Security Assertion Markup Language (SAML) single sign-on (SSO)

Security Assertion Markup Language (SAML) è un formato dati con standard aperto basato su XML per lo scambio di dati di autenticazione e autorizzazione tra due parti (ad esempio, un provider di identità e un provider di servizi). SAML è generalmente utilizzato per l'accesso single sign-on (SSO) da browser Web.

Funzionamento di SAML

Il provider di identità (IdP) è utilizzato per l'autenticazione. Quando il provider di identità ha asserito l'identità dell'utente, il provider di servizi (SP) può dare all'utente accesso ai propri servizi. Poiché il provider di identità ha abilitato SSO, l'utente può accedere a diversi siti e applicazioni del provider di servizi senza doversi autenticare a ogni sito.

La specifica SAML definisce tre ruoli:

  • Principal: generalmente un utente
  • IdP: il provider di identità
  • SP: il provider di servizi

Il principal richiede un servizio all'SP, il quale richiede e ottiene un'asserzione di identità dall'IdP. In base all'asserzione, l'SP decide se fornire il servizio richiesto dal principal.

SAML in Qlik NPrinting

Qlik NPrinting supporta SAML V2.0 attraverso:

  • L'implementazione di un servizio fornito che può integrarsi con provider di identità esterni
  • Il supporto di HTTP Redirect Binding e HTTP POST Binding per le risposte SAML
  • Il supporto delle proprietà SAML per il controllo dell'accesso a risorse e dati

Limiti:

  • Qlik NPrinting non firma la richiesta di autenticazione SAML. Ciò significa che non sono supportati i provider di identità che richiedono che la richiesta di autenticazione SAML sia firmata.
  • La crittografia della risposta SAML non è supportata, pertanto i messaggi o gli attributi crittografati non sono letti da Qlik NPrinting.
  • SAML single logout non è supportato.
Nota:

Per utilizzare il componente aggiuntivo Qlik NPrinting On-Demand nel server Web di QlikView è necessario abilitare l'autenticazione di Windows.

Se si desidera utilizzare l'autenticazione SAML è necessario installare il componente aggiuntivo Qlik NPrinting On-Demand in un QlikView Server configurato in un server Web di Microsoft IIS.

Installazione di Qlik NPrinting On-Demand in un QlikView AccessPoint ospitato da Microsoft IIS

Configurazioni di Qlik NPrinting web console e NewsStand

Poiché Qlik NPrinting web console e NewsStand hanno indirizzi Web diversi, è necessario configurare due diverse connessioni SAML per consentire il funzionamento di entrambi.

SSO iniziato dal provider di identità

Con l'SSO iniziato dal provider di identità , l'utente accede direttamente al provider di identità, il quale effettua l'autenticazione SSO.

Quando il flusso dell'autenticazione ha inizio dal provider di identità, l'utente è reindirizzato al dashboard di Qlik NPrinting per Qlik NPrinting web console, oppure alla home page di NewsStand.

SSO iniziato dal provider di servizi

Con l'SSOiniziato dal provider di servizi , l'utente visita dapprima il sito del provider di servizi. Invece di effettuare l'accesso al sito del provider di servizi, l'utente inizia l'autenticazione SSO con il provider di identità. In questo processo di autenticazione, Qlik NPrinting svolge il ruolo di provider di servizi. In base alla configurazione SAML dell'utente, la pagina di accesso di Qlik NPrinting visualizza un pulsante per ogni provider di identità disponibile. Quando si fa clic su un pulsante, si viene reindirizzati al sito del provider di identità per l'autenticazione. Se l'autenticazione era già stata effettuata, il provider di identità reindirizza l'utente al dashboard di Qlik NPrinting.

Metadati

Il provider di servizi (Qlik NPrinting) ha bisogno di informazioni di configurazione da un provider di identità. Queste informazioni sono disponibili come file di metadati del provider di identità, che può essere scaricato e inviato al provider di servizi per facilitare la configurazione. I metadati del provider di identità vengono caricati dalla pagina di configurazione SAML di Qlik NPrinting.

Non tutti i provider di identità supportano il download di file di metadati. Se il download non è supportato, il file di metadati può essere creato manualmente.

Qlik NPrinting fornisce al provider di identità i metadati del provider di servizi, scaricabili dalla pagina dell'elenco di configurazione SAML. I metadati comprendono le informazioni seguenti:

  • URL del servizio consumer di asserzione (ACS)
  • ID entità

Qlik NPrinting richiede le informazioni seguenti nei metadati del provider di identità:

  • Certificato
  • ID entità
  • Percorso di reindirizzamento HTTP
Nota: Durante la lettura del certificato per verificare la firma di risposta SAML, Qlik NPrinting utilizzerà il primo certificato con l'attributo "signing". Se i metadati IdP forniti contengono più di un certificato con l'attributo "signing" e non utilizzano il primo per firmare le risposte, la verifica della firma avrà esito negativo. È necessario rimuovere il certificato non utilizzato dal file di metadati IdP prima di caricarlo in Qlik NPrinting.