Configurazione dell'autenticazione di accesso

Integrazione del provisioning SCIM con Okta come IdP

Aggiunta dell’integrazione SCIM (System for Cross-domain Identity Management):

1. Nella Okta Admin Console seleziona la scheda General e imposta SCIM come metodo di provisioning.

   

2. Seleziona la scheda Provisioning e fai clic sul pulsante Edit.

   

3. Nella modalità di modifica delle impostazioni, seleziona tutte le azioni di provisioning (opzioni Import.. e Push..) e HTTP Header come modalità Authentication.

   

4. Copia () la voce Base URL dalla sezione Provisioning della pagina Authentication del Company Dashboard e incollala nel campo SCIM Connector base URL di Okta.

   Copia () la voce API Token dalla sezione Provisioning della pagina Authentication del Company Dashboard e incollala nel campo Authorization di Okta (in HTTP HEADER).

   

5. Specifica userName come Unique identifier field for users di Okta.

   

6. Fai clic sul pulsante Test Connector Configuration (vedi sopra) e assicurati che la connessione funzioni. Se il test di configurazione ha esito positivo, chiudi la finestra di test e poi salva la configurazione ().

   

7. Seleziona To App nell’albero di navigazione a sinistra, quindi l’opzione Edit.

   Abilita le opzioni Create Users, Update User Attributes e Deactivate Users, quindi fai clic su Save.

   

Provisioning e deprovisioning di utenti e gruppi:

1. Seleziona la scheda Push Groups e poi fai clic sul pulsante Refresh App Groups.

   

2. Seleziona l’opzione di pagina Directory » Groups dal menu principale.

   

   In Groups, dovresti vedere sia l’applicazione Groups sia Workspaces come voci di gruppo.

   

3. Crea gruppi Okta “nativi” con lo stesso nome dei gruppi/spazi di lavoro dell’applicazione: in questo esempio, i gruppi Administrators e Workspace importati.

   

4. Seleziona un gruppo Okta creato e poi fai clic sul pulsante Manage Apps. Nella finestra Assign Applications to <group name>, assegna l’applicazione SCIM al gruppo e fai clic su al termine.

   

5. Torna alla pagina Groups e seleziona la scheda Push Groups. Seleziona il Find groups by name option dal menu del pulsante Push Groups.

   

6. Inserisci il nome del gruppo (qui, Group Administrators) e quindi scegli l’opzione Link Group per collegarlo al gruppo dell’applicazione. Salva questa configurazione di collegamento ().

   

Gestione di utenti e gruppi

Ora dovresti essere in grado di aggiungere membri ai gruppi dell’applicazione esistenti oppure rimuoverli da essi.

1. Crea un nuovo utente Okta (Directory » People, quindi seleziona Add Person). Assicurati che l'utente abbia un indirizzo email univoco che non esista in AltiumLive.

2. Aggiungi il nuovo utente a un gruppo Okta assegnato all'applicazione SCIM (Directory » Groups, seleziona un gruppo, quindi usa Assign People).

3. Verifica che l'utente compaia nel Company Dashboard.

Per creare un nuovo gruppo di utenti tramite l'applicazione SCIM, crea un nuovo gruppo Okta nella pagina Groups (), quindi nella scheda Push Groups individua il nome del nuovo gruppo e scegli l'opzione Create Group (anziché 'Link Group').

L'applicazione SCIM configurata dovrebbe consentirti di:

• Modificare nome / cognome e email di un utente.

• Modificare l'appartenenza a un gruppo.

• Modificare il nome di un gruppo.

• Creare un gruppo.

• Eliminare un gruppo: scollega il gruppo in Push Groups con l'opzione di eliminazione dall'app.

• Attivare o disattivare un utente: un utente attivato riceverà un'email di attivazione.

I Workspace sono simili ai gruppi utente in Okta, ma supportano solo la gestione dell'appartenenza. Non è possibile creare un nuovo Workspace né rinominare uno esistente.

Dopo aver aggiunto o rimosso un utente da un gruppo Workspace, puoi verificare il risultato tramite l'interfaccia del Workspace Altium 365.

• Il nuovo utente SCIM dovrebbe essere in grado di accedere usando SSO

• Il nuovo utente SCIM dovrebbe essere invitato automaticamente nel Workspace.

• Non verrà inviata alcuna email di invito all'utente.

Integrazione con l'applicazione SAML di Microsoft Entra ID

:

1. Accedi a Microsoft Entra admin center.

2. Seleziona Identity e quindi l'opzione Enterprise applications.

   

3. Crea la tua applicazione.

   

4. Seleziona Users and groups e quindi Add user/group.

   

   

   

    

5. Seleziona Single sign-on, Step 1 e quindi Edit.

   

   

    

6. Copia () le voci Entity ID e Single Sign On URL dalla sezione Altium Sign-On Settings della pagina Authentication del Company Dashboard. Incolla le stringhe copiate nei campi Entity ID e Assertion Consumer Service URL nell'area SAML Configuration dell'app Microsoft Entra. Assicurati che le caselle Default siano selezionate per questi campi, quindi salva la configurazione.

   

7. Scarica il Federation Metadata XML creato.

   

8. Carica il Federation Metadata XML nella pagina Authentication del Company Dashboard (nell'area 2. SAML Identity Provider configuration della sezione Altium Sign-On Settings) e quindi testa la connessione di integrazione SAML.

Provisioning:

1. Nella schermata di gestione dell'app Microsoft Entra, seleziona Provisioning nel pannello sinistro e quindi il pulsante Get started.

2. Imposta Provision MODE su Automatic.

3. Copia () le voci Base URL e API Token dalla sezione Provisioning della pagina Authentication del Company Dashboard e incollale rispettivamente nei campi Tenant URL e Secret Token.

   

4. Fai clic sul pulsante Test Connection di Microsoft Entra Provisioning e, se le credenziali vengono autorizzate correttamente, Save la configurazione.

   

5. Nella sezione Mappings sono presenti due insiemi selezionabili di mappature attributi: uno per gli oggetti Group e uno per gli oggetti User.

   

6. Seleziona ciascuna mappatura per verificare gli attributi sincronizzati da Microsoft Entra ID alla tua app. Gli attributi selezionati come Matching properties vengono usati per associare utenti e gruppi nella tua app durante le operazioni di aggiornamento. Seleziona Save per confermare eventuali modifiche.

   

   Facoltativamente, puoi disabilitare la sincronizzazione degli oggetti gruppo disattivando la mappatura Groups.

7. In Settings, il campo Scope definisce quali utenti e gruppi vengono sincronizzati. Seleziona Sync only assigned users and groups (consigliato) per sincronizzare solo gli utenti e i gruppi assegnati nella pagina Users and groups.

   

8. Una volta completata la configurazione, imposta Provisioning Status su On.

   

9. Seleziona Save per avviare il servizio di provisioning Microsoft Entra.

Integrazione con JumpCloud come provider di identità

1. Nell'interfaccia JumpCloud, seleziona SSO nell'albero di navigazione, quindi il pulsante Add New Application nella pagina SSO.

   

2. Inserisci 'saml' nella finestra di configurazione Search per individuare e quindi installare Custom SAML App.

   

3. Assegna un nome alla tua istanza di Custom SAML App – in questo esempio, l'etichetta è 'Altium'.

   

4. Passa alla scheda SSO nell'interfaccia di configurazione JumpCloud. Copia () le voci Entity ID e Single Sign On URL dalla sezione Altium Sign-On Settings della pagina Authentication del Company Dashboard e incollale rispettivamente nei campi SP Entity ID e Default URL.

   

5. Inserisci l'endpoint JumpCloud IDP URL e abilita l'opzione Declare Redirect Endpoint.

   

6. Passa alla scheda Identity Management nell'interfaccia JumpCloud. Copia () le voci Base URL e API Token dalla sezione Provisioning della pagina Authentication del Company Dashboard e incollale rispettivamente nei campi Base URL e Token Key. Inserisci anche un indirizzo email di test appropriato.

   

7. Esegui un Test Connection, che mostrerà un messaggio di conferma in alto a destra nella pagina (come mostrato di seguito).

   

8. Disattiva (deseleziona) l'opzione Group Management e quindi Activate la configurazione.

   

   Nota: se ricevi un errore di connessione come 'There was a problem activating Identity Management' nella parte superiore della pagina o 'Test filter user: unable to get or create user from service' nella parte inferiore della pagina, prova a inserire un altro indirizzo email di test e quindi seleziona di nuovo Activate.

9. Tornando alla scheda SSO dell'interfaccia JumpCloud, usa l'opzione Export Metadata per scaricare il file XML dei metadati SAML risultante.

   

10. Nella pagina Authentication del Company Dashboard, importa il file XML dei metadati scaricato e quindi avvia un test di integrazione con il pulsante Test Sign On. Dovrebbe quindi essere visualizzato un risultato positivo del test di integrazione. Dopo la conferma della connessione, puoi abilitare l'opzione Altium Sign-On Settings e quindi l'opzione SSO nella sezione Authentication methods.

Autenticazione SSO SAML con Microsoft Administrative Domain Federated Services (AD FS)

Segui i passaggi descritti di seguito per configurare l'accesso alla tua organizzazione Altium 365 in modo che utilizzi la tua istanza AD FS per l'autenticazione SSO.

Prerequisiti

• Accesso amministrativo al Company Account dell'organizzazione in Altium 365.

• Accesso amministrativo all'istanza AD FS.

Configurazione di AD FS

1. Apri l'applicazione AD FS Management (di solito Start → Windows Administrative Tools → AD FS Management).

2. Vai a Relying Party Trusts e fai clic sull'opzione Add Relying Party Trust... (1).

3. Nella finestra popup assicurati di selezionare Claims aware (2) e fai clic su Start (3).

   

4. Nel passaggio Select Data Source seleziona Enter data about the relying party manually (1) e fai clic su Next (2).

   

5. Fornisci un nome visualizzato per il trust. Questo esempio utilizza AltiumLive come nome visualizzato.

   

6. A seconda della tua configurazione di sicurezza, puoi specificare un certificato facoltativo di crittografia del token. Ai fini di questa guida non ne utilizzeremo uno.

   

7. Nel passaggio Configure URL assicurati di selezionare l'opzione Enable support for the SAML 2.0 WebSSO protocol (1) e inserisci https://identity.live.altium.com/AssertionConsumerService nel campo Relying party SAML 2.0 SSO service URL: (2). Fai clic su Next (3).

   

8. Nel passaggio Configure Identifiers fornisci un identificatore per questo trust nel campo di input (1). L'identificatore deve essere preso dalla voce Entity ID situata nell'area SAML Single Sign-On della pagina Dashboard Authentication. Assicurati di fare clic sul pulsante Add (2).

   

   Il risultato dovrebbe apparire come segue. Fai clic su Next.

   

9. A seconda della tua configurazione di sicurezza, nel passaggio successivo puoi scegliere criteri facoltativi di controllo degli accessi. Per questo esempio non selezioneremo criteri aggiuntivi e continueremo con l'opzione Permit everyone.

   

10. Controlla la configurazione e seleziona Next.

    

11. Non tutte le impostazioni sono disponibili durante la configurazione del trust. Per consentire l'uso di SHA-1 come algoritmo hash sicuro, fai clic con il pulsante destro sul nome di Relying Party Trust che hai appena aggiunto e seleziona Properties.

    

12. Nella finestra delle proprietà seleziona la scheda Advanced (1) e imposta SHA-1 come algoritmo hash sicuro (2). Fai clic su OK per salvare le modifiche.

    

13. Tornato nella finestra AD FS Management, seleziona il Relaying Party Trust che hai aggiunto e seleziona l'opzione Edic Claim Issuance Policy...

    

14. Nella finestra Edit Claim Issuance Policy seleziona Add Rule...

    

15. Nel passaggio Choose Rule Type della procedura guidata assicurati che Send LDAP Attributes as Claims sia selezionato, quindi fai clic su Next.

    

16. Provide a Claim rule name (1), seleziona Active Directory come Attribute store (2) e seleziona un LDAP Attribute (3) dall'ID che contiene il nome utente per l'Altium Account. Questo attributo deve essere mappato su Name ID in Outgoing Claim Type (3). Fai clic su Finish (4).

    

    Important Note: In questo esempio abbiamo mappato Surname oppure Last name per contenere il valore richiesto. La configurazione potrebbe essere diversa.

    

17. Assicurati di salvare il criterio di emissione delle attestazioni facendo clic su OK.

    

Questa conclude la configurazione di AD FS.

Configurazione di Altium 365

1. Accedi alla pagina Authentication del Company Dashboard e carica il file FederationMetadata.xml che hai scaricato in precedenza (per maggiori informazioni, vedi la sezione Dashboard SSO Configuration più sotto). La configurazione dovrebbe essere importata e i valori di X509 Certificate, Identity Provider Issuer e IdP Single Sign-On URL dovrebbero essere visibili. Fai clic sul pulsante Test Sign On per testare la configurazione.

2. Nella schermata di accesso, inserisci le credenziali utente in base ai requisiti della tua organizzazione e fai clic su Sign in.

   

3. L'asserzione verrà rinviata ad Altium 365. Se sullo schermo viene visualizzato un messaggio Test SAML connection was successful!, la configurazione è stata completata correttamente. Puoi visualizzare la risposta SAML facendo clic sul pulsante See Response . Fai clic su Back to Settings per tornare alla pagina Authentication.

4. Nella pagina Authentication, abilita le opzioni Altium Sign-On Settings e SSO .

Questa conclude la configurazione. Da questo punto in poi, gli utenti della tua organizzazione dovrebbero poter accedere ad Altium 365 utilizzando l'AD FS della tua organizzazione come IdP SSO.

Configurazione SSO SAML con Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

1. Vai a IAM Identity Center e aggiungi un'applicazione SAML 2.0 personalizzata (Add Application).

   

   

2.  Copia () le voci Entity ID e Single Sign On URL dalla sezione Altium Sign-On Settings della pagina Authentication del Company Dashboard e incollale nelle impostazioni dell'URL dei metadati AWS. Conferma le impostazioni con Submit.

   

3. Scarica il file dei metadati dall'area IAM Identity Center metadata.

   

4. Vai a Edit attribute mappings.

   

5. Aggiungi ${user:email} e Format come unspecified.

   

6. Crea nuovi utenti in AWS: i nomi degli utenti devono essere nel formato user@domain.com.

   Assegna l'applicazione agli utenti creati o a un gruppo.

   

7. L'opzione Provisioning nella pagina Authentication del Company Dashboard deve essere disattivata.

   Attualmente, il provisioning automatico in uscita tramite SCIM non è supportato da AWS.

8. Assicurati che gli stessi utenti esistano sia lato Altium sia lato IAM. Gli utenti devono essere nominati seguendo il formato user@domain.com.

   

9. Nella pagina Authentication del Company Dashboard, carica il file XML scaricato in precedenza (per maggiori informazioni, vedi la sezione Dashboard SSO Configuration più sotto). Fai clic sul pulsante Test Sign On per testare la configurazione.

10. Verrai quindi reindirizzato alla pagina di accesso AWS. Inserisci le tue credenziali utente AWS. Dovresti essere reindirizzato di nuovo al Dashboard e vedere il messaggio Test SAML connection was successful! .

11. Dopo un test riuscito, abilita le opzioni Altium Sign-On Settings e SSO .