Requisiti tecnici SSO
Riepilogo requisiti tecnici
Single Sign-On (SSO) consente a terzi di autenticare un utente prima di concedere l’accesso al sistema Qualtrics. Qualtrics supporta quattro tipi di autenticazione SSO: Google OAuth 2.0, Central Authentication Service (CAS), Lightweight Directory Access Protocol (LDAP) e Security Assertion Markup Language (SAML). Ogni tipo richiede che la terza parte disponga di un tipo specifico di server. Ad esempio, l’autenticazione CAS SSO si basa sull’esistenza di un server CAS da parte di terzi.
Questa pagina illustra i requisiti tecnici da soddisfare. Queste impostazioni devono essere configurate con il tuo team IT e quindi comunicate al team di supporto SSO Qualtrics.
Google OAuth 2.0
Google OAuth 2.0 è un framework di autorizzazione che può essere utilizzato per autenticare gli utenti nella piattaforma Qualtrics. Per configurare Google OAuth 2.0 per l’autenticazione di terze parti, gli utenti che accederanno alla piattaforma devono disporre di un account Google.
È necessario fornire i seguenti parametri di configurazione:
- Domini e-mail validi
- Sono necessari domini e-mail specifici per autenticare gli indirizzi e-mail degli utenti a ogni tentativo di accesso.
Qualtrics riceve l’e-mail associata agli account Google degli utenti solo quando si esegue l’autenticazione a fronte di Google OAuth 2.0. L’e-mail viene utilizzata per compilare i campi Nome utente, Nome, Cognome e Indirizzo e-mail di Qualtrics.
Una volta forniti i Domini e-mail validi desiderati, Qualtrics può organizzare un’integrazione di Google OAuth 2.0 con terze parti.
Lightweight Directory Access Protocol (LDAP)
Lightweight Directory Access Protocol (LDAP) è un servizio di directory per il quale una terza parte può autenticarsi. Qualtrics può essere impostata in modo da autenticarsi automaticamente su un server LDAP quando un utente tenta di accedere alla piattaforma Qualtrics. Per impostare un’integrazione LDAP, si suppone che la terza parte disponga di un server LDAPv3 funzionante.
È necessario fornire i seguenti parametri di configurazione:
- Nome host server LDAP: indirizzo IP o nome del server.
- Porta server LDAP: porta che Qualtrics utilizzerà per comunicare con il server.
- Base Distinguished Name (DN): ad esempio:
o=organizzazione
- Collegare nome distinto: collegare DN basato su ricerca o collegare utente DN. Ciò non è necessario se il server LDAP consente ricerche non autenticate.
- Associa password: non è necessario se il server LDAP consente ricerche non autenticate.
- Parametri del filtro di autenticazione: ad esempio:
uid=%username%
- URL di reindirizzamento logout: Qualtrics richiede un URL di reindirizzamento logout per cancellare le sessioni di accesso degli utenti al logout. Se non viene fornito alcun URL di reindirizzamento logout, Qualtrics può reindirizzare gli utenti a https://qualtrics.com o a un altro URL a scelta. Tuttavia, la sessione di accesso degli utenti non verrà cancellata e gli utenti potranno accedere di nuovo immediatamente facendo clic sul pulsante Indietro o tornando alla pagina di accesso.
- Attributi LDAP
- Obbligatorio:
- Attributo campo indirizzo e-mail (ad es. e-mail)
Qtip: questo attributo deve contenere valori nel formato di un indirizzo e-mail. Ad esempio, value@email.com.
- Attributo campo indirizzo e-mail (ad es. e-mail)
- Facoltativo:
- Attributo campo nome (ad es., nome)
- Attributo campo cognome (ad es. sn)
- Attributo di mappaggio del tipo di utente
- Attributo mapping divisione
- Attributo mappaggio gruppo
- Attributo/i metadati CX Dashboards
- Dashboard CX – Attributo/i di iscrizione automatica al ruolo
- Obbligatorio:
Una volta fornite le informazioni di cui sopra, Qualtrics può organizzare un’integrazione LDAP con la terza parte.
Central Authentication Service (CAS)
Central Authentication Service (CAS) fornisce un servizio single sign-on aziendale ed è supportato dal CAS JA-SIG. Maggiori informazioni sul CAS sono disponibili all’indirizzo https://www.apereo.org/projects/cas. Il Sistema Qualtrics può fungere da client CAS, consentendo all’utente di autenticarsi tramite CAS e di accedere al sistema Qualtrics. Per configurare il CAS SSO, si presume che la terza parte disponga di un server CAS funzionante che utilizzi il protocollo CAS 2.0 o successivo.
È necessario fornire i seguenti parametri di configurazione:
- Nome host server CAS: nome del server.
- Porta Server CAS: porta che Qualtrics utilizzerà per comunicare con il server.
- URI al sistema CAS nell’host
- URL di reindirizzamento logout: Qualtrics richiede un URL di reindirizzamento logout per cancellare le sessioni di accesso degli utenti al logout. Se non viene fornito alcun URL di reindirizzamento logout, Qualtrics può reindirizzare gli utenti a https://qualtrics.com o a un altro URL di tua scelta. Tuttavia, la sessione di login degli utenti non verrà cancellata e gli utenti potranno accedere di nuovo immediatamente facendo clic sul pulsante Indietro o accedendo nuovamente alla pagina di accesso.
I seguenti parametri variano a seconda che si stia utilizzando o meno una versione di CAS che supporta SAML 1.1.
- Se SAML 1.1 non è supportato: il nome utente CAS verrà utilizzato per alimentare il nome utente Qualtrics, l’indirizzo e-mail, il nome e il cognome.
- Se SAML 1.1 è supportato: è necessario fornire anche i seguenti parametri di configurazione:
- Obbligatorio:
- Attributo campo indirizzo e-mail (ad es. e-mail)
Qtip: questo attributo deve contenere valori nel formato di un indirizzo e-mail. Ad esempio, value@email.com.
- Attributo campo indirizzo e-mail (ad es. e-mail)
- Facoltativo:
- Attributo campo nome (ad es., nome)
- Attributo campo cognome (ad es. sn)
- Attributo di mappaggio del tipo di utente
- Attributo mapping divisione
- Attributo mappaggio gruppo
- Attributo/i metadati CX Dashboards
- Dashboard CX – Attributo/i di iscrizione automatica al ruolo
- Obbligatorio:
Una volta fornite le informazioni di cui sopra, Qualtrics può predisporre l’integrazione CAS con la terza parte.
Security Assertion Markup Language (SAML)
Security Assertion Markup Language (SAML) è uno standard basato su XML per lo scambio di dati di autenticazione e autorizzazione tra domini di sicurezza o un Identity Provider (un produttore di asserzioni) e un Service Provider (consumatore di asserzioni). Il sistema Qualtrics può essere configurato per l’autenticazione automatica tramite un Identity Provider (IdP) terzo utilizzando SAML quando un utente accede al sistema Qualtrics. Per configurare un’integrazione SAML, si presume che terzi dispongano di un’implementazione SAML 2.0 o Shibboleth 2.0 funzionante e possano supportare gli accessi avviati da Service Provider (SP).
Qualtrics supporta flussi di lavoro avviati sia da IdP che da SP per gli accessi SAML. Il più comune dei due è uno scambio avviato da SP, in cui gli utenti iniziano il flusso a https://brandID.datacenter.qualtrics.com, o l’URL Vanity della relativa organizzazione. Lo scambio avviato da IdP viene utilizzato principalmente quando gli utenti si autenticano su una rete interna, in cui gli utenti iniziano il flusso in un portale interno dell’applicazione.
Devono quindi essere forniti i seguenti parametri di configurazione:
- Metadati Identity Provider (IdP) (in formato XML come link o allegato)
- Tag richiesti:
- EntityDescriptor
- KeyDescriptor
- SingleSignOnService
- Sono supportati i binding HTTP Post e HTTP Redirect all’interno di SingleSignOnService. Tuttavia, HTTP Post deve essere utilizzato se è necessaria la firma della nostra AuthnRequest.
- SingleLogoutService
- Questo campo viene utilizzato per reindirizzare gli utenti a un URL che cancellerà le sessioni di accesso degli utenti al logout. Se non viene fornito alcun URL SingleLogoutService, Qualtrics può reindirizzare gli utenti a https://qualtrics.com o a un altro URL di tua scelta. Tuttavia, la sessione di login degli utenti non verrà cancellata e gli utenti potranno accedere di nuovo immediatamente facendo clic sul pulsante Indietro o accedendo nuovamente alla pagina di accesso.
- Tag richiesti:
- Attributi SAML
- Obbligatorio:
- Attributo campo nome utente (ad es. samAccountName)
- L’attributo deve contenere valori univoci, immutabili e non confidenziali.
- Attributo campo indirizzo e-mail (ad es. e-mail)
Qtip: questo attributo deve contenere valori nel formato di un indirizzo e-mail. Ad esempio, value@email.com.
- Attributo campo nome utente (ad es. samAccountName)
- Facoltativo:
-
- Attributo campo nome (ad es. nome)
- Attributo campo cognome (ad es. sn)
- Attributo di mappaggio del tipo di utente
- Attributo mapping divisione
- Attributo mappaggio gruppo
- Attributo/i metadati CX Dashboards
-
- Obbligatorio:
Una volta fornite le informazioni di cui sopra, Qualtrics può organizzare un’integrazione Shibboleth/SAML con terze parti.
Come ottenere e decrittografare una risposta SAML
Una risposta SAML viene inviata dall’Identity Provider al provider di servizi dopo la corretta autenticazione SAML. La risposta SAML contiene tutte le informazioni trasmesse dall’Identity Provider, quali attributi, certificati, binding e così via. Queste informazioni sono utili per risolvere eventuali problemi di autorizzazione o durante il processo di login.
Sono disponibili molti strumenti per ottenere una risposta SAML. Di seguito è riportato un metodo che dovrebbe essere disponibile nella maggior parte dei browser, ma che si sente libero di utilizzare qualsiasi metodo.
- Aprire una nuova scheda nel browser.
- Aprire Strumenti sviluppatore.
Qtip: possono trovarsi in posizioni diverse a seconda del browser utilizzato. Gli screenshot in questa pagina fanno riferimento all’aspetto di un browser Chrome.
- Selezionare il tab Network.
- Selezionare Conserva registro.
- Immettere l’URL di accesso in questa scheda del browser ed eseguire il logon tramite SSO.
- In Nome, selezionare l’elemento che indica “default-sp”.
- In Intestazioni, verso il basso in Intestazioni modulo verrà visualizzato un blocco di caratteri con etichetta Risposta SAML.
Qtip: se il nostro team di supporto ha richiesto una risposta SAML, puoi fermarti a questo passo.
- La risposta SAML è attualmente codificata Base64. Per decodificare la risposta SAML in un formato leggibile, è possibile utilizzare qualsiasi decodificatore Base64 trovato online.
Qtip: consultare questi strumenti per codificare base64 e decodificare base64.
Modalità di lettura di una risposta SAML
Esistono alcune informazioni chiave in una risposta SAML che possono aiutare a risolvere i problemi.
- Destinazione: corrisponde all’URL del servizio Assertion Consumer del fornitore di servizi e si trova generalmente nella parte superiore della risposta SAML.
- Emittente: corrisponde all’ID entità dell’Identity Provider e si trova generalmente nella parte superiore della risposta SAML.
- Certificato X509: corrisponde al certificato di firma dell’Identity Provider e generalmente si trova al centro della risposta SAML.
- Destinatari: corrisponde all’ID entità del fornitore di servizi e generalmente si trova al centro della risposta SAML.
- Istruzione attributo: contiene tutti i nomi e i valori degli attributi inviati dall’Identity Provider e si trova generalmente nella parte inferiore della risposta SAML.