Esempio di federazione di identità con Microsoft ADFS
Ecco un esempio di configurazione del repository di autenticazione di un'organizzazione Cloud Temple con Microsoft ADFS.
La configurazione del tuo repository Microsoft a livello di organizzazione Cloud Temple semplifica l'autenticazione degli utenti sulla Console.
Questo permette di evitare la moltiplicazione dei fattori di autenticazione e di ridurre la superficie di attacco.
Se gli utenti sono già autenticati sul loro account Microsoft, l'autenticazione ai servizi della Console avverrà in modo trasparente.
Di seguito sono riportati i diversi passaggi necessari per completare questa configurazione:
Prerequisiti
Il server Microsoft ADFS deve essere in grado di accedere all'URL Cloud Temple.
L'ADFS deve essere raggiungibile dai network di Cloud Temple e deve esporre un certificato TLS rilasciato da una CA pubblica.
Gli utenti che desiderano effettuare il login sul portale devono avere email, nome e cognome compilati nell'Active Directory.
Step 2: Request the SSO (Single Sign-On) configuration for your organization
This configuration step is performed at the organization level by the Cloud Temple team.
To proceed, please submit a support request in the console indicating your intention to set up your Microsoft ADFS authentication repository.
Please provide the following information in your support request:
Name of your Organization
Name of a contact person, including their email and phone number, to finalize the configuration
Public URL of the ADFS federation metadata (<ADFS domain name>/FederationMetadata/2007-06/FederationMetadata.xml)
(Example: https://adfs.test.local/FederationMetadata/2007-06/FederationMetadata.xml)
Once the configuration is completed on the Console side, the designated contact will be notified.
The Cloud Temple support team will send you a URL that will look like this: https://keycloak-shiva.cloud-temple.com/auth/realms/companytest/broker/adfs_test/endpoint/descriptor
You can paste the URL into a browser to test it. If it works correctly, you should see an XML document displayed.
Step 3: ADFS Configuration Implementation
Configurazione della federazione di autenticazione
Aggiunta di un'affidabilità di parte fidata
Sul tuo server ADFS, vai su "Aggiungi un'affidabilità di parte fidata".
Configurare i "claims"
I claims consentono di fornire informazioni al token che verrà trasmesso alla console Cloud Temple.
Essi trasmettono le informazioni dell'utente connesso necessarie al corretto funzionamento dei diversi servizi, come ad esempio la sua email, nome e cognome.
Selezionare "Importa dati pubblicati online o su una rete locale relativi alla parte di fiducia" e inserire l'URL fornita dal supporto Cloud Temple.
È possibile inserire un nome e una descrizione per la parte di fiducia; tale campo è facoltativo.
Per impostazione predefinita, si autorizza chiunque, ma è possibile selezionare "Autorizza un gruppo specifico" per selezionare il o i gruppi autorizzati ad accedere ai servizi della Console tramite ADFS.
Una volta completate queste operazioni, la configurazione della parte di fiducia è terminata.
È quindi necessario modificare la strategia di emissione dei claims per questa nuova parte di fiducia.
Fare clic su "Aggiungi regola" e specificare il modello, ovvero "Trasforma un claim in ingresso".
Basterà quindi inserire le informazioni come indicato nella schermata riportata di seguito.
Aggiungere i claim
Aggiungete una seconda regola, questa volta con il modello "Invia gli attributi LDAP come claim".
Selezionate il negozio di attributi e aggiungete gli attributi "Indirizzi E-Mail, Given-Name, Cognome e SAM-Account-Name", come indicato nell'immagine qui sotto.
È sufficiente applicare le modifiche.
Step 3: Finalization
You can now proceed to test by navigating to the Console and clicking the button corresponding to the ADFS client authentication; in this example, it is "ADFS Test".
