Il Single Sign-On (SSO) con SAML 2.0 consente ai tuoi utenti di accedere a deskbird con il loro provider di identità esistente (IdP). Di seguito troverai opzioni di avvio rapido per Okta e Keycloak, oltre a una guida completa per la configurazione della federazione (SSO avviato dal SP).
1. SAML con Okta
Utilizza la nostra guida dedicata a Okta per configurare un'app SAML di Okta, mappare gli attributi richiesti e testare l'SSO avviato dal SP su deskbird. Include screenshot, dichiarazioni di attributi e suggerimenti per la risoluzione dei problemi.
👉 Passo dopo passo: Configurare SAML SSO con Okta
2. SAML con Keycloak
Preferisci usare Keycloak? Segui la guida di Keycloak per avviare l'SSO su deskbird.
👉 Passo dopo passo: Configurare SAML SSO con Keycloak
3. Configurazione della Federazione SAML 2.0
SAML 2.0 (Security Assertion Markup Language) è un protocollo basato su XML per scambiare in modo sicuro dati di autenticazione/autorizzazione tra un provider di identità (IdP) e un service provider (SP). deskbird supporta l'SSO avviato dal SP (l'autenticazione deve iniziare da deskbird).
Se desideri una tessera nel tuo launcher IAM (ad es., OneLogin, JumpCloud) su cui gli utenti possono cliccare, aggiungi un'applicazione Bookmark che avvia il flusso avviato dal SP in deskbird:https://app.deskbird.com/saml?providerName={saml-provider-ID}
L'ID del provider SAML segue il formato saml.{company-name}. Esempio per "Polaroid": https://app.deskbird.com/saml?providerName=saml.polaroid.
Crea un'applicazione di Federazione separata e nascosta nel tuo IdP per la connessione SAML stessa (non visibile agli utenti).
3.1 Configurazione generale
Configura il tuo IdP con i seguenti dettagli del Service Provider di deskbird:
| ID del Service Provider (Entity ID) | https://api.deskbird.app/saml/metadata |
| URL ACS (Callback) | https://app.deskbird.com/__/auth/handler |
💡 Per un'autenticazione SAML 2.0 di successo, imposta NameID sull'indirizzo email dell'utente con il formato urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.
Esempio di frammento di asserzione
<saml2:Subject> <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" NameQualifier="<IdP Entity ID>" SPNameQualifier="https://api.deskbird.app/saml/metadata" xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> email </saml2:NameID> <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> </saml2:Subject>
Invia a deskbird per la configurazione
| IdP Entity ID | |
| IdP SSO URL | |
| Certificato IdP | Deve iniziare con -----BEGIN CERTIFICATE----- e terminare con -----END CERTIFICATE----- (incolla senza caratteri extra/nuove righe). |
Se hai un file di metadati IdP, puoi semplicemente inviare quello.
3.2 Attributi utente
Attributi richiesti (usa i nomi esatti):
| Attributo | Descrizione |
| Indirizzo email UPN utilizzato per l'accesso, le notifiche e le informazioni di prenotazione | |
| first_name | Nome dell'utente (visualizzato nella piattaforma) |
| last_name | Cognome dell'utente (visualizzato nella piattaforma) |
Attributi consigliati:
| Attributo | Descrizione |
| avatar_url | URL dell'immagine del profilo; vengono usate le iniziali se omesso |
| external_id | ID utente IdP per il matching |
| manager_id | ID IdP del responsabile diretto dell'utente (usato per le approvazioni) |
| locale | Lingua preferita dell'utente (predefinita alla lingua aziendale se omessa) |
| office | Ufficio principale dell'utente |
| job_title | Posizione lavorativa dell'utente |
| department | Dipartimento dell'utente (usato per la gestione degli accessi) |
| company_entity | Entità legale dell'utente (predefinita all'entità aziendale se omessa) |
3.3 File di metadati
Dopo aver creato l'applicazione SAML nel tuo IdP, inviaci il file di metadati che include:
- Certificato
- Entity ID
- SSO URL