Active Directory Federation Services utilizzando SAML

Seguire i passaggi riportati di seguito per configurare il single sign-on (SSO) per Claris Studio con i servizi federativi della propria istanza Active Directory utilizzando il protocollo SAML (Security Assertion Markup Language). Per stabilire l'attendibilità tra la propria istanza AD e il team Claris Studio, è necessario:

Creare una relazione di attendibilità della relying party.
Aggiungere mappature per le attestazioni.
Inserire l'URL dei metadati in Claris Studio.

Aprire la pagina di configurazione di Claris Studio

Accedere al proprio team Claris Studio.
Fare clic sulla scheda Utenti a sinistra, quindi fare clic su Configura IdP esterno.
Nella finestra di dialogo Configura il provider di identità esterno, per Protocollo, selezionare SAML. Tenere aperta questa pagina per ritornarvi più tardi.

Aggiungere un'attendibilità della relying party

Nell'istanza di Windows Server, eseguire l'accesso con il proprio account di amministratore. Dal menu Start (Start), fare clic su Windows Administrative Tools (Strumenti di amministrazione di Windows) nella sezione Windows Server (Windows Server) a destra.
Nella nuova finestra Esplora file, aprire il collegamento rapido AD FS Management (Gestione di AD FS).
Nella barra laterale sinistra della finestra di AD FS, fare clic con il pulsante destro del mouse su Relying Party Trusts (Attendibilità relying party) > Add Relying Party Trust (Aggiungi attendibilità relying party).
Nella procedura guidata, selezionare Claims aware (Tiene conto delle attestazioni), quindi fare clic su Start (Avvio).
Selezionare Enter data about the relying party manually (Inserisci manualmente dati relying party), quindi fare clic su Next (Avanti).
Assegnare alla nuova integrazione un nome in Display name (Nome visualizzato) ed aggiungere eventuali note in Notes (Note) per aiutare a distinguere questa integrazione per il proprio team Claris Studio da altre integrazioni. Fare clic su Next (Avanti).
Lasciare vuota la configurazione del certificato.

Fare clic su Next (Avanti).
Selezionare l'opzione Enable support for the SAML 2.0 WebSSO Protocol (Abilita supporto per il protocollo SAML 2.0 WebSSO). Quindi in Claris Studio, copiare il valore URL ACS (Assertion Consumer Service) (vedere "Aprire la pagina di configurazione di Claris Studio" sopra) e incollarlo qui.

Fare clic su Next (Avanti).
Per Relying party trust identifier (Identificativo attendibilità relying party), in Claris Studio, copiare ID entità (vedere "Aprire la pagina di configurazione di Claris Studio" sopra) e incollarlo qui.

Quindi fare clic su Add (Aggiungi) e poi su Next (Avanti) per continuare.
Scegliere un criterio di accesso per stabilire quali utenti dell'organizzazione possono accedere a questo team di Claris Studio.

Ad esempio, se si seleziona Permit Everyone (Consenti a tutti), tutti gli utenti dell'istanza di Active Directory potranno accedere a questo team di Claris Studio.

Fare clic su Next (Avanti).
Nella schermata Ready to Add Trust (Pronto ad aggiungere attendibilità), fare clic su Next (Avanti) senza modificare nulla.
Assicurarsi che Configure claims issuance policy (Configura criteri di emissione attestazioni) sia selezionato per questa applicazione.

Fare clic su Close (Chiudi).

Aggiungere mappature

Le proprietà degli utenti di Active Directory devono essere associate a nomi che verranno compresi da Claris Studio.

Per Relying Party Trusts (Attendibilità relying party), selezionare l'attendibilità appena aggiunta, quindi fare clic su Edit Claim Issuance Policy (Modifica criteri di emissione attestazioni) nella barra laterale a destra.
Nella finestra di dialogo, fare clic su Add Rule (Aggiungi regola).
Nella procedura guidata sulla nuova regola, per Claim rule template (Modello regola attestazione), lasciare selezionata l'opzione Send LDAP Attributes as Claims (Invia attributi LDAP come attestazioni).

Fare clic su Next (Avanti).
Per Claim rule name (Nome regola attestazione), assegnare alla regola un nome descrittivo. Per Attribute store (Archivio attributi), lasciare impostato su Active Directory (Active Directory).

Quindi, fare clic sulla freccia di apertura opzioni e selezionare E-Mail-Addresses (Indirizzi-e-mail) come attributo LDAP per la prima riga. Nella riga successiva, selezionare l'opzione Given-Name (Nome-Assegnato) e nella terza riga, selezionare Surname (Cognome).

Nella colonna Outgoing Claim Type (Tipo di attestazione in uscita) per ogni riga, inserire il seguente valore per ogni attributo LDAP. Assicurarsi di inserire i tipi di attestazione esattamente come mostrato, perché fanno distinzione tra maiuscole e minuscole.
- E-Mail-Addresses (Indirizzi-E-mail) → Email (E-mail)
- Given-Name (Nome-Assegnato) → Firstname (Nome)
- Surname (Cognome) → Lastname (Cognome)
Al termine, fare clic su Finish (Fine).
Nella finestra di dialogo, fare clic su Apply (Applica).

Questo è tutto. Ora è possibile chiudere tutte le finestre rimanenti e uscire dall'istanza di Windows Server.

Inserire i valori in Claris Studio

Tornare alla pagina di Claris Studio aperta in precedenza (vedere "Aprire la pagina di configurazione di Claris Studio").
Nella finestra di dialogo Configura il provider di identità esterno, per Protocollo, selezionare SAML. Quindi per Metadati, inserire il seguente URL:

https://<dominio AD FS>/federationmetadata/2007-06/FederationMetadata.xml

dove <dominio AD FS> è il proprio nome di dominio AD FS o indirizzo IP
Selezionare uno o più Default Groups (Gruppi predefiniti) a cui si desidera accedere utilizzando questo IdP esterno, quindi fare clic su Apply (Applica).

Se non si hanno gruppi, è possibile crearne uno qui e aggiungervi gli utenti in seguito. Vedere Lavorare con i gruppi per maggiori informazioni.
Nella pagina Utenti, copiare il collegamento URL di accesso all'applicazione e fornirlo agli utenti. L'utilizzo di questo URL consente loro di accedere a Claris Studio con le proprie credenziali SSO.