Con deskbird, puoi integrare il Single Sign-on (SSO) utilizzando Microsoft Entra ID (precedentemente Azure AD). Questo garantisce un'autenticazione sicura e un accesso comodo in tutta la tua organizzazione.
- Configura SSO con Entra ID
- Configurazione manuale OIDC (nessuna Enterprise Application richiesta)
- Limita i permessi tramite Assegnazione Applicazione
1. Configura SSO con Entra ID
Per attivare il SSO, un amministratore IT deve installare l'Enterprise Application di Microsoft Entra ID e concedere i permessi richiesti.
👉 Clicca qui per installare e concedere l'accesso:
https://login.microsoftonline.com/common/adminConsent?client_id=60e10e49-86e8-4755-ac34-2804c82237c6&redirect_uri=https://www.deskbird.com/single-sign-on-via-azure-ad
I permessi richiesti sono:
- User.Read: Permette agli utenti di accedere a deskbird e consente a deskbird di leggere i profili degli utenti autenticati. Nota: deskbird non ha accesso ai dati del profilo degli utenti che non hanno mai effettuato l'accesso.
- Group.Read.All: Permette a deskbird di leggere tutti i gruppi di utenti. Questo viene utilizzato, ad esempio, per importare i gruppi di utenti nel portale amministratore o per sincronizzare i gruppi quando gli utenti effettuano l'accesso.
Ci sono altri permessi standard che vengono aggiunti automaticamente e non richiedono il consenso dell'amministratore.
- offline_access: Permette a deskbird di utilizzare i token di aggiornamento per recuperare dati tramite Microsoft Graph API.
- email, openid e profile: Permessi aggiunti automaticamente che concedono a deskbird permessi simili a User.Read ma con meno informazioni sul profilo.
Il tipo di permesso è delegato, il che significa che deskbird accede alla Graph API come l'utente autenticato ma con accesso limitato dai permessi selezionati.
💡 Nota: Le foto del profilo degli utenti vengono sincronizzate automaticamente durante la prima autenticazione SSO, se disponibili.
💡 Se il SSO è configurato come unico metodo di accesso per la tua organizzazione, questa restrizione si applica solo agli utenti interni. Gli utenti esterni (ad esempio collaboratori) possono comunque essere aggiunti a deskbird e utilizzare email e password per accedere, poiché non rientrano nell'ambito del tuo identity provider.
2. Configurazione manuale OIDC (nessuna Enterprise Application richiesta)
Se la tua organizzazione non può installare l'Enterprise Application di deskbird dalla galleria app di Microsoft, puoi configurare il SSO creando una tua App Registration in Entra ID e condividendo le credenziali con deskbird. L'integrazione verrà poi configurata dal team di supporto deskbird.
Passaggio 1: Crea la App Registration
- Vai su Azure Portal > Microsoft Entra ID > App registrations > New registration.
- Inserisci un nome, ad esempio
deskbird SSO. - In Supported account types, seleziona Accounts in this organizational directory only (single tenant).
- Clicca su Register.
Passaggio 2: Prendi nota degli ID
- Dalla pagina Overview dell'app, copia Application (client) ID e Directory (tenant) ID.
Passaggio 3: Crea un Client Secret
- Vai su Certificates & secrets > Client secrets > New client secret.
- Inserisci una descrizione, ad esempio
deskbird production, e scegli una durata di scadenza. - Clicca su Add e copia subito il Value — non verrà più mostrato.
Passaggio 4: Configura i permessi API
- Vai su API permissions > Add a permission > Microsoft Graph > Delegated permissions.
- Aggiungi i seguenti permessi:
openid,profile,email,User.Read. - Clicca su Grant admin consent for [Organization].
Passaggio 5: Condividi le credenziali con deskbird
Contatta il supporto deskbird e fornisci i seguenti tre valori:
- Directory (tenant) ID
- Application (client) ID
- Valore del Client Secret
Il team di supporto deskbird completerà la configurazione per te.
⚠️ Nota: Il valore del Client Secret è sensibile. Condividilo in modo sicuro ed evita di inviarlo tramite canali non criptati.
3. Limita i permessi tramite Assegnazione Applicazione
Puoi limitare quali utenti o gruppi possono accedere a deskbird tramite SSO.
- Nel centro di amministrazione Entra, apri l'Enterprise App di deskbird.
- In Properties, imposta Assignment required su "Yes".
- Aggiungi utenti o gruppi specifici in Users and groups.
⚠️ Questo limita l'accesso all'accesso, ma non effettua il provisioning degli utenti. Per il provisioning automatico, è necessaria una configurazione SCIM separata.
⚠️ Errore AADSTS50105: Questo errore si verifica quando qualcuno prova ad accedere ma non è assegnato a un gruppo autorizzato. Chiedi al tuo team IT interno di aggiungere l'utente al gruppo di accesso corretto (o di aggiornare i suoi permessi), poi riprova.