È possibile utilizzare l'area di lavoro Autenticazione per configurare SSO in Automation Config affinché funzioni con un sistema di autenticazione compatibile con i protocolli OAuth e OIDC.
Single Sign-On (SSO) OAuth è una funzionalità che viene configurata da molte organizzazioni durante l'implementazione di Automation Config per:
- Ridurre il tempo impiegato dagli utenti per accedere ai servizi con la stessa identità. Dopo aver effettuato l'accesso a uno dei servizi di un'organizzazione, gli utenti vengono autenticati automaticamente in qualsiasi altro servizio che utilizza SSO.
- Ridurre il numero di password. L'utente deve ricordare un solo set di credenziali.
Molti servizi forniscono implementazioni del protocollo OAuth con supporto per OIDC, tra cui OKTA, Google, Microsoft, GitLab, Zendesk, Apple, Keycloak, Salesforce e molti altri.
Termine | Definizione |
---|---|
OAuth | OAuth 2.0 è un protocollo aperto (definito a volte anche standard) per la delega dell'accesso in cui l'utente può eseguire azioni in un sito Web dopo che l'identità dell'utente è stata autenticata con un token di sicurezza. Viene in genere utilizzato per consentire agli utenti di fornire alle applicazioni l'accesso alle loro informazioni disponibili in altre applicazioni di terze parti senza dover comunicare le proprie credenziali di accesso (password). OAuth è SSO (Single Sign-On) basato sul browser. OAuth consente l'emissione di token di accesso a client di terze parti da un server di autorizzazione, con l'approvazione del proprietario della risorsa. Le terze parti utilizzano quindi il token di accesso per accedere alle risorse protette ospitate dal server delle risorse. |
Open ID Connect (OIDC) |
Open ID Connect (OIDC) è un livello di identità semplice del protocollo OAuth 2.0. OIDC consente ai client di verificare le identità degli utenti in base all'autenticazione eseguita da un server di autorizzazione. Può inoltre ottenere informazioni di base sul profilo dell'utente nelle varie applicazioni. |
Proprietario della risorsa | Il proprietario della risorsa è l'utente che autorizza un'applicazione ad accedere al proprio account. L'accesso dell'applicazione all'account dell'utente è limitato all'ambito dell'autorizzazione concessa, ad esempio l'accesso in lettura o scrittura. |
Client | Il client è l'applicazione di terze parti che deve accedere all'account dell'utente, che in questo caso è Automation Config. |
Server di autorizzazione | Il server di autorizzazione ospita gli account e le credenziali degli utenti protetti. Verifica l'identità dell'utente e quindi emette i token di accesso per il client. È spesso accessibile tramite l'API del servizio. |
Server delle risorse | Il server delle risorse è il server API utilizzato per accedere alle informazioni dell'utente. Gestisce le richieste autenticate dopo che il client ha ottenuto un token di accesso. Le distribuzioni di dimensioni più piccole hanno in genere un solo server delle risorse che spesso viene creato come parte della stessa base di codice o della stessa distribuzione del server di autorizzazione. Le distribuzioni su larga scala possono avere più server delle risorse. Ogni server delle risorse è distinto dagli altri, ma tutti condividono lo stesso server di autorizzazione. |
Per OIDC, l'utente dovrà innanzitutto accedere a Automation Config in modo da poter essere aggiunto come utente nel database degli utenti locali. Dopo che gli utenti hanno eseguito l'accesso iniziale, i ruoli e le autorizzazioni degli utenti verranno gestiti nello stesso modo in cui si gestiscono gli utenti le cui credenziali vengono archiviate localmente in Automation Config nel server RaaS. Dopo che l'utente ha effettuato l'accesso iniziale, è possibile utilizzare l'area di lavoro Ruoli per assegnare a tale utente autorizzazioni e ruoli appropriati.
Funzionamento di OAuth e OIDC con Automation Config
Quando si tenta di accedere a Automation Config utilizzando un'identità OAuth:
- Automation Config richiede all'utente l'autorizzazione per accedere alle risorse del servizio.
- Se l'utente autorizza la richiesta, Automation Config riceve una concessione di autorizzazione.
- Automation Config richiede un token di accesso al server di autorizzazione (API) presentando l'autenticazione della propria identità.
- Se l'identità dell'applicazione viene autenticata e la concessione dell'autorizzazione è valida, il server di autorizzazione (API) emette un token di accesso per Automation Config.
- Automation Config richiede la risorsa al server delle risorse (API) e presenta il token di accesso per l'autenticazione.
- Se il token di accesso è valido, il server delle risorse (API) fornisce la risorsa per l'applicazione e l'utente è autorizzato ad accedere a Automation Config.
Prerequisiti
Prima di configurare OAuth e OIDC in Automation Config, assicurarsi di disporre dell'accesso necessario al servizio OAuth 2.0 per l'organizzazione (OKTA o Google) e di avere una certa familiarità con il processo di registrazione delle applicazioni.
Sul sito Web del servizio OAuth, immettere le informazioni di base su Automation Config come il nome, il sito Web e così via. Dopo la registrazione dell'applicazione, viene visualizzato un segreto client che sarà necessario fornire a Automation Config.
Uno degli aspetti più importanti quando si crea l'applicazione è la registrazione di uno o più URL di reindirizzamento che l'applicazione utilizzerà. Gli URL di reindirizzamento sono gli URL a cui il servizio OAuth 2.0 reindirizzerà l'utente dopo che avrà autorizzato l'applicazione.
Configurazione di un provider di identità
Per configurare SSO utilizzando il servizio OAuth e OIDC preferito dell'organizzazione:
- Fare clic su Amministrazione > Autenticazione nel menu laterale.
- Fare clic su Crea.
- Nel menu Tipo di configurazione, selezionare OIDC.
- Nel campo Nome, assegnare un nome descrittivo a questa configurazione.
- Nel menu Provider OIDC selezionare OKTA o Google.
- Compilare i seguenti campi obbligatori con le informazioni sull'installazione di Automation Config:
Campo Descrizione URI di base L'URL di base utilizzato dall'organizzazione in Automation Config, noto anche come indirizzo del server host. Questo URL è formattato come nome di dominio completo o indirizzo IP, ad esempio https://example.com
.URL API URL dell'API fornito dal provider di identità. Questo campo viene visualizzato solo se il provider di identità è OKTA. Key La chiave fornita dal provider di identità. In OKTA, la chiave è definita ID client. Segreto Il segreto fornito dal provider di identità. In OKTA, la chiave è definita segreto client. - Fare clic su Salva.
A questo punto, la configurazione di OIDC per Automation Config è stata completata.