Come possiamo aiutarvi oggi?
Configurazione manuale SAML Single Sign-On
Le istruzioni contenute in questo articolo sono applicabili solo alle installazioni MyWorkDrive che utilizzano Active Directory per l'identità dell'utente. Se MyWorkDrive è configurato con Entra ID per la directory utente, utilizza un accesso Microsoft nativo e non è richiesto SAML per abilitare SSO.
Panoramica della configurazione manuale SAML di MyWorkDrive
Security Assertion Markup Language (SAML) è uno standard aperto per lo scambio di dati di autenticazione e autorizzazione tra parti, in particolare tra un fornitore di identità e un fornitore di servizi. Come suggerisce il nome, SAML è un linguaggio di markup basato su XML per asserzioni di sicurezza (dichiarazioni che i fornitori di servizi utilizzano per prendere decisioni sul controllo degli accessi).
MyWorkDrive Server 5.0 supporta il Single Sign On (SSO) di Web File Manager basato su SAML oltre ad ADFS (che è configurato separatamente). Per SAML, MyWorkDrive funge da fornitore di servizi (SP) mentre il partner funge da fornitore di identità (IdP), ad esempio: Shibboleth, OneLogin, Centrify, Azure AD, OKTA, ecc.
Guide di installazione SAML preconfigurate
Diversi provider SAML sono preconfigurati in MyWorkDrive e utilizzano un processo di configurazione semplificato. Consulta i seguenti articoli per la configurazione di Azure AD, Okta e OneLogin. Non è necessario né consigliato configurare manualmente MyWorkDrive per questi provider.
Prerequisiti SAML manuali
- Assicurati che gli utenti abbiano applicato un suffisso upn al nome di dominio in modo che corrisponda al nome di accesso del provider SAML in modo che possano accedere al tuo server MyWorkDrive con il loro indirizzo e-mail.
- Assicurati che il server MyWorkDrive sia attendibile per la delega secondo la nostra Articolo della delegazione
- Rendi disponibile il tuo server tramite Cloud Web Connector o configura il tuo certificato SSL pubblico e il tuo nome host che puntano al tuo server MyWorkDrive sulla porta 443 (SSL) e assicurati che il tuo server sia accessibile pubblicamente. Visualizza l'articolo di supporto.
Flusso di accesso
Di seguito viene spiegato il flusso di accesso dell'utente a MyWorkDrive da un provider di identità (IdP):
- Si presuppone che tutti gli utenti accedano a ldP utilizzando il suffisso UPN (ad esempio @tuodominio.com) e che corrisponda al nome utente UPN di Active Directory.
- Il tuo server MyWorkDrive utilizza il tuo nome host e il tuo certificato SSL (*.MyWorkDrive.net non è supportato per SAML).
- L'utente fa clic sull'URL del servizio consumer dell'asserzione MyWorkDrive (ad esempio https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) come URL Single Sign-On.
- Se l'utente non ha già effettuato l'accesso a ldP, il server MyWorkDrive reindirizza l'utente al servizio SSL per accedere.
- Una volta confermato, il servizio IdP genera una risposta SAML valida e reindirizza l'utente a MyWorkdrive per verificare la risposta SAML.
- Se l'autenticazione dell'utente viene convalidata con successo, viene automaticamente effettuato l'accesso al MyWorkDrive Web File Manager della propria azienda.
Passaggi di configurazione del server SAML SSL MyWorkDrive
Per configurare correttamente SAML sul server MyWorkDrive sono necessari i seguenti passaggi manuali:
Configurazione del servizio IdP
Se il tuo IdP importerà le impostazioni dai metadati, puoi utilizzare il collegamento ai metadati MyWorkDrive dal tuo server all'indirizzo https://YourMWDserver.yourdomain.com/SAML/ServiceProviderMetadata
- Crea una configurazione SAML sull'IdP che fa riferimento a MyWorkDrive:
- Specificare l'URL del servizio consumer dell'asserzione (ad esempio https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) come URL Single Sign-On.
- Specificare l'URI del pubblico (ID entità SP): immettere "MyWorkDrive" come URI del pubblico.
- Specificare l'URL del servizio di disconnessione singolo (ad esempio https://YourMWDServer.yourdomain.com/SAML/SLOService.aspx) come URL di disconnessione.
- Specificare l'emittente SP. Questo è il nome del fornitore di servizi locale: inserisci "MyWorkDrive".
- Scarica il certificato ldP e inseriscilo in C:\Wanpath\WanPath.Data\Settings\Certificates
Configurazione del server MyWorkDrive
- Aggiorna la configurazione SAML che si trova in C:\Wanpath\WanPath.Data\Settings per rimuovere il commento dal voce per il tuo IdP. Se non è presente una voce per il tuo IdP, puoi utilizzare l'esempio MWD.
- File del certificato locale. Questo passaggio dovrebbe essere completato nel server MyWorkDrive versione 5.2 e successive e nella cartella dovrebbe essere presente un certificato con la password nel file saml.config. In caso contrario, procedi all'esportazione del tuo certificato SSL pubblico corrispondente al nome host MyWorkDrive come indicato nel tuo IdP con una password e posiziona il file di esportazione PFX del certificato SL in C:\Wanpath\WanPath.Data\Settings\Certificates e fai riferimento ad esso in la sezione del fornitore di servizi con la password utilizzata durante l'esportazione.
- Nella sezione del provider di identità: imposta il Nome sull'emittente del provider di identità. Questo valore è noto anche come entitàID dei metadati.
- Nella sezione Provider di identità: imposta SingleSignOnServiceUrl sull'URL Single Sign-On del provider di identità.
- Nella sezione Provider di identità: imposta SingleLogoutServiceUrl sull'URL di disconnessione singola del provider di identità.
- Aggiorna la sezione PartnerCertificateFile del provider di identità con il percorso completo e il nome del file di certificato del provider di identità.
La sezione di configurazione del provider di identità del partner dovrebbe essere simile al seguente saml.conf
<!– Okta –>
<PartnerIdentityProvider Name=” http://www.okta.com/exkxxxxxxsyyyyyzzzz55″
Descrizione=”Okta”
SignAuthnRequest="true"
SignLogoutRequest="true"
SignLogoutResponse="true"
WantLogoutRequestSigned="true"
WantLogoutResponseSigned=”true”
SingleSignOnServiceUrl=”https://tuaazienda.okta.com/app/tuaazienda_mwdserver1_1/exkxxxxxyyyy555/sso/saml”
SingleLogoutServiceUrl=”https://tuaazienda.okta.com/app/tuaazienda_mwdtest1_1/exkrcdasxxxxxxyyyyy55/slo/saml”
PartnerCertificateFile="C:\Wanpath\WanPath.Data\Settings\Certificates\okta.cer"/>
La configurazione della sezione Fornitore di servizi dovrebbe essere simile al seguente saml.conf
<ServiceProvider Name=”MyWorkDrive”
Descrizione=”Fornitore di servizi MWD” AssertionConsumerServiceUrl=”~/SAML/AssertionConsumerService.aspx” LocalCertificateFile=”C:\Wanpath\WanPath.Data\Settings\Certificates\yourdomain.pfx”
LocalCertificatePassword="password"/>
Infine, prima di eseguire il test, assicurati di aver aggiunto alcuni utenti alla nuova voce MyWorkDrive nel tuo IdP per autorizzarli ad accedere a MyWorkDrive. Per testare SAML senza renderlo obbligatorio dopo averlo abilitato, utilizzare il seguente URL: http://yourserver.yourdomain.com/account/login-saml.aspx