Vai al contenuto principale Passa a contenuto complementare

SAML per l'integrazione di provider di identità

Security Assertion Markup Language (SAML) è uno standard open-source basato su XML per l'autenticazione e l'autorizzazione. Un dei vantaggi principali di SAML è che consente il Single Sign-On (SSO), e pertanto riduce al minimo il numero di volte che l'utente deve eseguire l'accesso alle applicazioni cloud e ai siti web.

Nel processo di autenticazione sono implicate tre entità:

  • L'utente avvia il processo di accesso a un'applicazione o servizio.

  • Il provider di identità (IdP) è il sistema attendibile per l'autenticazione dell'utente, ad esempio Microsoft Entra ID o Okta.

  • Il provider di servizi (SP) è l'applicazione o servizio a cui l'utente desidera accedere, come ad esempio Qlik Cloud.

Il provider di identità autentica l'utente e ne convalida l'identità al provider di servizi. Questo processo viene completato scambiando documenti XML con firma digitale, noti come asserzioni SAML. Tali asserzioni contengono informazioni sull'utente, il suo stato di autenticazione ed eventualmente ulteriori attributi. Il provider di servizi può fornire all'utente l'accesso ai suoi servizi. Con SSO abilitato dal provider di identità, l'utente può accedere a diversi siti e applicazioni dei provider di servizi senza dover effettuare l'accesso a ogni sito.

Nota su Qlik Cloud GovernmentL'IdP basato su SAML non è supportato in Qlik Cloud Government.

SSO avviato dall'SP e dall'IdP

SAML supporta i flussi di accesso avviati dal provider di servizi (SP) o dal provider di identità (IdP).

Con l'SSO avviato dall'SP, l'utente per prima cosa accede al sito del provider di servizi, ma anziché eseguire l'accesso sul sito, l'autenticazione SSO viene avviata con il provider di identità. Per esempio, quando un utente accede a Qlik Cloud, il provider di servizi, l'accesso viene trasferito al provider di identità, che gestisce l'effettiva autenticazione SSO.

Con l'SSO avviato dall'IdP, l'utente esegue l'accesso direttamente con il provider di identità e seleziona l'applicazione, che avvia l'autenticazione SSO con il provider di servizi.

Asserzioni

Le asserzioni sono istruzioni basate su XML, contenenti informazioni relative ad autenticazione e autorizzazione in formato standardizzato. Queste vengono generate dal provider di identità e verificate dal provider di servizi.

Quando vengono integrate con il provider di identità, potrebbe essere necessario configurare l'applicazione per lo scambio delle asserzioni SAML in modo sicuro. Questo processo comporta l'impostazione di relazioni di attendibilità, URL dell'endpoint e scambio di certificati.

Attestazioni

Le attestazioni sono informazioni relative all'utente che vengono asserite dal provider di identità e inviate al provider di servizi durante il processo di autenticazione. SAML definisce un a set di attestazioni standard, inclusi gli attributi utente, come nome e indirizzo e-mail. È possibile modificare la mappatura delle attestazioni in base ai requisiti della propria applicazione.

Metadati

Lo scambio di metadati tra il provider di identità (IdP) e il provider di servizi (SP) è essenziale per stabilire una relazione di attendibilità e assicurare il funzionamento corretto del protocollo SAML.

Metadati IdP

La configurazione del provider di servizi richiede i metadati relativi al provider di identità. In Qlik Cloud, è possibile caricare queste informazioni come file di metadati IdP tramite il centro attività Amministrazione.

I metadati del provider di identità includono i seguenti dettagli:

  • l'ID dell'entità del provider di identità.

  • L'URL Single Sign-On (SSO). È l'endpoint dove il provider di servizi invia le richieste di autenticazione SAML per il provider di identità. È l'URL dove l'utente viene reindirizzato per l'autenticazione.

  • Il certificato di firma utilizzato dal provider di identità per firmare le asserzioni SAML da inviare al provider di servizi.

Metadati del SP

Per impostare la configurazione dal lato del provider di identità, sono necessari i metadati del provider di servizi. È possibile ottenere queste informazioni dal centro attività Amministrazione in Qlik Cloud.

I metadati del provider di servizi includono i seguenti dettagli:

  • l'ID dell'entità del provider di servizi.

  • L'URL di Assertion Consumer Service (ACS). È l'URL dove il provider di identità invia le asserzioni SAML dopo l'autenticazione.

  • Il certificato di firma utilizzato dal provider di servizi per firmare le richieste di autenticazione da inviare al provider di identità.

Ulteriori informazioni

Hai trovato utile questa pagina?

Se riscontri problemi con questa pagina o con il suo contenuto – un errore di battitura, un passaggio mancante o un errore tecnico – facci sapere come possiamo migliorare!