Il Security Assertion Markup Language (SAML) è uno standard per l’accesso degli utenti in applicazioni sulla base della loro sessione in un altro contesto. SAML abilita l’accesso singolo (single sign-on, SSO), che consente agli utenti di accedere a più applicazioni differenti utilizzando un’unica serie di credenziali.
Questo metodo comporta vantaggi significativi rispetto all’accesso mediante nome utente e password, perché gli utenti non devono digitare le proprie credenziali, non devono ricordare e aggiornare le password né devono preoccuparsi dell’utilizzo di password deboli. Molte organizzazioni conoscono già l’identità degli utenti perché hanno effettuato l’accesso al loro dominio Active Directory o intranet ed è logico utilizzare queste informazioni per l’accesso degli utenti in altre applicazioni o applicazioni basate su web; il modo più elegante per farlo è utilizzando SAML.
Per maggiori informazioni su SAML, leggi le sezioni seguenti.
Come funziona SAML/SSO
Il single sign-on (SSO) SAML trasferisce l’identità dell’utente dal provider di identità al provider di servizi, attraverso lo scambio documenti XML con firmati digitale. Considera il seguente scenario: un utente ha effettuato l’accesso a un sistema, che agisce come provider di identità e lo stesso utente vuole effettuare l’accesso a un’applicazione remota come Learner Experience di KnowBe4 o un altro provider di servizi.
In questo scenario è necessario procedere come segue:
- L’utente fa clic sul link per l’applicazione utilizzando la propria intranet aziendale, un segnalibro o un’opzione simile, quindi l’applicazione si avvia.
- Tale applicazione identifica l’origine dell’utente e lo reindirizza al provider di identità chiedendo l’autenticazione. Per identificare l’origine dell’utente, l’applicazione utilizza il sottodominio applicazione, l’indirizzo IP dell’utente o informazioni simili, creando la richiesta di autenticazione.
- L’utente ha già attiva una sessione con il provider di identità, oppure ne stabilisce una accedendo al provider di identità,
- il quale crea la risposta di autenticazione in formato documento XML che contiene il nome utente o l’indirizzo e-mail dell’utente. Il provider di identità poi firma il documento utilizzando il certificato X.509 e invia questa informazione al provider di servizi,
- che scarica la risposta di autenticazione e la convalida utilizzando il fingerprint del certificato. Il provider di servizi conosce già il provider di identità e possiede il fingerprint del certificato. L’identità dell’utente viene stabilita.
Per un ausilio visivo relativo a questo flusso di lavoro, fare riferimento alla screenshot seguente:
Per maggiori informazioni sugli elementi base del funzionamento di SAML e SSO, leggi l’articolo di Auth0 What is SAML and how does SAML Authentication Work (Cos’è SAML e come funziona l’autenticazione SAML).
Come funziona SAML per la Learner Experience (LX)
KnowBe4 supporta SAML 2.0. SAML per la Learner Experience (LX) di KnowBe4 interagisce esattamente come fa con tutti gli altri provider di servizi. In genere, il servizio di autenticazione utenti di un’organizzazione viene gestito dal proprio sistema di autenticazione, come Active Directory (AD) o Lightweight Directory Access Protocol (LDAP). Questi sistemi di autenticazione sono chiamati provider di identità.
In questo caso il provider di servizi, quindi LX, consente al provider di identità di autenticare gli utenti e di farli accedere al proprio LX. Ciò significa che gli utenti possono effettuare l’accesso mentre sono al lavoro e accedere automaticamente alle applicazioni della propria organizzazione come e-mail o sistema customer relationship management (CRM) senza dover effettuare un accesso separato a questi servizi. Tralasciando la comodità che ciò crea per gli utenti, tutte le autenticazioni utente sono gestite internamente da un sistema su cui si ha un controllo completo.
Dopo aver abilitato SAML come tipologia di single sign-on (SSO) per LX, gli utenti che tentano di accedere a LX saranno reindirizzati al server SAML per l’autenticazione. L’identità dei tuoi utenti può essere archiviata sul server SAML oppure può essere convalidata da una directory di identità come Microsoft Active Directory o Lightweight Directory Access Protocol (LDAP). Una volta autenticati, gli utenti sono reindirizzati al proprio LX e l’accesso viene effettuato automaticamente.
Configurare SAML/SSO per la tua organizzazione
KnowBe4 supporta SAML 2.0. Per abilitare l’integrazione SAML nella tua console KSAT, leggi l’articolo Come abilitare single sign-on SAML per il provider SSO.
Se il tuo provider SAML non è presente nell’elenco e hai bisogno di aiuto, contatta il nostro team di supporto per richiedere assistenza.