Security Assertion Markup Language (SAML) single sign-on (SSO)
Security Assertion Markup Language (SAML) è un formato dati con standard aperto basato su XML per lo scambio di dati di autenticazione e autorizzazione tra due parti (ad esempio, un provider di identità e un provider di servizi). SAML è generalmente utilizzato per l'accesso single sign-on (SSO) da browser Web.
Funzionamento di SAML
Il provider di identità (IdP) è utilizzato per l'autenticazione. Quando il provider di identità ha asserito l'identità dell'utente, il provider di servizi (SP) può dare all'utente accesso ai propri servizi. Poiché il provider di identità ha abilitato SSO, l'utente può accedere a diversi siti e applicazioni del provider di servizi senza doversi autenticare a ogni sito.
La specifica SAML definisce tre ruoli:
- Principal: generalmente un utente
- IdP: il provider di identità
- SP: il provider di servizi
Il principal richiede un servizio all'SP, il quale richiede e ottiene un'asserzione di identità dall'IdP. In base all'asserzione, l'SP decide se fornire il servizio richiesto dal principal.
SAML in Qlik NPrinting
Qlik NPrinting supporta SAML 2.0 mediante:
- L'implementazione di un servizio fornito che può integrarsi con provider di identità esterni
- Il supporto di HTTP Redirect Binding e HTTP POST Binding per le risposte SAML
- Il supporto delle proprietà SAML per il controllo dell'accesso a risorse e dati
Limitazioni
- Qlik NPrinting non firma la richiesta di autenticazione SAML. Ciò significa che non sono supportati i provider di identità che richiedono che la richiesta di autenticazione SAML sia firmata.
- La crittografia della risposta SAML non è supportata, pertanto i messaggi o gli attributi crittografati non sono letti da Qlik NPrinting.
- SAML single logout non è supportato.
Per utilizzare il componente aggiuntivo Qlik NPrinting On-Demand nel server Web di QlikView e Qlik Sense è necessario abilitare l'autenticazione di Windows.
Se si desidera utilizzare l'autenticazione JWT è necessario installare il componente aggiuntivo Qlik NPrinting On-Demand in un QlikView Server configurato in un Server Web di Microsoft IIS.
Installazione del componente aggiuntivo On-Demand in un AccessPoint QlikView ospitato da Microsoft IIS (solo in lingua inglese)
Configurazioni di Console web Qlik NPrinting e NewsStand
Poiché Console web Qlik NPrinting e NewsStand hanno indirizzi Web diversi, è necessario configurare due diverse connessioni SAML per consentire il funzionamento di entrambi.
SSO iniziato dal provider di identità
Con l'SSO iniziato dal provider di identità , l'utente accede direttamente al provider di identità, il quale effettua l'autenticazione SSO.
Quando il flusso dell'autenticazione ha inizio dal provider di identità, l'utente è reindirizzato al dashboard di Qlik NPrinting per Console web Qlik NPrinting, oppure alla home page di NewsStand.
SSO iniziato dal provider di servizi
Con l'SSOiniziato dal provider di servizi , l'utente visita dapprima il sito del provider di servizi. Invece di effettuare l'accesso al sito del provider di servizi, l'utente inizia l'autenticazione SSO con il provider di identità. In questo processo di autenticazione, Qlik NPrinting svolge il ruolo di provider di servizi. In base alla configurazione SAML dell'utente, la pagina di accesso di Qlik NPrinting visualizza un pulsante per ogni provider di identità disponibile. Quando si fa clic su un pulsante, si viene reindirizzati al sito del provider di identità per l'autenticazione. Se l'autenticazione era già stata effettuata, il provider di identità reindirizza l'utente al dashboard di Qlik NPrinting.
Metadati
Il provider di servizi (Qlik NPrinting) ha bisogno di informazioni di configurazione da un provider di identità. Queste informazioni sono disponibili come file di metadati del provider di identità, che può essere scaricato e inviato al provider di servizi per facilitare la configurazione. I metadati del provider di identità vengono caricati dalla pagina di configurazione SAML di Qlik NPrinting.
Non tutti i provider di identità supportano il download di file di metadati. Se il download non è supportato, il file di metadati può essere creato manualmente.
Qlik NPrinting fornisce al provider di identità i metadati del provider di servizi, scaricabili dalla pagina dell'elenco di configurazione SAML. I metadati comprendono le informazioni seguenti:
- URL del servizio consumer di asserzione (ACS)
- ID entità
Qlik NPrinting richiede le informazioni seguenti nei metadati del provider di identità:
- Certificato
- ID entità
- Percorso di reindirizzamento HTTP