Attiva le connessioni Active Directory Federation Services (AD FS) SSO con il tuo account OVHcloud
Scopri come associare il tuo servizio Active Directory Federation Services (AD FS) al tuo account OVHcloud tramite SAML 2.0
Questa traduzione è stata generata automaticamente dal nostro partner SYSTRAN. I contenuti potrebbero presentare imprecisioni, ad esempio la nomenclatura dei pulsanti o alcuni dettagli tecnici. In caso di dubbi consigliamo di fare riferimento alla versione inglese o francese della guida. Per aiutarci a migliorare questa traduzione, utilizza il pulsante "Modifica" di questa pagina.
Ultimo aggiornamento: 13/10/2022
Obiettivo
L'autenticazione SSO (Single Sign-On) è unica per accedere al tuo account OVHcloud. Per attivare queste connessioni, il tuo account e i tuoi servizi AD FS (Active Directory Federation Services) devono essere configurati con l'aiuto delle autenticazioni SAML (Security Assertion Markup Language).
Questa guida ti mostra come associare il tuo account OVHcloud a un Active Directory esterno.
Prerequisiti
- I servizi AD FS (Active Directory Federation Services) devono essere eseguiti sul tuo server
- Disporre di un account OVHcloud attivo
- Avere accesso allo Spazio Cliente OVHcloud
Procedura
Affinché un provider di servizi (cioè il tuo account OVHcloud) possa stabilire una connessione SSO con un provider di identità (cioè il tuo servizio AD FS), l'essenziale è stabilire un rapporto di fiducia reciproca.
Creare la fiducia nelle AD FS
Il tuo AD FS agisce come provider di identità. Le richieste di autenticazione al tuo account OVHcloud saranno accettate solo se l'hai precedentemente dichiarato come organismo terzo di fiducia.
Nel contesto Active Directory, ciò significa che deve essere aggiunto come Relying Party Trust.
Apri il menu Tools e seleziona AD FS Management.
Clicca su Relying Party Trusts.
Clicca su Add Relying Party Trust.
Seleziona Claims aware e conferma cliccando sul pulsante Start.
Inserisci manualmente le informazioni relative all'organismo terzo di fiducia o le importa da un file di metadati.
Importare i metadati OVHcloud SP
Puoi ottenere il file di metadati appropriato tramite questi link:
Seleziona Import data about the relying party from a file e seleziona il tuo file di metadati.
Clicca sul pulsante Next.
Inserisci il nome visualizzato per l'organismo terzo di fiducia e clicca sul pulsante Next.
Clicca su Next nella finestra di controllo degli accessi.
Clicca di nuovo su Next per continuare
Clicca sul pulsante Close nell'ultima finestra. L'approvazione di OVHcloud come organismo terzo di fiducia è stata aggiunta al tuo AD FS.
Con OVHcloud aggiunto come organismo terzo di fiducia, dovresti già poterti connettere tramite una connessione SSO. Tuttavia, tutte le informazioni relative all'identità dell'utente (in termini di "asserzione" SAML) resteranno indisponibili fino a quando non sarà configurata una strategia per allineare i record LDAP Active Directory agli attributi dell'asserzione SAML.
Corrispondenza degli attributi LDAP agli attributi SAML
Clicca sul record OVHcloud nella sezione "Relying Party Trusts".
Clicca su Edit Claim Issuance Policy....
Clicca sul pulsante Add Rule....
Clicca su Next.
Inserisci un nome di regola e definisci la tua tavola di concordanza.
Seleziona Active Directory come Attribute store.
I seguenti parametri possono essere configurati liberamente affinché il fornitore di servizi possa leggere correttamente i dati LDAP Active Directory. Puoi fare riferimento all'immagine qui sotto come esempio.
Una volta terminato, clicca sul pulsante Finish.
Clicca sul pulsante Apply e conferma con OK.
Una volta terminata la tabella di corrispondenza, il servizio AD FS si fida di OVHcloud come provider di servizi. Lo step successivo consiste nell'assicurarsi che l'account OVHcloud confidi nel tuo AD FS in qualità di provider d'identità.
Affidare la fiducia all'account OVHcloud e configurare la connessione
L'aggiunta del tuo AD FS come affidabilità provider avviene nello Spazio Cliente OVHcloud, dove è possibile fornire i metadati del provider.
Accedi e clicca sul tuo profilo in alto a destra.
Clicca sul tuo nome per accedere alla pagina di gestione del tuo profilo.
Apri la scheda Gestione utenti.
Clicca sul pulsante SSO connection.
Inserisci i metadati XML del tuo servizio AD FS. Il campo Nome del gruppo è facoltativo in questo caso. Clicca su Conferma.
A questo punto è necessario recuperare il tuo AD FS come provider di identità e i gruppi predefiniti.
Per maggiori informazioni, clicca sul link sotto l'URL del servizio SSO.
Il pulsante ... permette di aggiornare o eliminare l'SO e di consultarne i dettagli.
Il tuo AD FS è considerato un provider affidabile. È comunque necessario aggiungere gruppi al tuo account OVHcloud.
Se stai cercando di accedere via SSO, probabilmente comparirà un messaggio di errore Not in valid groups.
Infatti, il tuo account OVHcloud verifica se l'utente che si autentica appartiene a un gruppo esistente sull'account.
Per risolvere il problema, verifica le informazioni corrispondenti all'attributo "Group" restituito dal tuo servizio AD FS.
Prendete ad esempio quello di un utente "John Doe" del vostro Active Directory, come indicato nell'immagine qui sotto.
Verifica la tabella di corrispondenza in AD FS:
In questo esempio, l'attributo "Group" rinviato dall'Active Directory per l'utente "John Doe" è "title". Corrisponde al "job title" che è manager@<my-domain>.com.
Puoi verificarlo anche nella dichiarazione SAML:
<AttributeStatement>
<Attribute Name="http://schemas.xmlsoap.org/claims/Group">
<AttributeValue>manager@<my-domain>.com</AttributeValue>
</Attribute>
...
</AttributeStatement>
Questo significa che è necessario aggiungere il gruppo manager@<my-domain>.com al tuo account OVHcloud associandovi un ruolo. In caso contrario, il tuo account OVHcloud non sa cosa l'utente può fare.
Per aggiungerlo, clicca sul pulsante Dichiarare un gruppo e inserisci i campi:
Verifica che il gruppo sia aggiunto al tuo account OVHcloud nella sezione Gruppi:
Quando ti connetti con l'utente Active Directory "John Doe", il tuo account OVHcloud riconoscerà che l'utente ha il ruolo "REGULAR", specificato dal suo gruppo.
In seguito, potrai disconnetterti dal tuo account e collegarti con il tuo AD FS come provider di identità.
Connessione via SSO
Nella pagina di identificazione OVHcloud, inserisci il tuo identificativo cliente seguito da /idp senza password e clicca sul pulsante Login.
Verrai reindirizzato alla pagina di connessione AD FS. Inserisci un login/password di un utente della tua Active Directory LDAP e clicca sul pulsante Sign in.
Adesso sei connesso con lo stesso identificativo cliente, ma tramite l'utente Active Directory e il tuo SSO AD FS.
Per saperne di più
Rendere sicuro il tuo account OVHcloud e gestire le tue informazioni personali
Definizione e gestione della password del tuo account
Rendere sicuro il tuo account OVHcloud con la doppia autenticazione
Contatta la nostra Community di utenti all’indirizzo https://community.ovh.com/en/.
Questa documentazione ti è stata utile?
Prima di inviare la valutazione, proponici dei suggerimenti per migliorare la documentazione.
Immagini, contenuti, struttura... Spiegaci perché, così possiamo migliorarla insieme!
Le richieste di assistenza non sono gestite con questo form. Se ti serve supporto, utilizza il form "Crea un ticket" .
Grazie per averci inviato il tuo feedback.