Configurazione dell’autenticazione di accesso

Integrazione del provisioning SCIM con Okta come IdP

Aggiunta dell’integrazione SCIM (System for Cross-domain Identity Management):

1. Nel Okta Admin Console seleziona la scheda General e imposta SCIM come metodo di provisioning.

   

2. Seleziona la scheda Provisioning e fai clic sul pulsante Edit.

   

3. Nella modalità di modifica delle impostazioni, seleziona tutte le azioni di provisioning (opzioni Import.. e Push..) e HTTP Header come modalità Authentication.

   

4. Copia () la voce Base URL dalla sezione Provisioning della pagina Authentication del Company Dashboard e incollala nel campo Okta SCIM Connector base URL.

   Copia () la voce API Token dalla sezione Provisioning della pagina Authentication del Company Dashboard e incollala nel campo Okta Authorization (sotto HTTP HEADER).

   

5. Specifica userName come Unique identifier field for users di Okta.

   

6. Fai clic sul pulsante Test Connector Configuration (vedi sopra) e assicurati che la connessione funzioni. Se il test di configurazione ha esito positivo, chiudi la finestra Test e poi salva la configurazione ().

   

7. Seleziona To App nell’albero di navigazione a sinistra e poi l’opzione Edit.

   Abilita le opzioni Create Users, Update User Attributes e Deactivate Users, quindi fai clic su Save.

   

Provisioning e deprovisioning di utenti e gruppi:

1. Seleziona la scheda Push Groups e poi fai clic sul pulsante Refresh App Groups.

   

2. Seleziona l’opzione di pagina Directory » Groups dal menu principale.

   

   In Groups, dovresti vedere sia l’applicazione Groups sia Workspaces come voci di gruppo.

   

3. Crea gruppi Okta 'nativi' con lo stesso nome dei gruppi/spazi di lavoro dell’applicazione: in questo esempio, i gruppi importati Administrators e Workspace.

   

4. Seleziona un gruppo Okta creato e poi fai clic sul pulsante Manage Apps. Nella finestra Assign Applications to <group name>, assegna l’applicazione SCIM al gruppo e fai clic su al termine.

   

5. Torna alla pagina Groups e seleziona la scheda Push Groups. Seleziona Find groups by name option dal menu del pulsante Push Groups.

   

6. Inserisci il nome del gruppo (qui, Group Administrators) e poi scegli l’opzione Link Group per collegarlo al gruppo dell’applicazione. Salva la configurazione del collegamento ().

   

Gestione di utenti e gruppi

Ora dovresti essere in grado di aggiungere membri ai gruppi dell’applicazione esistenti oppure rimuoverli.

1. Crea un nuovo utente Okta (Directory » People, quindi seleziona Add Person). Assicurati che l'utente abbia un indirizzo email univoco che non esista in AltiumLive.

2. Aggiungi il nuovo utente a un gruppo Okta assegnato all'applicazione SCIM (Directory » Groups, seleziona un gruppo, quindi usa Assign People).

3. Verifica che l'utente compaia nel Company Dashboard.

Per creare un nuovo gruppo di utenti tramite l'applicazione SCIM, crea un nuovo gruppo Okta nella pagina Groups (), quindi nella scheda Push Groups individua il nome del nuovo gruppo e scegli l'opzione Create Group (anziché 'Link Group').

L'applicazione SCIM configurata dovrebbe consentirti di:

• Modificare nome / cognome e email di un utente.

• Modificare l'appartenenza a un gruppo.

• Modificare il nome di un gruppo.

• Creare un gruppo.

• Eliminare un gruppo – scollega il gruppo in Push Groups con l'opzione di eliminazione dall'app.

• Attivare o disattivare un utente – un utente attivato riceverà un'email di attivazione.

I Workspace sono simili ai gruppi utente in Okta, ma supportano solo la gestione dell'appartenenza. Non è possibile creare un nuovo workspace o rinominare uno esistente.

Dopo aver aggiunto o rimosso un utente da un gruppo Workspace, puoi verificare il risultato tramite l'interfaccia del Workspace di Altium 365.

• Il nuovo utente SCIM dovrebbe poter accedere usando SSO

• Il nuovo utente SCIM dovrebbe essere invitato automaticamente nel Workspace.

• Non verrà inviata all'utente alcuna email di invito.

Integrazione con Microsoft Entra ID

Applicazione SAML:

1. Accedi al Microsoft Entra admin center.

2. Seleziona Identity e quindi l'opzione Enterprise applications.

   

3. Crea la tua applicazione.

   

4. Seleziona Users and groups e quindi Add user/group.

   

   

   

    

5. Seleziona Single sign-on, Step 1 e quindi Edit.

   

   

    

6. Copia () le voci Entity ID e Single Sign On URL dalla sezione Altium Sign-On Settings della pagina Authentication del Company Dashboard. Incolla le stringhe copiate nei campi Entity ID e Assertion Consumer Service URL nell'area SAML Configuration dell'app Microsoft Entra. Assicurati che le caselle Default siano selezionate per questi campi, quindi salva la configurazione.

   

7. Scarica il Federation Metadata XML creato.

   

8. Carica il Federation Metadata XML nella pagina Authentication del Company Dashboard (nell'area 2. SAML Identity Provider configuration della sezione Altium Sign-On Settings) e quindi testa la connessione di integrazione SAML.

Provisioning:

1. Nella schermata di gestione dell'app Microsoft Entra, seleziona Provisioning nel pannello sinistro e quindi il pulsante Get started.

2. Imposta Provision MODE su Automatic.

3. Copia () le voci Base URL e API Token dalla sezione Provisioning della pagina Authentication del Company Dashboard e incollale rispettivamente nei campi Tenant URL e Secret Token.

   

4. Fai clic sul pulsante Test Connection di Microsoft Entra Provisioning e, se le credenziali vengono autorizzate correttamente, Save la configurazione.

   

5. Nella sezione Mappings sono presenti due insiemi selezionabili di mappature degli attributi: uno per gli oggetti Group e uno per gli oggetti User.

   

6. Seleziona ciascuna mappatura per esaminare gli attributi sincronizzati da Microsoft Entra ID alla tua app. Gli attributi selezionati come Matching properties vengono usati per associare utenti e gruppi nella tua app per le operazioni di aggiornamento. Seleziona Save per confermare eventuali modifiche.

   

   Facoltativamente, puoi disabilitare la sincronizzazione degli oggetti gruppo disattivando la mappatura Groups.

7. In Settings, il campo Scope definisce quali utenti e gruppi vengono sincronizzati. Seleziona Sync only assigned users and groups (consigliato) per sincronizzare solo gli utenti e i gruppi assegnati nella pagina Users and groups.

   

8. Una volta completata la configurazione, imposta Provisioning Status su On.

   

9. Seleziona Save per avviare il servizio di provisioning Microsoft Entra.

Integrazione con JumpCloud come Identity Provider

1. Nell'interfaccia JumpCloud, seleziona SSO dall'albero di navigazione, quindi il pulsante Add New Application nella pagina SSO.

   

2. Inserisci 'saml' nel campo Search della finestra di configurazione per individuare e quindi installare Custom SAML App.

   

3. Assegna un nome alla tua istanza di Custom SAML App – in questo esempio, l'etichetta è 'Altium'.

   

4. Passa alla scheda SSO nell'interfaccia di configurazione JumpCloud. Copia () le voci Entity ID e Single Sign On URL dalla sezione Altium Sign-On Settings della pagina Authentication del Company Dashboard e incollale rispettivamente nei campi SP Entity ID e Default URL.

   

5. Inserisci l'endpoint JumpCloud IDP URL e abilita l'opzione Declare Redirect Endpoint.

   

6. Passa alla scheda Identity Management nell'interfaccia JumpCloud. Copia () le voci Base URL e API Token dalla sezione Provisioning della pagina Authentication del Company Dashboard e incollale rispettivamente nei campi Base URL e Token Key. Inserisci anche un indirizzo email di test appropriato.

   

7. Esegui un Test Connection, che mostrerà un messaggio di conferma in alto a destra nella pagina (come mostrato sotto).

   

8. Disattiva (deseleziona) l'opzione Group Management e quindi Activate la configurazione.

   

   Nota: se ricevi un errore di connessione come 'There was a problem activating Identity Management' nella parte superiore della pagina o 'Test filter user: unable to get or create user from service' nella parte inferiore della pagina, prova a inserire un indirizzo email di test diverso e quindi seleziona di nuovo Activate.

9. Tornato nella scheda SSO dell'interfaccia JumpCloud, usa l'opzione Export Metadata per scaricare il file XML dei metadati SAML risultante.

   

10. Nella pagina Authentication del Company Dashboard, importa il file XML dei metadati scaricato e quindi avvia un test di integrazione con il pulsante Test Sign On. Dovrebbe quindi essere visualizzato un risultato positivo del test di integrazione. Dopo la conferma della connessione puoi abilitare l'opzione Altium Sign-On Settings e quindi l'opzione SSO nella sezione Authentication methods.

Autenticazione SSO SAML con Microsoft Administrative Domain Federated Services (AD FS)

Segui i passaggi descritti di seguito per configurare l'accesso della tua organizzazione Altium 365 in modo che utilizzi la tua istanza AD FS per l'autenticazione SSO.

Prerequisiti

• Accesso amministrativo al Company Account dell'organizzazione in Altium 365.

• Accesso amministrativo all'istanza AD FS.

Configurazione di AD FS

1. Apri l'applicazione AD FS Management (di solito Start → Windows Administrative Tools → AD FS Management).

2. Vai a Relying Party Trusts e fai clic sull'opzione Add Relying Party Trust... (1).

3. Nella finestra popup assicurati di selezionare Claims aware (2) e fai clic su Start (3).

   

4. Nel passaggio Select Data Source seleziona Enter data about the relying party manually (1) e fai clic su Next (2).

   

5. Fornisci un nome visualizzato per il trust. In questo esempio viene usato AltiumLive come nome visualizzato.

   

6. A seconda della configurazione di sicurezza, puoi specificare un certificato facoltativo di crittografia del token. Ai fini di questa guida non ne useremo uno.

   

7. Nel passaggio Configure URL assicurati di selezionare l'opzione Enable support for the SAML 2.0 WebSSO protocol (1) e inserisci https://identity.live.altium.com/AssertionConsumerService nel campo Relying party SAML 2.0 SSO service URL: (2). Fai clic su Next (3).

   

8. Nel passaggio Configure Identifiers fornisci un identificatore per questo trust nel campo di input (1). L'identificatore deve essere preso dalla voce Entity ID situata nell'area SAML Single Sign-On della pagina Dashboard Authentication. Assicurati di fare clic sul pulsante Add (2).

   

   Il risultato dovrebbe apparire come segue. Fai clic su Next.

   

9. A seconda della configurazione di sicurezza, nel passaggio successivo puoi scegliere criteri facoltativi di controllo degli accessi. Per questo esempio non selezioneremo criteri aggiuntivi e continueremo con l'opzione Permit everyone.

   

10. Rivedi la configurazione e seleziona Next.

    

11. Non tutte le impostazioni sono disponibili durante la configurazione del trust. Per consentire l'uso di SHA-1 come algoritmo hash sicuro, fai clic con il pulsante destro sul nome di Relying Party Trust che hai appena aggiunto e seleziona Properties.

    

12. Nella finestra delle proprietà seleziona la scheda Advanced (1) e imposta SHA-1 come algoritmo hash sicuro (2). Fai clic su OK per salvare le modifiche.

    

13. Tornato nella finestra AD FS Management, seleziona il Relaying Party Trust che hai aggiunto e seleziona l'opzione Edic Claim Issuance Policy...

    

14. Nella finestra Edit Claim Issuance Policy seleziona Add Rule...

    

15. Nel passaggio Choose Rule Type della procedura guidata assicurati che sia selezionato Send LDAP Attributes as Claims, quindi fai clic su Next.

    

16. Fornire un Claim rule name (1), selezionare Active Directory come Attribute store (2) e selezionare un LDAP Attribute (3) dall’ID che contiene il nome utente per l’Altium Account. Questo attributo deve essere mappato a Name ID nel Outgoing Claim Type (3). Fare clic su Finish (4).

    

    Important Note: Per questo esempio abbiamo mappato Surname o Last name in modo che contengano il valore richiesto. La configurazione potrebbe essere diversa.

    

17. Assicurarsi che il criterio di emissione delle attestazioni sia salvato facendo clic su OK.

    

Questo conclude la configurazione di AD FS.

Configurazione di Altium 365

1. Accedere alla pagina Authentication del Dashboard aziendale e caricare il file FederationMetadata.xml scaricato in precedenza (per ulteriori informazioni, vedere la sezione Dashboard SSO Configuration qui sotto). La configurazione dovrebbe essere importata e i valori di X509 Certificate, Identity Provider Issuer e IdP Single Sign-On URL dovrebbero essere visibili. Fare clic sul pulsante Test Sign On per testare la configurazione.

2. Nella schermata di accesso, inserire le credenziali utente in base ai requisiti della propria organizzazione e fare clic su Sign in.

   

3. L’asserzione verrà rinviata ad Altium 365. Se la schermata mostra un messaggio Test SAML connection was successful!, la configurazione è stata completata correttamente. È possibile visualizzare la risposta SAML facendo clic sul pulsante See Response . Fare clic su Back to Settings per tornare alla pagina Authentication.

4. Nella pagina Authentication, abilitare le opzioni Altium Sign-On Settings e SSO .

Questa conclude la configurazione. Da questo momento in poi, gli utenti della propria organizzazione dovrebbero essere in grado di accedere ad Altium 365 utilizzando AD FS della propria organizzazione come IdP SSO.

Configurazione SSO SAML con Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

1. Andare a IAM Identity Center e aggiungere un’applicazione SAML 2.0 personalizzata (Add Application).

   

   

2.  Copiare () le voci Entity ID e Single Sign On URL dalla sezione Altium Sign-On Settings della pagina Authentication del Dashboard aziendale e incollarle nelle impostazioni dell’URL dei metadati AWS. Confermare le impostazioni con Submit.

   

3. Scaricare il file dei metadati dall’area IAM Identity Center metadata.

   

4. Andare a Edit attribute mappings.

   

5. Aggiungere ${user:email} e Format come unspecified.

   

6. Creare nuovi utenti in AWS: i nomi degli utenti devono essere nel formato user@domain.com.

   Assegnare l’applicazione agli utenti creati o a un gruppo.

   

7. L’opzione Provisioning nella pagina Authentication del Dashboard aziendale deve essere disattivata.

   Attualmente, il provisioning automatico in uscita tramite SCIM non è supportato da AWS.

8. Assicurarsi che gli stessi utenti esistano sia sul lato Altium sia sul lato IAM. I nomi degli utenti devono seguire il formato user@domain.com.

   

9. Nella pagina Authentication del Dashboard aziendale, caricare il file XML scaricato in precedenza (per ulteriori informazioni, vedere la sezione Dashboard SSO Configuration qui sotto). Fare clic sul pulsante Test Sign On per testare la configurazione.

10. Si verrà quindi reindirizzati alla pagina di accesso AWS. Inserire le credenziali utente AWS. Si dovrebbe essere reindirizzati nuovamente al Dashboard e visualizzare il messaggio Test SAML connection was successful! .

11. Dopo un test riuscito, abilitare le opzioni Altium Sign-On Settings e SSO .