scegli applicazione, seleziona SAML/WS-FED dal Tutte le applicazioni cadere in picchiata.
    • Seleziona l'applicazione SAML

  • Nel passaggio successivo, cerca la tua candidatura dall'elenco. Se la tua candidatura non viene trovata, cerca costume e puoi configurare la tua app tramite App SAML personalizzata. Fare clic su Invia richiesta nuova app se desideri inviare una nuova richiesta di applicazione SSO.
    • Cerca applicazione personalizzata

  • Sotto il Basic scheda, è possibile configurare le seguenti impostazioni.
    Nome visualizzato (obbligatorio) Inserire il Nome visualizzato per la tua app secondo la tua preferenza.
    ID entità SP o emittente (obbligatorio) Viene utilizzato per identificare la tua app in base alla richiesta SAML ricevuta da SP. L'ID entità SP o l'emittente possono essere in formato URL o stringa.
    URL ACS o URL del servizio consumatori di asserzioni (obbligatorio) Definisce dove inviare l'asserzione SAML dopo l'autenticazione. Assicurarsi che l'URL ACS sia nel formato: https://www.domain-name.com/a/[domain_name]/acs
    URL del pubblico Come suggerisce il nome, specifica il pubblico valido per l'asserzione SAML. Di solito è uguale all'ID entità SP. Se l'URL del pubblico non è specificato separatamente da SP, lasciarlo vuoto.
    URL di disconnessione singolo L'URL in cui desideri che venga eseguita la richiesta di disconnessione e dove i tuoi utenti devono essere reindirizzati dopo una singola disconnessione dalle applicazioni.
    Carica il logo dell'app Carica un logo per la tua applicazione.
    • Nelle impostazioni di base, immettere i dettagli

  • Clicchi Avanti per andare al impostazioni avanzate. Configurare le seguenti impostazioni.
    Richiesta firmata Abilita questa opzione per firmare la richiesta SAML inviata da SP. Fornisci il certificato X509 o carica il certificato.
    Risposta al segnale Abilitare questa opzione se si desidera che l'intera risposta SAML venga firmata.
    Affermazione del segno Abilitare questa opzione se si desidera che venga firmata solo l'asserzione all'interno della risposta SAML.
    Algoritmo della firma Selezionare l'algoritmo che verrà utilizzato per firmare la richiesta/risposta SAML.
    Criptare l'asserzione Selezionare questa opzione se si desidera crittografare l'asserzione nella risposta SAML e fornire l'algoritmo e il certificato per la crittografia.
    Stato di collegamento Inserisci l'URL a cui desideri che l'utente venga reindirizzato dopo aver effettuato l'accesso all'applicazione.
    Sostituisci lo stato del relè Abilitare questa opzione per ignorare lo stato predefinito del relè SP.
    Risposta di disconnessione vincolante Una Logout Response viene inviata in risposta a una Logout Request da SP. Potrebbe essere inviata da un Identity Provider o da un Service Provider.
    Richiesta di associazione di disconnessione avviata dall'IdP: Una Logout Response viene inviata in risposta a una Logout Request dalla dashboard IdP. Potrebbe essere inviata da un Identity Provider o da un Service Provider.
    • HTTP Redirect - Una risposta di disconnessione con la sua firma
    • HTTP POST - Una risposta di disconnessione con la firma incorporata
    Periodo di validità dell'autenticazione SAML Il tempo per il quale l'autenticazione dovrebbe essere considerata valida e l'utente dovrebbe essere in grado di eseguire SSO. Dopodiché, l'utente dovrà effettuare nuovamente l'accesso.
    Abilita identità condivisa Questa funzionalità consente di controllare se un utente condiviso può accedere o meno a un'applicazione specifica.
    • Passa alle impostazioni avanzate

  • Clicchi Avanti per andare al Opzioni Login scheda. Qui puoi configurare le seguenti impostazioni:
    Fornitore di identità primario Seleziona la fonte di identità da cui vuoi che avvenga l'autenticazione. Vedrai l'elenco di tutte le fonti configurate.
    Forza autenticazione Abilitare questa opzione per imporre l'autenticazione a ogni richiesta di accesso all'applicazione.
    Mostra sulla dashboard dell'utente finale Disattivare questa opzione se non si desidera che l'app sia visibile a tutti gli utenti nella dashboard dell'utente finale.
    • Vai alle Opzioni di accesso e clicca sul pulsante Avanti

  • Clicchi Avanti per andare al Attributi scheda. Qui puoi aggiungere e configurare gli attributi da inviare all'app.
    NomeID NameID è l'identificativo univoco dell'utente autenticato incluso nell'asserzione SAML. Consente al fornitore di servizi di riconoscere l'utente e associarlo a un account. Generalmente, NameID è un nome utente o un indirizzo email.
    Formato NameID Definisce il tipo di identificatore utilizzato nel NameID (ad esempio, email, persistente, temporaneo) in modo che l'SP possa mappare correttamente l'utente. Se l'SP non richiede un formato specifico, l'IdP può lasciarlo non specificato e utilizzare un formato predefinito.
    Aggiungi formato nome Il formato del nome definisce come i nomi degli attributi vengono rappresentati in un'asserzione SAML (ad esempio, come semplici stringhe o URI). Aiuta l'SP a interpretare correttamente la denominazione degli attributi e garantisce la coerenza tra IdP e SP.
    Abilita attributi multivalore

    Abilitato: le virgole (,) e i punti e virgola (;) vengono trattati come separatori, quindi l'attributo viene suddiviso in un elenco pulito. Esempio: ruoli = ['admin', 'editor', 'viewer'].

    Disabilitato: virgole e punti e virgola non vengono trattati come separatori, quindi l'attributo rimane come un'unica stringa combinata. Esempio: ruoli = "admin;editor;viewer".
    Mappatura degli attributi È possibile aggiungere attributi da inviare in asserzione SAML a SP. Gli attributi includono gli attributi del profilo utente, come nome, cognome, nome completo, nome utente, indirizzo email, attributi del profilo personalizzati, gruppi di utenti, ecc.
    • Passare alla scheda Attributi e mappare gli attributi

  • Clicchi Avanti per andare al Politiche scheda. Devi Salva l'applicazione prima di configurare la policy per l'applicazione.
    • Salva l'applicazione nella sezione Politiche

  • Dopo aver salvato l'applicazione, è possibile configurare i criteri per tale applicazione.
    • Vai a Criteri e Assegna gruppo

  • Clicca sul Assegna gruppo pulsante. Un nuovo Configurare l'assegnazione del gruppo si aprirà la scheda modale.
    • Assegna gruppo: Seleziona i gruppi che desideri collegare all'applicazione. Puoi selezionare fino a 20 gruppi alla volta.
      • Configurare l'assegnazione del gruppo

    • Se devi creare un nuovo gruppo, clicca su Aggiungi nuovo gruppo pulsante.
    • Inserire il Nome gruppo e cliccare su Crea gruppo.
      • Crea un nuovo gruppo

    • Fare clic su Avanti.
    • Assegnazione delle policy: Aggiungi i criteri richiesti ai gruppi selezionati. Inserisci i seguenti dettagli:
    • Primo fattore: Seleziona il metodo di accesso dal menu a discesa.
      • Se si seleziona Password come metodo di accesso, puoi abilitare Autenticazione a due fattori (MFA) and Autenticazione adattiva, se necessario.
      • Se si seleziona Senza password come metodo di accesso, puoi abilitare Autenticazione a due fattori (MFA) se necessario.
    • Aggiungi dettagli sulla politica di accesso

  • Fare clic su SalvaVerranno create policy per tutti i gruppi selezionati.
  • Una volta aggiunta correttamente, la policy verrà visualizzata nell'elenco.
    • Aggiungi più criteri di accesso

  • Nel Metadati scheda, fare clic su una delle due schede:
    • Fare clic su miniOrange come Idp Se vuoi utilizzare miniOrange come User-Store, le tue identità utente verranno memorizzate in miniOrange.
    • Fare clic su Fonte esterna come IdP Se vuoi autenticare i tuoi utenti tramite qualsiasi identità esterna Provider come Active Directory, Okta, OneLogin, ecc. o qualsiasi altro IDP personalizzato.
      • Seleziona miniOrange come IdP

      Seleziona la fonte esterna come IdP

    • Puoi osservare le Scarica metadati, scarica certificato, copia URL metadati o copia certificato in base alle vostre esigenze.
    • Allo stesso modo, è possibile ottenere i valori di URL di accesso SAML, URL di disconnessione SAML, ID entità IDP o emittente, URL di disconnessione IDP, URL metadati da qui in base alle tue esigenze di metadati.
  • In Scegli applicazione, seleziona OAuth/OpenID dal Tutte le applicazioni cadere in picchiata.
    • Seleziona OAuth/OpenID come tipo di app

  • Cerca la tua candidatura dall'elenco. Se la tua candidatura non viene trovata, cerca OAuth e puoi configurare la tua app tramite Connessione OAuth2/OpenID.
    • Cerca app personalizzata OAuth

  • Nel Basic scheda, inserisci i seguenti dettagli:
    Display Nome Inserire il Display Nome (vale a dire il nome di questa applicazione).
    URL di reindirizzamento Inserire il URL di reindirizzamentoAssicurati che segua questo formato: https://<mycompany.domain-name.com>
    ID cliente Generato automaticamente. Fai clic sull'icona di copia per utilizzarlo nella tua applicazione.
    Client Secret Client Secret è nascosto per impostazione predefinita. Fai clic sull'icona a forma di occhio per visualizzarlo e usa l'icona degli appunti per copiarlo.
    Oggetto (facoltativo) Selezionare un attributo dall'elenco a discesa.
    Descrizione (facoltativa) Aggiungere una descrizione se necessario.
    Carica il logo dell'app (facoltativo) Carica un logo per l'app (facoltativo). L'app verrà visualizzata nella dashboard dell'utente finale con il logo configurato qui.
  • Fare clic su Salva.
    • Inserisci i dettagli dell'app OAuth e fai clic sul pulsante Salva

  • Sarai reindirizzato al Politiche .
    • Vai a Criteri e Aggiungi criterio

  • Clicca sul Assegna gruppo pulsante. Un nuovo Configurare l'assegnazione del gruppo si aprirà la scheda modale.
    • Assegna gruppo: Seleziona i gruppi che desideri collegare all'applicazione. Puoi selezionare fino a 20 gruppi alla volta.
      • Configurare l'assegnazione del gruppo

    • Se devi creare un nuovo gruppo, clicca su Aggiungi nuovo gruppo pulsante.
    • Inserire il Nome gruppo e cliccare su Crea gruppo.
      • Crea un nuovo gruppo

    • Fare clic su Avanti.
    • Assegnazione delle policy: Aggiungi i criteri richiesti ai gruppi selezionati. Inserisci i seguenti dettagli:
    • Primo fattore: Seleziona il metodo di accesso dal menu a discesa.
      • Se si seleziona Password come metodo di accesso, puoi abilitare Autenticazione a due fattori (MFA) and Autenticazione adattiva, se necessario.
      • Se si seleziona Senza password come metodo di accesso, puoi abilitare Autenticazione a due fattori (MFA) se necessario.
    Aggiungi dettagli sulla politica di accesso

  • Fare clic su SalvaVerranno create policy per tutti i gruppi selezionati.
  • Una volta aggiunta correttamente, la policy verrà visualizzata nell'elenco.
    • Criterio aggiunto correttamente

  • Puoi andare al Filtri scheda per modificare altre impostazioni, come il tempo di scadenza per i token di accesso, JWT e aggiornamento.
    • Scadenza del token di accesso: Per quanto tempo il token di accesso fornito deve essere valido dalla creazione. [In ore] Dopo la scadenza, deve essere generato un nuovo token di accesso.
    • Scadenza del token JWT: Per quanto tempo il token JWT generato dovrebbe essere valido. [ In ore ]
    • Scadenza del token di aggiornamento: Per quanto tempo il token di aggiornamento generato deve essere valido. [In giorni] Sarà necessario generare un nuovo token di aggiornamento dopo il numero di giorni indicato.
    • Abilita identità condivisa: Questa funzionalità consente di controllare se un utente condiviso può accedere o meno a un'applicazione specifica.
    Impostazioni di scadenza del token della scheda avanzata

  • Passare alla Opzioni di accesso scheda.
    Fornitore di identità primario Seleziona la fonte ID predefinita dal menu a discesa per l'applicazione. Se non è selezionata, gli utenti visualizzeranno la schermata di accesso predefinita e potranno scegliere il proprio ID. [In questo caso, scegli miniOrange.]
    Flussi SSO Selezionare il flusso SSO desiderato dal menu a discesa, ad esempio miniOrange come IDP, miniOrange come Broker, o miniOrange come Broker con Discovery Flow.
    Mostra sulla dashboard dell'utente finale Abilita questa opzione se vuoi mostrare questa app nella dashboard dell'utente finale.
    Forza autenticazione Se si abilita questa opzione, gli utenti dovranno effettuare l'accesso ogni volta, anche se la loro sessione esiste già.
    URI di disconnessione consentiti Fai clic sul link "URI di disconnessione consentiti" per aggiungere un elenco di URI di reindirizzamento post-disconnessione. Gli utenti verranno reindirizzati a uno di questi URI dopo aver effettuato correttamente la disconnessione da miniOrange.
    Disconnessione singola abilitata Abilitare questa opzione per inviare richieste di disconnessione ad altre applicazioni quando si esegue la disconnessione da questa app.
    URL di accesso

    È possibile includere attributi utente nell'URL di accesso utilizzando segnaposto come {{username}}, {{primaryEmail}}, {{customAttribute1}}, ecc. Questi segnaposto verranno sostituiti dinamicamente con i valori utente effettivi durante il flusso SSO avviato dall'IdP.

    È possibile generare un URL utilizzando i seguenti attributi: username, primaryEmail, alternateEmail, fname, lname, primaryPhone e customAttribute1.

    L'URL potrebbe essere così login.com/{{username}}/?primaryEmail={{primaryEmail}}

  • Formato dei parametri di query: https://<sso-url>>?username={{username}} https://<sso-url>>?username={{username}}&email={{primaryEmail}}
  • Formato dei parametri del percorso: https://<sso-url>>/{{customAttribute1}}/{{customAttribute2}}/?username={{username}}
    		•
    • Vai alla scheda Opzioni di accesso

  • Passare alla Attributi scheda.
    • Abilita l'opzione Attributi multivalore:
      • Abilita attributi multivalore

    • Quando questa opzione è abilitata, sia le virgole (,) che i punti e virgola (;) vengono trattati come delimitatori. Qualsiasi attributo contenente questi caratteri verrà automaticamente suddiviso e convertito in un attributo multivalore in base al loro posizionamento.
    • Questa funzionalità garantisce che gli attributi con più valori vengano consegnati in un formato strutturato anziché come una singola stringa concatenata.
    • Per esempio: quando questa opzione è abilitata, gli attributi appariranno come un elenco come ruoli = ['amministratore', 'editor', 'visualizzatore'] invece di una singola stringa come ruoli = "amministratore;editor;visualizzatore".
    • Quando questa opzione è disabile, gli attributi memorizzati come una singola stringa concatenata con virgole (,) e punti e virgola (;) vengono trattati nel modo in cui sono memorizzati anziché in un elenco strutturato.
    • In questo caso, le virgole (,) e i punti e virgola (;) non vengono trattati come separatori, quindi i valori rimangono combinati in un'unica stringa.
    • Ottenere i dettagli richiesti dell'app / Aggiornare le informazioni dell'app:
    • Vai Apps sezione dal menu laterale. Dall'elenco delle app configurate, individua l'app che hai creato. Fai clic sull'icona a tre punti accanto all'app e seleziona Modifica opzione.
      • Modifica applicazione

    • Puoi modificare uno qualsiasi dei dettagli sopra menzionati se lo desideri.
      • Endpoint OAuth

    • Endpoint OAuth:
      • Endpoint di autorizzazione [ https://<your-company-name>.xecurify.com/moas/idp/openidsso ]
        • Questo endpoint viene utilizzato per autenticare l'utente finale con le sue credenziali miniOrange. Questo autentica gli utenti e restituisce una risposta al redirect_url in base ai parametri passati nella richiesta. [Principalmente il codice di autorizzazione]
        • Questo endpoint accetta i seguenti parametri:
          • ID cliente: client_id dell'applicazione come configurato nei passaggi precedenti
          • Redirect_uri: L'URL di callback in cui si desidera restituire la risposta
          • scopo: ambito di autorizzazione o livello di accesso, puoi inviare uno o più ambiti separati da '+'. ad esempio "email+openid". Supportiamo i seguenti ambiti:
            • E-mail: restituisce l'indirizzo email dell'utente nella risposta
            • Profilo: restituisce le informazioni del profilo utente nella risposta
            • OpenID: restituisce l'id_token contenente i dettagli del profilo utente.
        • Restituisce il codice di autorizzazione e i parametri di stato nella risposta.
      • Punto finale del token [ https://<your-company-name>.xecurify.com/moas/rest/oauth/token ]
        • Questo endpoint restituisce quanto segue:
        • Id_token Contiene attributi e firme utente che devono essere convalidati con il certificato pubblico fornito.
          • iss https URI che indica l'emittente
          sotto identificativo dell'utente presso l'emittente
          aud client_id del client richiedente
          nonce il valore del parametro nonce ricevuto dal client
          exp tempo di scadenza di questo token
          iat momento in cui è stato emesso questo token
          tempo di autenticazione ora in cui è avvenuta l'autenticazione
          a_hash la prima metà di un hash del token di accesso
        • Token di accesso: Valido per 1 ora e può essere utilizzato per accedere alle informazioni dell'utente o ad altri endpoint fino alla scadenza.
        • Questo endpoint accetta i seguenti parametri nella richiesta:
          • ID cliente: client_id dell'applicazione come configurato nei passaggi precedenti.
          • Segreto del cliente: client_secret dell'applicazione come configurato nel passaggio precedente.
          • Redirect_url: L'URL di callback in cui deve essere pubblicata la risposta.
          • Codice: Codice di autorizzazione ricevuto dall'endpoint di autorizzazione.
          • Tipo_concessione: La concessione OAuth che desideri utilizzare per la richiesta.
      • Endpoint informazioni utente [ https://<your-domain>.xecurify.com/moas/api/oauth/getuserinfo ] Richiesto solo in caso di OAuth
        • Questa API può essere utilizzata per recuperare le informazioni del profilo utente con un token di accesso assegnato all'utente. Una richiesta GET viene inviata all'endpoint delle informazioni utente.
        • Per ricevere i dettagli dell'utente è necessario inviare il token di accesso nell'intestazione dell'autorizzazione.
      • Endpoint di disconnessione singola OpenID [ https://<your-domain>.xecurify.com/moas/idp/oidc/logout?post_logout_redirect_uri ]:
        • Questo endpoint rimuove la sessione utente attiva dall'IDP miniOrange e reindirizza l'utente all'URL indicato nel parametro post_logout_url.
      Visualizza gli endpoint OAuth

  • In Scegli applicazione, seleziona J.W.T. dal Tutte le applicazioni cadere in picchiata.
    • Seleziona l'app JWT dal menu a discesa

  • Cerca la tua candidatura dall'elenco. Se la tua candidatura non viene trovata, cerca jwt e puoi configurare la tua app tramite Applicazione JWT.
    • Cerca applicazione JWT

  • Nell'applicazione è possibile configurare i seguenti dettagli:
    Display Nome Inserire il Display Nome (ovvero il nome di questa applicazione)
    URL di reindirizzamento Inserire il URL di reindirizzamento (ad esempio, l'endpoint in cui vuoi inviare/pubblicare il tuo token JWT). Puoi aggiungere più URL di reindirizzamento separandoli con un ';'. Ad esempio abc.com;xyz.com
    ID cliente Migliori ID cliente viene visualizzato nel campo sottostante. Fai clic sull'icona degli appunti per copiarlo.
    Client Secret Client Secret È nascosto per impostazione predefinita. Fai clic sull'icona a forma di occhio per visualizzarlo e usa l'icona degli appunti per copiarlo. Questo viene utilizzato nell'algoritmo di firma HS256 per generare la firma.
    Descrizione (facoltativa) Aggiungere una descrizione se necessario.
    Carica il logo dell'app (facoltativo) Carica un logo per l'app (facoltativo). L'app verrà visualizzata nella dashboard dell'utente finale con il logo configurato qui.
    • Inserisci i dettagli dell'app JWT

  • Clicchi Salva.
  • Sarai reindirizzato al Politiche .
    • Vai a Criteri e Aggiungi criterio

  • Clicca sul Assegna gruppo pulsante. Un nuovo Configurare l'assegnazione del gruppo si aprirà la scheda modale.
    • Assegna gruppo: Seleziona i gruppi che desideri collegare all'applicazione. Puoi selezionare fino a 20 gruppi alla volta.
      • Configurare l'assegnazione del gruppo

    • Se devi creare un nuovo gruppo, clicca su Aggiungi nuovo gruppo pulsante.
    • Inserisci il nome del gruppo e clicca su Crea gruppo.
      • Crea un nuovo gruppo

    • Fare clic su Avanti.
    • Assegnazione delle policy: Aggiungi i criteri richiesti ai gruppi selezionati. Inserisci i seguenti dettagli:
    • Primo fattore: Seleziona il metodo di accesso dal menu a discesa.
      • Se si seleziona Password come metodo di accesso, puoi abilitare Autenticazione a due fattori (MFA) and Autenticazione adattiva, se necessario.
      • Se si seleziona Senza password come metodo di accesso, puoi abilitare Autenticazione a due fattori (MFA) se necessario.
    • Aggiungi dettagli sulla politica di accesso

  • Fare clic su SalvaVerranno create policy per tutti i gruppi selezionati.
  • Una volta aggiunta correttamente, la policy verrà visualizzata nell'elenco.
    • Criterio aggiunto correttamente

  • Fare clic su Filtri scheda.
  • Inserisci i seguenti dettagli come richiesto:
    Token di accesso Inserisci il token di accesso che verrà inviato al tuo URL di reindirizzamento dopo che un utente ha effettuato l'accesso. Questo token consente alla tua app di sapere che l'utente è autorizzato ad accedere a determinate funzionalità.
    Scadenza del token ID (in minuti) Imposta per quanto tempo (in minuti) sarà valido il token ID. Trascorso questo periodo, l'utente dovrà effettuare nuovamente l'accesso per ottenere un nuovo token.
    Oggetto Scegli quali informazioni, come l'indirizzo email dell'utente, verranno utilizzate per identificarlo nel token. Questo aiuta la tua app a sapere quale utente ha effettuato l'accesso.
    Algoritmo della firma Seleziona l'algoritmo della tua firma dal menu a discesa.
    URL di disconnessione della tua applicazione Inserisci l'indirizzo web a cui gli utenti devono essere indirizzati dopo aver effettuato il logout.
    Abilita identità condivisa Questa funzionalità consente di controllare se un utente condiviso può accedere o meno a un'applicazione specifica.
    • Vai alla scheda Avanzate

  • Algoritmi di firma per JWT

      • Codice RSA-SHA256

      • Asimmetrico: utilizza un set di chiavi private e pubbliche per generare e convalidare la firma inclusa nel token JWT.
      • La chiave privata viene utilizzata per generare la firma sul lato IDP.
      • La chiave pubblica viene utilizzata per verificare la firma sul lato SP.
      • Per questo forniamo la chiave pubblica.

      HS256

      • Simmetrico, utilizza la stessa chiave segreta per generare e convalidare la firma
      • In questo caso la chiave segreta è configurabile dalla pagina di configurazione dell'app.
  • Passare alla Opzioni di accesso scheda.
    Fornitore di identità primario Seleziona la fonte ID predefinita dal menu a discesa per l'applicazione. Se non è selezionata, gli utenti visualizzeranno la schermata di accesso predefinita e potranno scegliere il proprio ID. [In questo caso, scegli miniOrange.]
    Forza autenticazione Se si abilita questa opzione, gli utenti dovranno effettuare l'accesso ogni volta, anche se la loro sessione esiste già.
    Abilita la mappatura degli utenti Abilita questa opzione se vuoi che l'app mostri quale utente ha effettuato l'accesso quando risponde.
    Mostra sulla dashboard dell'utente finale Abilita questa opzione se vuoi mostrare questa app nella dashboard dell'utente finale.
    • Vai alla scheda Opzioni di accesso

  • Passare alla Attributi scheda.
    • Abilita l'opzione Attributi multivalore:
      • Abilita attributi multivalore

    • Quando questa opzione è abilitata, sia le virgole (,) che i punti e virgola (;) vengono trattati come delimitatori. Qualsiasi attributo contenente questi caratteri verrà automaticamente suddiviso e convertito in un attributo multivalore in base al suo posizionamento.
    • Questa funzionalità garantisce che gli attributi con più valori vengano consegnati in un formato strutturato anziché come una singola stringa concatenata.
    • Per esempio: quando questa opzione è abilitata, gli attributi appariranno come un elenco come ruoli = ['amministratore', 'editor', 'visualizzatore'] invece di una singola stringa come ruoli = "amministratore;editor;visualizzatore".
    • Quando questa opzione è disabile, gli attributi memorizzati come una singola stringa concatenata con virgole (,) e punti e virgola (;) vengono trattati nel modo in cui sono memorizzati anziché in un elenco strutturato.
    • In questo caso, le virgole (,) e i punti e virgola (;) non vengono trattati come separatori, quindi i valori rimangono combinati in un'unica stringa.
  • Accedere a endpoint e copiare i seguenti dettagli:
    • Vai agli endpoint e copia gli URL

    • URL di Single Sign-On:
      • Questo URL viene utilizzato per avviare l'autenticazione dell'utente per ottenere il token JWT.
      • Accettare redirect_uri come uno dei parametri di query.
      • Dopo l'autenticazione riuscita sul lato IDP, viene creata una sessione utente attiva nell'IDP e l'utente viene reindirizzato al redirect_uri con il token JWT.
    • URL di disconnessione singola:
      • Questo URL viene utilizzato per disconnettere l'utente dall'IDP rimuovendo la sessione utente attiva.
      • Accettare redirect_uri come uno dei parametri di query.
      • Dopo aver rimosso la sessione utente attiva, l'IDP reindirizza l'utente al redirect_uri.
    • URL di risposta per la disconnessione avviata dall'IdP:
      • Questo URL viene utilizzato per avviare la disconnessione nel caso in cui l'accesso dell'utente JWT sia stato avviato da IDP [Utente connesso alla dashboard
        prima e poi ho avviato l'accesso all'app dalla dashboard.]
      • Dopo aver effettuato il logout dall'IDP, l'utente viene reindirizzato alla pagina di accesso della dashboard dell'IDP.

4. Accedi tramite la pagina di selezione IDP (facoltativo)

  • Puoi osservare le configurare più IDP (Fornitori di identità) e dare agli utenti la possibilità di selezionare l'IDP di loro scelta per l'autenticazione.
    Ad esempio, potrebbero essere più domini AD appartenenti a diversi dipartimenti o più organizzazioni okta.

    • Pochi casi d'uso in cui i clienti configurano più IDP -

  • Supponiamo che tu abbia un prodotto che molti dei tuoi clienti usano e che ogni cliente abbia il proprio IDP univoco quindi vuoi che accedano tramite SSO anche al tuo prodotto utilizzando solo il loro IDP esistente. miniOrange fornisce un modo centralizzato per connettersi con tutti gli IDP in modo molto semplice e integrare SSO nella tua applicazione.
  • Supponiamo che tu stia offrendo un corso a molte università, ciascuna con un protocollo SAML e OAuth univoco supportato da IDP come Scibbolet, ADFS, CAS, ecc. Puoi fornire l'accesso Single Sign-On (SSO) alla tua domanda di iscrizione al corso in tutte queste università, integrandoti con tutte loro tramite un'unica piattaforma fornita da miniOrange.
  • Questo è l'endpoint da chiamare dalla tua applicazione SAML:
    • Per Cloud IDP - https://login.xecurify.com/moas/discovery?customerId=<customer_id>
    Per IDP in sede - https://yourdomain.com/discovery?customerId=<customer_id>

  • Dovresti copiare la chiave cliente da console di amministrazione-> Impostazioni -> e sostituiscilo con qui. Una volta configurato in SP, quando si avvia l'accesso dal Service Provider, un utente verrà reindirizzato alla pagina di selezione IDP che elenca tutti gli IDP configurati per quell'account.

    • Puoi vedere lo screenshot qui sotto del Pagina di selezione IDP con un elenco di sfollati interni.


    Nota: Per visualizzare l'IDP nell'elenco a discesa, vai alla scheda Provider di identità > rispetto al tuo IDP configurato > Seleziona > Modifica, qui Abilitare Mostra IdP agli utenti opzione.

    Seleziona il tuo IDP (Identity Provider) per effettuare l'accesso

  • Hai anche la possibilità di modificare l'aspetto e il design di questa pagina. Accedi alla console di amministrazione di miniOrange. Vai a Personalizzazione -> Configurazione del marchio. Guarda lo screenshot qui sotto per riferimento-

    • Personalizza la pagina di accesso alla selezione IDP

  • Puoi personalizzare il titolo di questa pagina.
  • Cambia il logo e il favicon per questa pagina.
  • Cambia lo sfondo e il colore dei pulsanti per questa pagina dall'interfaccia utente di amministrazione.

Riferimenti esterni

Vuoi programmare una demo?

Richiedi un demo