Configurazione dell'autenticazione di accesso

Integrazione del provisioning SCIM con Okta come IdP

Aggiunta dell’integrazione SCIM (System for Cross-domain Identity Management):

1. Nella Okta Admin Console seleziona la scheda General e imposta SCIM come metodo di provisioning.

   

2. Seleziona la scheda Provisioning e fai clic sul pulsante Edit.

   

3. Nella modalità di modifica delle impostazioni, seleziona tutte le azioni di provisioning (opzioni Import.. e Push..) e HTTP Header come modalità Authentication.

   

4. Copia () la voce Base URL dalla sezione Provisioning della pagina del Dashboard aziendale Authentication e incollala nel campo Okta SCIM Connector base URL.

   Copia () la voce API Token dalla sezione Provisioning della pagina del Dashboard aziendale Authentication e incollala nel campo Okta Authorization (in HTTP HEADER).

   

5. Specifica userName come Unique identifier field for users di Okta.

   

6. Fai clic sul pulsante Test Connector Configuration (vedi sopra) e assicurati che la connessione funzioni. Se il test di configurazione ha esito positivo, chiudi la finestra Test e salva la configurazione ().

   

7. Seleziona To App nell’albero di navigazione a sinistra, quindi l’opzione Edit.

   Abilita le opzioni Create Users, Update User Attributes e Deactivate Users, quindi fai clic su Save.

   

Provisioning e de-provisioning di utenti e gruppi:

1. Seleziona la scheda Push Groups e poi fai clic sul pulsante Refresh App Groups.

   

2. Seleziona l’opzione di pagina Directory » Groups dal menu principale.

   

   In Gruppi, dovresti vedere sia il gruppo applicazione Groups sia Workspaces come voci di gruppo.

   

3. Crea gruppi Okta 'nativi' con lo stesso nome dei gruppi applicazione/workspace – in questo esempio, i gruppi Administrators e Workspace importati.

   

4. Seleziona un gruppo Okta creato e poi fai clic sul pulsante Manage Apps. Nella finestra Assign Applications to <group name>, assegna l’applicazione SCIM al gruppo e fai clic su al termine.

   

5. Torna alla pagina Groups e seleziona la scheda Push Groups. Seleziona Find groups by name option dal menu del pulsante Push Groups.

   

6. Inserisci il nome del gruppo (qui, Group Administrators) e poi scegli l’opzione Link Group per collegarlo al gruppo applicazione. Salva la configurazione del collegamento ().

   

Gestione di utenti e gruppi

A questo punto dovresti essere in grado di aggiungere membri o rimuovere membri dai gruppi applicazione esistenti.

1. Crea un nuovo utente Okta (Directory » People, quindi seleziona Add Person). Assicurati che l'utente abbia un indirizzo email univoco che non esista in AltiumLive.

2. Aggiungi il nuovo utente a un gruppo Okta assegnato all'applicazione SCIM (Directory » Groups, seleziona un gruppo, quindi usa Assign People).

3. Verifica che l'utente compaia nel Dashboard aziendale.

Per creare un nuovo gruppo di utenti tramite l'applicazione SCIM, crea un nuovo gruppo Okta nella pagina Groups (), quindi nella scheda Push Groups individua il nome del nuovo gruppo e scegli l'opzione Create Group (anziché 'Link Group').

L'applicazione SCIM configurata dovrebbe consentirti di:

• Modificare nome / cognome ed email di un utente.

• Modificare l'appartenenza di un gruppo.

• Modificare il nome di un gruppo.

• Creare un gruppo.

• Eliminare un gruppo – scollega il gruppo in Push Groups con l'opzione di eliminazione dall'app.

• Attivare o disattivare un utente – un utente attivato riceverà un'email di attivazione.

I Workspace sono simili ai gruppi utente in Okta, ma supportano solo la gestione dell'appartenenza. Non è possibile creare un nuovo workspace o rinominare uno esistente.

Dopo aver aggiunto o rimosso un utente da un gruppo Workspace, puoi verificarne il risultato tramite l'interfaccia del Workspace di Altium 365.

• Il nuovo utente SCIM dovrebbe poter accedere usando SSO

• Il nuovo utente SCIM dovrebbe essere invitato automaticamente nel Workspace.

• Non verrà inviata alcuna email di invito all'utente.

Integrazione con l'applicazione SAML di Microsoft Entra ID

:

1. Accedi al Microsoft Entra admin center.

2. Seleziona Identity e quindi l'opzione Enterprise applications.

   

3. Crea la tua applicazione.

   

4. Seleziona Users and groups e poi Add user/group.

   

   

   

    

5. Seleziona Single sign-on, Step 1 e poi Edit.

   

   

    

6. Copia () le voci Entity ID e Single Sign On URL dalla sezione Altium Sign-On Settings della pagina Authentication del Dashboard aziendale. Incolla le stringhe copiate nei campi Entity ID e Assertion Consumer Service URL nell'area di configurazione SAML dell'app Microsoft Entra. Assicurati che le caselle Default siano selezionate per questi campi, quindi salva la configurazione.

   

7. Scarica il file XML dei metadati di federazione creato.

   

8. Carica il file XML dei metadati di federazione nella pagina Authentication del Dashboard aziendale (nell'area 2. SAML Identity Provider configuration della sezione Altium Sign-On Settings) e quindi testa la connessione di integrazione SAML.

Provisioning:

1. Nella schermata di gestione dell'app Microsoft Entra, seleziona Provisioning nel pannello sinistro e poi il pulsante Get started.

2. Imposta Provision MODE su Automatic.

3. Copia () le voci Base URL e API Token dalla sezione Provisioning della pagina Authentication del Dashboard aziendale e incollale rispettivamente nei campi Tenant URL e Secret Token.

   

4. Fai clic sul pulsante Test Connection di provisioning Microsoft Entra e, se le credenziali vengono autorizzate correttamente, Save la configurazione.

   

5. Nella sezione Mappings sono presenti due insiemi selezionabili di mappature degli attributi: uno per gli oggetti Group e uno per gli oggetti User.

   

6. Seleziona ciascuna mappatura per esaminare gli attributi sincronizzati da Microsoft Entra ID alla tua app. Gli attributi selezionati come proprietà di corrispondenza vengono usati per abbinare utenti e gruppi nella tua app durante le operazioni di aggiornamento. Seleziona Save per confermare eventuali modifiche.

   

   Facoltativamente, puoi disabilitare la sincronizzazione degli oggetti gruppo disattivando la mappatura Groups.

7. In Settings, il campo Scope definisce quali utenti e gruppi vengono sincronizzati. Seleziona Sync only assigned users and groups (consigliato) per sincronizzare solo utenti e gruppi assegnati nella pagina Users and groups.

   

8. Una volta completata la configurazione, imposta Provisioning Status su On.

   

9. Seleziona Save per avviare il servizio di provisioning Microsoft Entra.

Integrazione con JumpCloud come provider di identità

1. Nell'interfaccia JumpCloud, seleziona SSO dall'albero di navigazione, quindi il pulsante Add New Application nella pagina SSO.

   

2. Inserisci 'saml' nel campo Search della finestra di configurazione per individuare e quindi installare Custom SAML App.

   

3. Assegna un nome alla tua istanza di Custom SAML App – in questo esempio, l'etichetta è 'Altium'.

   

4. Passa alla scheda SSO nell'interfaccia di configurazione JumpCloud. Copia () le voci Entity ID e Single Sign On URL dalla sezione Altium Sign-On Settings della pagina Authentication del Dashboard aziendale e incollale rispettivamente nei campi SP Entity ID e Default URL.

   

5. Inserisci l'endpoint JumpCloud IDP URL e abilita l'opzione Declare Redirect Endpoint.

   

6. Passa alla scheda Identity Management nell'interfaccia JumpCloud. Copia () le voci Base URL e API Token dalla sezione Provisioning della pagina Authentication del Dashboard aziendale e incollale rispettivamente nei campi Base URL e Token Key. Inserisci anche un indirizzo email di test appropriato.

   

7. Esegui un Test Connection, che mostrerà un messaggio di conferma nell'angolo superiore destro della pagina (come mostrato di seguito).

   

8. Disattiva (deseleziona) l'opzione Group Management e poi Activate la configurazione.

   

   Nota: se ricevi un errore di connessione come 'There was a problem activating Identity Management' nella parte superiore della pagina o 'Test filter user: unable to get or create user from service' nella parte inferiore della pagina, prova a inserire un diverso indirizzo email di test e quindi seleziona di nuovo Activate.

9. Tornato alla scheda SSO dell'interfaccia JumpCloud, usa l'opzione Export Metadata per scaricare il file XML dei metadati SAML risultante.

   

10. Nella pagina Authentication del Dashboard aziendale, importa il file XML dei metadati scaricato e poi avvia un test di integrazione con il pulsante Test Sign On. Dovrebbe quindi essere mostrato un risultato positivo del test di integrazione. Dopo la conferma della connessione, puoi abilitare l'opzione Altium Sign-On Settings e poi l'opzione SSO nella sezione Authentication methods.

Autenticazione SSO SAML con Microsoft Administrative Domain Federated Services (AD FS)

Segui i passaggi descritti di seguito per configurare l'accesso della tua organizzazione Altium 365 in modo da usare la tua istanza AD FS per l'autenticazione SSO.

Prerequisiti

• Accesso amministrativo al Company Account dell'organizzazione in Altium 365.

• Accesso amministrativo all'istanza AD FS.

Configurazione di AD FS

1. Apri l'applicazione AD FS Management (di solito Start → Windows Administrative Tools → AD FS Management).

2. Vai a Relying Party Trusts e fai clic sull'opzione Add Relying Party Trust... (1).

3. Nella finestra popup assicurati di selezionare Claims aware (2) e fai clic su Start (3).

   

4. Nel passaggio Select Data Source seleziona Enter data about the relying party manually (1) e fai clic su Next (2).

   

5. Fornisci un nome visualizzato per il trust. Questo esempio usa AltiumLive come nome visualizzato.

   

6. A seconda della configurazione di sicurezza, puoi specificare un certificato facoltativo di crittografia del token. Ai fini di questa guida non ne useremo uno.

   

7. Nel passaggio Configure URL assicurati di selezionare l'opzione Enable support for the SAML 2.0 WebSSO protocol (1) e inserisci https://identity.live.altium.com/AssertionConsumerService nel campo Relying party SAML 2.0 SSO service URL: (2). Fai clic su Next (3).

   

8. Nel passaggio Configure Identifiers fornisci un identificatore per questo trust nel campo di input (1). L'identificatore deve essere preso dalla voce Entity ID situata nell'area SAML Single Sign-On della pagina Dashboard Authentication. Assicurati di fare clic sul pulsante Add (2).

   

   Il risultato dovrebbe essere simile al seguente. Fai clic su Next.

   

9. A seconda della configurazione di sicurezza, nel passaggio successivo puoi scegliere criteri facoltativi di controllo dell'accesso. Per questo esempio non selezioneremo alcun criterio aggiuntivo e continueremo con l'opzione Permit everyone.

   

10. Rivedi la configurazione e seleziona Next.

    

11. Non tutte le impostazioni sono disponibili durante la configurazione del trust. Per consentire l'uso di SHA-1 come algoritmo hash sicuro, fai clic con il pulsante destro sul nome di Relying Party Trust che hai appena aggiunto e seleziona Properties.

    

12. Nella finestra delle proprietà seleziona la scheda Advanced (1) e imposta SHA-1 come algoritmo hash sicuro (2). Fai clic su OK per salvare le modifiche.

    

13. Tornato nella finestra Gestione AD FS, seleziona il Relaying Party Trust che hai aggiunto e seleziona l'opzione Edic Claim Issuance Policy...

    

14. Nella finestra Edit Claim Issuance Policy seleziona Add Rule...

    

15. Nel passaggio Choose Rule Type della procedura guidata assicurati che Send LDAP Attributes as Claims sia selezionato, quindi fai clic su Next.

    

16. Fornire un Claim rule name (1), selezionare Active Directory come Attribute store (2) e selezionare un LDAP Attribute (3) dall’ID che contiene il nome utente per l’Altium Account. Questo attributo deve essere mappato su Name ID nel Outgoing Claim Type (3). Fare clic su Finish (4).

    

    Important Note: In questo esempio abbiamo mappato Surname o Last name in modo che contengano il valore richiesto. La configurazione potrebbe essere diversa.

    

17. Assicurarsi che il criterio di emissione delle attestazioni sia salvato facendo clic su OK.

    

Questo conclude la configurazione di AD FS.

Configurazione di Altium 365

1. Accedere alla pagina Authentication del Dashboard aziendale e caricare il file FederationMetadata.xml scaricato in precedenza (per maggiori informazioni, vedere la sezione Dashboard SSO Configuration di seguito). La configurazione dovrebbe essere importata e i valori di X509 Certificate, Identity Provider Issuer e IdP Single Sign-On URL dovrebbero essere visibili. Fare clic sul pulsante Test Sign On per testare la configurazione.

2. Nella schermata di accesso, immettere le credenziali utente secondo i requisiti della propria organizzazione e fare clic su Sign in.

   

3. L’asserzione verrà rinviata ad Altium 365. Se sullo schermo compare un messaggio Test SAML connection was successful!, la configurazione è stata completata correttamente. È possibile visualizzare la risposta SAML facendo clic sul pulsante See Response . Fare clic su Back to Settings per tornare alla pagina Authentication.

4. Nella pagina Authentication, abilitare le opzioni Altium Sign-On Settings e SSO .

Questo conclude la configurazione. Da questo momento gli utenti della propria organizzazione dovrebbero essere in grado di accedere ad Altium 365 utilizzando l’AD FS della propria organizzazione come IdP SSO.

Configurazione SSO SAML con Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

1. Andare a IAM Identity Center e aggiungere un’applicazione SAML 2.0 personalizzata (Add Application).

   

   

2.  Copiare () le voci Entity ID e Single Sign On URL  dalla sezione Altium Sign-On Settings della pagina Authentication del Dashboard aziendale e incollarle nelle impostazioni URL dei metadati AWS. Confermare le impostazioni con Submit.

   

3. Scaricare il file di metadati dall’area IAM Identity Center metadata.

   

4. Andare a Edit attribute mappings.

   

5. Aggiungere ${user:email} e Format come unspecified.

   

6. Creare nuovi utenti in AWS: i nomi degli utenti devono essere nel formato user@domain.com.

   Assegnare l’applicazione agli utenti creati o a un gruppo.

   

7. L’opzione Provisioning nella pagina Authentication del Dashboard aziendale deve essere disattivata.

   Attualmente, il provisioning automatico in uscita tramite SCIM non è supportato da AWS.

8. Assicurarsi che gli stessi utenti esistano sia sul lato Altium sia sul lato IAM. I nomi degli utenti devono seguire il formato user@domain.com.

   

9. Nella pagina Authentication del Dashboard aziendale, caricare il file XML scaricato in precedenza (per maggiori informazioni, vedere la sezione Dashboard SSO Configuration di seguito). Fare clic sul pulsante Test Sign On per testare la configurazione.

10. Si verrà quindi reindirizzati alla pagina di accesso AWS. Immettere le credenziali del proprio utente AWS. Si dovrebbe essere reindirizzati nuovamente al Dashboard e vedere il messaggio Test SAML connection was successful!.

11. Dopo un test riuscito, abilitare le opzioni Altium Sign-On Settings e SSO .