HELP FILE

Implementare una configurazione personalizzata di Enterprise Sign-In

Una delle opzioni per l'implementazione di Enterprise Sign-In (Single Sign-On) è la configurazione personalizzata con la scheda Provider di identità del Centro organizzativo. Si tratta della soluzione più comunemente utilizzata dalle aziende che usano un provider di terze parti che non offre un pacchetto Single Sign-On preconfigurato o che richiede un provider di identità SAML personalizzato.

LogMeIn offre Enterprise Sign-In, un'opzione di accesso Single Sign-On (SSO) basata su SAML che consente agli utenti di accedere ai loro prodotti LogMeIn utilizzando il nome utente e la password rilasciati dall'azienda, ovvero le stesse credenziali utilizzate per accedere ad altri sistemi e strumenti all'interno dell'organizzazione (ad esempio, e-mail aziendale, computer per uso lavorativo e così via). Questo offre un'esperienza di accesso semplificata per gli utenti, consentendo loro di eseguire l'autenticazione in modo sicuro con le credenziali che conoscono.

La scheda Provider di identità nel Centro organizzativo supporta varie configurazioni. Gli amministratori IT possono eseguire automaticamente la configurazione usando l'URL di metadati oppure caricando un file di metadati SAML oppure eseguire la configurazione manuale con URL di sign-in e sign-out, un ID di provider di identità e un certificato di verifica caricato.

Panoramica generale della configurazione del provider di identità

Una relazione di trust tra due relying party è stata creata quando ogni party ha acquisito i metadati necessari relativi al partner per l'esecuzione di un Single Sign-On di SAML. In ogni relying party, le informazioni di configurazione possono essere immesse in modo dinamico o manuale, in base all'interfaccia offerta dal provider di identità.

Quando si introducono i metadati del servizio SAML di LogMeIn presso il provider di Identità, potrebbe essere fornita l'opzione di aggiungere un nuovo provider di servizi tramite metadati. In questo caso, basta compilare il campo dell'URL dei metadati con:

https://authentication.logmeininc.com/saml/sp

Qualora il provider di identità richieda l'immissione manuale delle informazioni, sarà necessario immettere manualmente le parti dei metadati. In base al provider di identità, potrebbe chiedere diverse informazioni o chiamare i campi con nomi diversi. Per iniziare, ecco alcuni dei valori di configurazione che dovrebbero essere immessi quando richiesto dal provider di identità. Quindi, in base al supporto fornito dal provider di identità per la funzionalità chiamata RelayState, sarà necessario immettere ulteriori valori.

  • EntityID: l'entityID del servizio SAML LogMeIn è l'URL dei metadati. Il provider di identità a volte può farvi riferimento come a IssuerID o AppID. (https://authentication.logmeininc.com/saml/sp).
  • Destinatari: si tratta dell'EntityID del servizio SAML GoTo. Un provider di identità potrebbe riferirvisi come a una restrizione di pubblico. Dovrebbe essere impostata su: https://authentication.logmeininc.com/saml/sp.
  • URL di disconnessione singolo: la destinazione di una richiesta di disconnessione o di una risposta di disconnessione dal provider di identità: https://authentication.logmeininc.com/saml/SingleLogout.
  • Formato NameID: il tipo di identificatore del soggetto da restituire nell'asserzione. Il servizio SAML di LogMeIn si aspetta: E-mailAddress

Quando si accede a prodotti tramite un accesso avviato da un provider di identità, alcuni provider di identità supportano una funzionalità nota come "RelayState", che consente di rilasciare gli utenti direttamente nel prodotto LogMeIn specifico a cui si desidera che vengano indirizzati. Per configurare tale parametro, è necessario impostare di conseguenza i seguenti campi, ove richiesto dalla configurazione del provider di identità in uso. Alcuni provider di identità fanno riferimento a tali campi con nomi diversi. Ove possibile, abbiamo incluso nomi alternativi che alcuni provider di identità utilizzano per questi campi.

  • URL del servizio consumer di asserzione: l'URL a cui vengono restituite le risposte di autenticazione (contenenti asserzioni). Il provider di identità può fare riferimento a questo campo come a URL ACS, Pubblica URL, URL di risposta oppure URL Single Sign-On.
  • Destinatario
  • Destinazione

Se il tuo provider di identità supporta la funzionalità RelayState, tutti i campi qui sopra (se richiesti dal tuo provider; non tutti i provider richiedono tutti i campi) devono essere popolati con https://authentication.logmeininc.com/saml/acs.

Potrai quindi impostare un RelayState in base al prodotto per consentire l'indirizzamento a diversi prodotti dal catalogo di applicazioni del provider di identità. Di seguito sono disponibili i valori di RelayState da impostare per i prodotti LogMeIn:

Se il tuo provider di identità non supporta la funzionalità RelayState, non sarà necessario impostare alcun valore di RelayState. Imposta invece i valori ACS qui sopra (URL ACS, Destinatario, Percorso) in base ai seguenti valori per prodotto:

Durante la configurazione manuale del servizio SAML di LogMeIn presso il provider di identità, potrebbero essere disponibili alcune opzioni aggiuntive. Ecco un elenco delle possibili opzioni che potrebbero essere visualizzate e come devi impostarle.

  • Firma asserzione o risposta (Sign assertion or response)
    • Attiva questa opzione. Il servizio SAML di LogMeIn richiede la firma del provider di identità nella risposta.
  • Crittografa asserzione o risposta (Encrypt assertion or response)
    • Disattiva questa opzione. Attualmente il servizio SAML non elabora asserzioni crittografate.
  • Includi condizioni SAML (Include SAML Conditions)
    • Attiva questa opzione, che è richiesta dal profilo SSO Web SAML. Si tratta di un'opzione SecureAuth.
  • SubjectConfirmationData Not Before
    • Disattiva questa opzione, come richiesto dal profilo SSO Web SAML. Si tratta di un'opzione SecureAuth.
  • InResponseTo risposta SAML
    • Attiva questa opzione. Si tratta di un'opzione SecureAuth.