archi bot Documentazione del prodotto

Questa traduzione è generata automaticamente (beta). La guida in inglese è quella di riferimento.

Accesso

Accesso ad ArchibotChat e SSO

Invia i dettagli del tuo provider di identità nel passaggio Single sign-on affinché ISM possa configurare l'accesso dell'organizzazione.

Amministratori clienteOperatori della piattaforma

Ultimo aggiornamento

Passaggio Single sign-on della Console con tipo di IdP, domini di accesso, URL dei metadati di discovery, mappatura dei claim, gruppi di ruoli e un pannello di preparazione SSO.
Esempio renderizzato dalla Console con dati sicuri: il passaggio Single sign-on raccoglie dettagli OIDC o SAML non segreti affinché ISM possa mappare l'accesso dell'organizzazione. Non incollare mai segreti client o chiavi di firma.

Il passaggio Single sign-on è dove un amministratore cliente consegna a ISM i dettagli non segreti necessari per collegare il tuo provider di identità (IdP) ad ArchibotChat e alla Console. Tu invii metadati, mappature dei claim e gruppi di ruoli; ISM completa lo scambio dei segreti attraverso un canale approvato e conferma quando l’accesso è pronto per essere testato.

Questa guida copre il modulo alla route /account/sso. Non concede né modifica l’accesso individuale ai prodotti. Per sapere come i controlli di prodotto e la fatturazione decidono cosa può aprire un utente connesso, consulta Configurazione di ArchibotChat e Fatturazione e crediti di ArchibotChat.

Prima di iniziare

  • Devi essere un amministratore cliente per inviare la configurazione SSO.
  • Tieni a disposizione il tuo amministratore IdP, oppure sii tu stesso l’amministratore IdP, così da poter leggere i metadati dell’app.
  • Sappi con quali domini email accedono i tuoi utenti.
  • Decidi il protocollo che utilizzerai: OIDC o SAML.

I team piccoli non sono obbligati a usare l’SSO. Il passaggio è facoltativo e puoi continuare a usare gli inviti via email finché non sei pronto a collegare un IdP. Invia i dettagli SSO solo quando intendi connettere un provider.

Aprire il passaggio Single sign-on

  1. Apri la Console e vai a Configurazione account.
  2. Nella navigazione di Configurazione account, seleziona Single sign-on.
  3. Leggi il banner di invio sicuro in cima al passaggio. È un promemoria che questo modulo accetta solo metadati non segreti.

Intestazione del passaggio Single sign-on della Console con il selettore del tipo di IdP, i domini di accesso e la riga dell'URL dei metadati di discovery.

L’intestazione del passaggio mostra il suo stato (Non avviato, In corso, Da rivedere o Pronto) e, per gli account self-service, un contrassegno Facoltativo.

Scegliere il tipo di IdP e i domini di accesso

  1. Imposta il Tipo di IdP su una delle seguenti opzioni:
    • OIDC per i provider OpenID Connect.
    • SAML per i provider SAML 2.0.
    • Ancora nessun SSO (usa email di invito) se non sei pronto a collegare un provider.
  2. In Domini di accesso, inserisci un elenco separato da virgole dei domini email con cui accedono i tuoi utenti, ad esempio example.com, example.co. Se la Console conosce già dei domini per il tuo account, puoi sceglierne uno dalla ricerca per aggiungerlo.

Modificare il tipo di IdP o i domini cancella qualsiasi risultato precedente della verifica dei metadati, quindi riverifica dopo averli regolati.

Indirizzare la Console ai metadati del tuo provider

La riga URL di discovery / metadati ti aiuta a trovare e confermare l’URL dei metadati corretto.

  1. Scegli il tuo provider dall’elenco dei preset. I preset includono Microsoft Entra ID, Okta, Google Workspace, Auth0, OneLogin e Altro provider. Ogni preset mostra il suggerimento di host che si aspetta, come un ID tenant o company.okta.com.
  2. Seleziona Usa URL del provider per compilare il campo dei metadati con un URL di discovery suggerito, costruito a partire dal tuo provider e dai tuoi domini. Se il suggerimento non può ancora essere costruito, la Console ti indica cosa inserire prima (un dominio di accesso o un valore tenant).
  3. Seleziona Apri console del provider per aprire la console di amministrazione del provider in una nuova scheda.
  4. Alcuni preset aggiungono pulsanti di passaggio della configurazione specifici del provider (ad esempio, per aprire la registrazione dell’app o la schermata dei claim). Usali per andare direttamente alla schermata in cui crei o ispezioni l’applicazione IdP.
  5. Se hai già l’URL esatto dei metadati, digitalo o incollalo invece nel campo dei metadati, ad esempio https://idp.example.com/.well-known/openid-configuration.

La Console costruisce suggerimenti e link solo dalle tue selezioni. Non legge né memorizza segreti.

Verificare i metadati

  1. Seleziona Verifica metadati. La Console raggiunge l’URL dei metadati del provider e controlla la presenza dei campi attesi. Il pulsante mostra Verifica in corso… mentre è in esecuzione.
  2. Leggi il pannello dei risultati sotto il campo:
    • Metadati verificati significa che la Console ha raggiunto il provider e ha trovato i campi attesi. Mostra l’issuer o l’ID entità rilevato così da poter confermare che corrisponda al tuo provider.
    • I metadati richiedono attenzione significa che la Console non è riuscita a verificare i metadati. Ricontrolla URL, dominio e protocollo, poi riprova.

La verifica è di sola lettura. Conferma che l’URL è raggiungibile e ben formato; non completa la connessione.

Mappare i claim e i gruppi di ruoli

ISM usa questi valori per mappare gli utenti connessi all’identità e ai ruoli corretti. Ogni campo accetta valori comuni da un elenco di selezione rapida o una tua voce.

CampoCos’èEsempio
Riferimento all’app del providerID non segreto di app, client o applicazione enterprise del tuo provider00000000-0000-0000-0000-000000000000
Claim del nome utenteClaim che contiene il nome utentepreferred_username
Claim dell’emailClaim che contiene l’indirizzo emailemail
Claim dei gruppiClaim che contiene l’appartenenza a gruppi o ruoligroups
Nome del gruppo amministratoriGruppo i cui membri diventano amministratori Archibotarchibot-admins
Nome del gruppo membriGruppo i cui membri diventano membri standardarchibot-users
Email amministratore di testUn account amministratore che ISM può usare per testare l’accessoadmin-test@example.com
Email membro di testUn account membro che ISM può usare per testare l’accessomember-test@example.com

Il riferimento all’app del provider è solo un identificatore non segreto. Consente a ISM di collegare le note di passaggio della Console all’esatta applicazione IdP. Non inserire qui un segreto client.

Leggere il pannello di preparazione SSO

Sotto i campi, il pannello Preparazione SSO riassume quanto è completa la tua submission, con un badge pronti/totale. Ogni riquadro diventa pronto man mano che compili il dettaglio corrispondente:

  • Domini di accesso — è impostato almeno un dominio di accesso.
  • Verifica dei metadati — un URL di metadati è presente e verificato.
  • Applicazione del provider — è fornito un riferimento all’app del provider.
  • Mappatura dei claim — i claim del nome utente e dell’email sono mappati.
  • Gruppi di ruoli — i gruppi amministratori e membri sono nominati.
  • Callback — la configurazione del callback lato provider è considerata.
  • Utenti di test — è fornito almeno un account di test.

Non devi raggiungere ogni elemento prima di inviare, ma un riepilogo di preparazione più completo consente a ISM di concludere più rapidamente.

Inviare la tua configurazione SSO

  1. Se hai bisogno di un ripiego temporaneo con password per un utente approvato che non può ancora completare la MFA da dispositivo, imposta l’opzione Ripiego con password per richiederlo. Questo è disponibile solo quando il ripiego con password è abilitato per il tuo account, e ISM deve approvare e abilitare la policy prima che modifichi il comportamento di accesso.
  2. Aggiungi tutto ciò che ISM dovrebbe sapere in Note SSO, come una finestra di manutenzione o una particolarità del provider.
  3. Seleziona Invia configurazione SSO.

La Console conferma l’invio e ti comunica che ISM ti contatterà una volta che la configurazione sarà pronta per essere testata. ISM completa la connessione e scambia eventuali segreti attraverso un canale approvato, mai attraverso questo modulo.

Cosa non inserire in questo modulo

Il passaggio Single sign-on accetta solo metadati OIDC o SAML non segreti. Non incollare:

  • Segreti client o chiavi di firma.
  • Chiavi private o certificati che contengono materiale privato.
  • Cookie, token di sessione o token di invito.
  • Password.

Se ISM ha bisogno di un segreto per completare la connessione, lo richiede attraverso un canale approvato.

Dopo l’invio

  • ISM esamina la tua submission e ti contatta per confermare o porre domande di follow-up.
  • Una volta che la connessione è attiva, i tuoi utenti accedono tramite la tua organizzazione sull’URL di ArchibotChat.
  • Accedere con successo non equivale ad avere un prodotto abilitato. I controlli di prodotto e la fatturazione decidono comunque cosa può aprire ogni utente. Consulta Configurazione di ArchibotChat.

Guide correlate

Completato quando

  • Puoi aprire il passaggio Single sign-on in Configurazione account.
  • La verifica dei metadati restituisce un risultato verificato.
  • Lo stato di preparazione SSO mostra come pronti gli elementi che ti interessano.
  • La tua configurazione SSO viene inviata a ISM senza alcun segreto.