Configurazione dell’autenticazione di accesso

Integrazione del provisioning SCIM con Okta come IdP

Aggiunta dell’integrazione SCIM (System for Cross-domain Identity Management):

1. Nella Okta Admin Console seleziona la scheda General e imposta SCIM come metodo di provisioning.

   

2. Seleziona la scheda Provisioning e fai clic sul pulsante Edit.

   

3. Nella modalità di modifica delle impostazioni, seleziona tutte le azioni di provisioning (opzioni Import.. e Push..) e HTTP Header come modalità Authentication.

   

4. Copia () la voce Base URL dalla sezione Provisioning della pagina Company Dashboard Authentication e incollala nel campo Okta SCIM Connector base URL.

   Copia () la voce API Token dalla sezione Provisioning della pagina Company Dashboard Authentication e incollala nel campo Okta Authorization (sotto HTTP HEADER).

   

5. Specifica userName come Okta Unique identifier field for users.

   

6. Fai clic sul pulsante Test Connector Configuration (vedi sopra) e assicurati che la connessione funzioni. Se il test di configurazione ha esito positivo, chiudi la finestra di test e salva la configurazione ().

   

7. Seleziona To App nell’albero di navigazione a sinistra e poi l’opzione Edit.

   Abilita le opzioni Create Users, Update User Attributes e Deactivate Users, quindi fai clic su Save.

   

Provisioning e deprovisioning di utenti e gruppi:

1. Seleziona la scheda Push Groups e poi fai clic sul pulsante Refresh App Groups.

   

2. Seleziona l’opzione di pagina Directory » Groups dal menu principale.

   

   In Groups, dovresti vedere sia l’applicazione Groups sia Workspaces come voci di gruppo.

   

3. Crea gruppi Okta 'nativi' con lo stesso nome del/dei gruppo/i applicazione/workspace – in questo esempio, i gruppi importati Administrators e Workspace.

   

4. Seleziona un gruppo Okta creato e poi fai clic sul pulsante Manage Apps. Nella finestra Assign Applications to <group name>, assegna l’applicazione SCIM al gruppo e fai clic su al termine.

   

5. Torna alla pagina Groups e seleziona la scheda Push Groups. Seleziona Find groups by name option dal menu del pulsante Push Groups.

   

6. Inserisci il nome del gruppo (qui, Group Administrators) e poi scegli l’opzione Link Group per collegarlo al gruppo dell’applicazione. Salva la configurazione del collegamento ().

   

Gestione di utenti e gruppi

Ora dovresti essere in grado di aggiungere membri ai gruppi applicazione esistenti o rimuoverli.

1. Crea un nuovo utente Okta (Directory » People, quindi seleziona Add Person). Assicurati che l'utente abbia un indirizzo email univoco che non esista in AltiumLive.

2. Aggiungi il nuovo utente a un gruppo Okta assegnato all'applicazione SCIM (Directory » Groups, seleziona un gruppo, quindi usa Assign People).

3. Verifica che l'utente compaia nel Company Dashboard.

Per creare un nuovo gruppo di utenti tramite l'applicazione SCIM, crea un nuovo gruppo Okta nella pagina Groups (), quindi nella scheda Push Groups trova il nome del nuovo gruppo e scegli l'opzione Create Group (anziché 'Link Group').

L'applicazione SCIM configurata dovrebbe consentirti di:

• Modificare nome / cognome ed email di un utente.

• Modificare l'appartenenza di un gruppo.

• Modificare il nome di un gruppo.

• Creare un gruppo.

• Eliminare un gruppo – scollega il gruppo in Push Groups con l'opzione di eliminazione dall'app.

• Attivare o disattivare un utente – un utente attivato riceverà un'email di attivazione.

I Workspace sono simili ai gruppi utente in Okta, ma supportano solo la gestione dell'appartenenza. Non è possibile creare un nuovo workspace o rinominare uno esistente.

Dopo aver aggiunto o rimosso un utente da un gruppo Workspace, puoi verificare il risultato tramite l'interfaccia di Altium 365 Workspace.

• Il nuovo utente SCIM dovrebbe essere in grado di accedere usando l'SSO

• Il nuovo utente SCIM dovrebbe essere invitato automaticamente nel Workspace.

• Non verrà inviata un'email di invito all'utente.

Integrazione con Microsoft Entra ID

Applicazione SAML:

1. Accedi a Microsoft Entra admin center.

2. Seleziona Identity e quindi l'opzione Enterprise applications.

   

3. Crea la tua applicazione.

   

4. Seleziona Users and groups e quindi Add user/group.

   

   

   

    

5. Seleziona Single sign-on, Step 1 e quindi Edit.

   

   

    

6. Copia () le voci Entity ID e Single Sign On URL dalla sezione Altium Sign-On Settings della pagina Authentication del Company Dashboard. Incolla le stringhe copiate nei campi Entity ID e Assertion Consumer Service URL nell'area di configurazione SAML dell'app Microsoft Entra. Assicurati che le caselle Default siano selezionate per questi campi, quindi salva la configurazione.

   

7. Scarica il file Federation Metadata XML creato.

   

8. Carica il file Federation Metadata XML nella pagina Authentication del Company Dashboard (nell'area 2. SAML Identity Provider configuration della sezione Altium Sign-On Settings) e quindi testa la connessione di integrazione SAML.

Provisioning:

1. Nella schermata di gestione dell'app Microsoft Entra, seleziona Provisioning nel pannello a sinistra e quindi il pulsante Get started.

2. Imposta Provision MODE su Automatic.

3. Copia () le voci Base URL e API Token dalla sezione Provisioning della pagina Authentication del Company Dashboard e incollale rispettivamente nei campi Tenant URL e Secret Token.

   

4. Fai clic sul pulsante Test Connection di provisioning di Microsoft Entra e, se le credenziali vengono autorizzate correttamente, Save la configurazione.

   

5. Nella sezione Mappings sono disponibili due gruppi selezionabili di mappature degli attributi: uno per gli oggetti Group e uno per gli oggetti User.

   

6. Seleziona ciascuna mappatura per esaminare gli attributi sincronizzati da Microsoft Entra ID alla tua app. Gli attributi selezionati come proprietà di corrispondenza vengono utilizzati per associare utenti e gruppi nella tua app durante le operazioni di aggiornamento. Seleziona Save per confermare eventuali modifiche.

   

   Facoltativamente, puoi disabilitare la sincronizzazione degli oggetti gruppo disattivando la mappatura Groups.

7. In Settings, il campo Scope definisce quali utenti e gruppi vengono sincronizzati. Seleziona Sync only assigned users and groups (consigliato) per sincronizzare solo gli utenti e i gruppi assegnati nella pagina Users and groups.

   

8. Una volta completata la configurazione, imposta Provisioning Status su On.

   

9. Seleziona Save per avviare il servizio di provisioning Microsoft Entra.

Integrazione con JumpCloud come Identity Provider

1. Nell'interfaccia di JumpCloud, seleziona SSO dall'albero di navigazione, quindi il pulsante Add New Application nella pagina SSO.

   

2. Inserisci 'saml' nella finestra di configurazione Search per individuare e quindi installare Custom SAML App.

   

3. Assegna un nome alla tua istanza di Custom SAML App – in questo esempio, l'etichetta è 'Altium'.

   

4. Passa alla scheda SSO nell'interfaccia di configurazione di JumpCloud. Copia () le voci Entity ID e Single Sign On URL dalla sezione Altium Sign-On Settings della pagina Authentication del Company Dashboard e incollale rispettivamente nei campi SP Entity ID e Default URL.

   

5. Inserisci l'endpoint JumpCloud IDP URL e abilita l'opzione Declare Redirect Endpoint.

   

6. Passa alla scheda Identity Management nell'interfaccia JumpCloud. Copia () le voci Base URL e API Token dalla sezione Provisioning della pagina Authentication del Company Dashboard e incollale rispettivamente nei campi Base URL e Token Key. Inserisci inoltre un indirizzo email di test appropriato.

   

7. Esegui un Test Connection, che mostrerà un messaggio di conferma in alto a destra nella pagina (come mostrato di seguito).

   

8. Disattiva (deseleziona) l'opzione Group Management e quindi Activate la configurazione.

   

   Nota: se ricevi un errore di connessione come 'There was a problem activating Identity Management' nella parte superiore della pagina o 'Test filter user: unable to get or create user from service' nella parte inferiore della pagina, prova a inserire un indirizzo email di test diverso e quindi a selezionare nuovamente Activate.

9. Tornando alla scheda SSO dell'interfaccia JumpCloud, usa l'opzione Export Metadata per scaricare il file XML dei metadati SAML risultante.

   

10. Nella pagina Authentication del Company Dashboard, importa il file XML dei metadati scaricato e quindi avvia un test di integrazione con il pulsante Test Sign On. Dovrebbe quindi essere visualizzato l'esito positivo del test di integrazione. Dopo la conferma della connessione puoi abilitare l'opzione Altium Sign-On Settings e quindi l'opzione SSO nella sezione Authentication methods.

Autenticazione SSO SAML con Microsoft Administrative Domain Federated Services (AD FS)

Segui i passaggi descritti di seguito per configurare l'accesso alla tua organizzazione Altium 365 in modo che utilizzi la tua istanza AD FS per l'autenticazione SSO.

Prerequisiti

• Accesso amministrativo al Company Account dell'organizzazione in Altium 365.

• Accesso amministrativo all'istanza AD FS.

Configurazione di AD FS

1. Apri l'applicazione AD FS Management (di solito Start → Windows Administrative Tools → AD FS Management).

2. Vai a Relying Party Trusts e fai clic sull'opzione Add Relying Party Trust... (1).

3. Nella finestra popup assicurati di selezionare Claims aware (2) e fai clic su Start (3).

   

4. Nel passaggio Select Data Source seleziona Enter data about the relying party manually (1) e fai clic su Next (2).

   

5. Fornisci un nome visualizzato per il trust. In questo esempio viene utilizzato AltiumLive come nome visualizzato.

   

6. A seconda della configurazione di sicurezza, puoi specificare un certificato facoltativo per la crittografia del token. Ai fini di questa guida non ne useremo uno.

   

7. Nel passaggio Configure URL assicurati di selezionare l'opzione Enable support for the SAML 2.0 WebSSO protocol (1) e inserisci https://identity.live.altium.com/AssertionConsumerService nel campo Relying party SAML 2.0 SSO service URL: (2). Fai clic su Next (3).

   

8. Nel passaggio Configure Identifiers fornisci un identificatore per questo trust nel campo di input (1). L'identificatore deve essere preso dalla voce Entity ID situata nell'area SAML Single Sign-On della pagina Dashboard Authentication. Assicurati di fare clic sul pulsante Add (2).

   

   Il risultato dovrebbe apparire come segue. Fai clic su Next.

   

9. A seconda della configurazione di sicurezza, nel passaggio successivo puoi scegliere criteri facoltativi di controllo accessi. In questo esempio non selezioneremo criteri aggiuntivi e proseguiremo con l'opzione Permit everyone.

   

10. Rivedi la configurazione e seleziona Next.

    

11. Non tutte le impostazioni sono disponibili durante la configurazione del trust. Per consentire l'uso di SHA-1 come algoritmo hash sicuro, fai clic con il pulsante destro sul nome di Relying Party Trust che hai appena aggiunto e seleziona Properties.

    

12. Nella finestra delle proprietà seleziona la scheda Advanced (1) e imposta SHA-1 come algoritmo hash sicuro (2). Fai clic su OK per salvare le modifiche.

    

13. Tornando alla finestra di gestione AD FS, seleziona il Relaying Party Trust che hai aggiunto e seleziona l'opzione Edic Claim Issuance Policy...

    

14. Nella finestra Edit Claim Issuance Policy seleziona Add Rule...

    

15. Nel passaggio Choose Rule Type della procedura guidata assicurati che Send LDAP Attributes as Claims sia selezionato, quindi fai clic su Next.

    

16. Fornire un Claim rule name (1), selezionare Active Directory come Attribute store (2) e selezionare un LDAP Attribute (3) dall'ID che contiene il nome utente dell'Altium Account. Questo attributo deve essere mappato a Name ID in Outgoing Claim Type (3). Fare clic su Finish (4).

    

    Important Note: In questo esempio abbiamo mappato Surname o Last name per contenere il valore richiesto. La configurazione potrebbe essere diversa.

    

17. Assicurarsi che il criterio di emissione delle attestazioni sia salvato facendo clic su OK.

    

Questa operazione conclude la configurazione di AD FS.

Configurazione di Altium 365

1. Accedere alla pagina Authentication del Dashboard aziendale e caricare il file FederationMetadata.xml scaricato in precedenza (vedere la sezione Dashboard SSO Configuration di seguito per ulteriori informazioni). La configurazione dovrebbe essere importata e i valori di X509 Certificate, Identity Provider Issuer e IdP Single Sign-On URL dovrebbero essere visibili. Fare clic sul pulsante Test Sign On per testare la configurazione.

2. Nella schermata di accesso, inserire le credenziali utente in base ai requisiti della propria organizzazione e fare clic su Sign in.

   

3. L'asserzione verrà rinviata ad Altium 365. Se sullo schermo viene visualizzato un messaggio Test SAML connection was successful!, la configurazione è stata completata correttamente. È possibile visualizzare la risposta SAML facendo clic sul pulsante See Response . Fare clic su Back to Settings per tornare alla pagina Authentication.

4. Nella pagina Authentication, abilitare le opzioni Altium Sign-On Settings e SSO .

Questa operazione conclude la configurazione. Da questo momento gli utenti della propria organizzazione dovrebbero poter accedere ad Altium 365 utilizzando AD FS della propria organizzazione come IdP SSO.

Configurazione SSO SAML con Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

1. Andare a IAM Identity Center e aggiungere un'applicazione SAML 2.0 personalizzata (Add Application).

   

   

2.  Copiare () le voci Entity ID e Single Sign On URL  dalla sezione Altium Sign-On Settings della pagina Authentication del Dashboard aziendale e incollarle nelle impostazioni dell'URL dei metadati AWS. Confermare le impostazioni con Submit.

   

3. Scaricare il file dei metadati dall'area IAM Identity Center metadata.

   

4. Andare a Edit attribute mappings.

   

5. Aggiungere ${user:email} e Format come unspecified.

   

6. Creare nuovi utenti in AWS: i nomi degli utenti devono essere nel formato user@domain.com.

   Assegnare l'applicazione agli utenti creati o a un gruppo.

   

7. L'opzione Provisioning nella pagina Authentication del Dashboard aziendale deve essere disattivata.

   Attualmente, il provisioning automatico in uscita tramite SCIM non è supportato da AWS.

8. Assicurarsi che gli stessi utenti esistano sia lato Altium sia lato IAM. I nomi utente devono seguire il formato user@domain.com.

   

9. Nella pagina Authentication del Dashboard aziendale, caricare il file XML scaricato in precedenza (vedere la sezione Dashboard SSO Configuration di seguito per ulteriori informazioni). Fare clic sul pulsante Test Sign On per testare la configurazione.

10. Si verrà quindi reindirizzati alla pagina di accesso AWS. Inserire le credenziali utente AWS. Si dovrebbe essere reindirizzati di nuovo al Dashboard e visualizzare il messaggio Test SAML connection was successful! .

11. Dopo un test riuscito, abilitare le opzioni Altium Sign-On Settings e SSO .