Questo articolo descrive i metodi di autenticazione degli utenti disponibili in SMARTFENSE, insieme alla configurazione di ciascuna opzione, inclusa l'autenticazione propria della piattaforma, Microsoft Entra ID, Google, Auth0, Okta e Keycloak.
Configurazione disponibile nella nostra piattaforma nella sezione Utenti e gruppi > Autenticazione
Selezione del metodo di autenticazione
In questa sezione è possibile selezionare il metodo di autenticazione che gli utenti utilizzeranno per accedere a SMARTFENSE:
Propria della piattaforma SMARTFENSE
Microsoft Entra ID
Google
Auth0
Okta
Keycloak
SAML 2.0
| Nota: è possibile autenticare solo utenti che esistono all'interno della piattaforma SMARTFENSE e sono attivi. Queste informazioni possono essere consultate nella sezione Utenti. |
Autenticazione propria di SMARTFENSE
Configurazione dell'autenticazione propria di SMARTFENSE
L'autenticazione propria di SMARTFENSE può essere utilizzata in due modi:
Autenticazione con credenziali
Ogni utente deve inserire una combinazione di nome utente o e-mail e password per accedere alla piattaforma.
Autenticazione senza credenziali
Gli utenti finali non necessitano di credenziali.
Ricevono un link unico in ogni notifica, che consente loro di accedere direttamente alle proprie campagne.
| Nota: se un utente condivide il proprio link unico, equivale a condividere le proprie credenziali. Gli utenti amministrativi devono sempre utilizzare le credenziali; non possono accedere alla vista amministrativa senza autenticarsi. |
Opzioni:
Autenticazione con credenziali
Autenticazione senza credenziali
Autenticazione tramite Microsoft Entra ID
Configurazione dell'autenticazione tramite Microsoft Entra ID
L'autenticazione con Microsoft Entra ID può essere configurata in due modalità:
Tutti gli utenti possono autenticarsi utilizzando Microsoft Entra ID.
Gli utenti amministrativi possono anche accedere con le proprie credenziali SMARTFENSE.
Gli utenti finali non richiedono credenziali: sono identificati da un ID unico incluso nei link che ricevono nelle notifiche di SMARTFENSE.
Questa modalità impedisce agli utenti finali di fare un uso proattivo della piattaforma (possono accedere solo alle campagne assegnate e non possono vedere né configurare il proprio profilo).
Opzioni:
Autenticazione tramite Microsoft Entra ID per utenti finali e amministrativi
Autenticazione tramite Microsoft Entra ID per utenti amministrativi
| Nota: La configurazione di EntraID è disponibile nel pulsante di Istruzioni di configurazione. |
Autenticazione da Google
Dati di configurazione
Per collegare Google con SMARTFENSE, è necessario inserire:
ID client
Chiave segreta client
È possibile consultare la guida per ottenere questi dati al seguente link: Importare utenti e gruppi da Google Workspace
| Nota: il resto delle informazioni è richiesto per la sincronizzazione degli utenti. |
Configurazione di Auth0
Accedere a https://auth0.com/.
Fare clic su New Client per creare una nuova applicazione.
Scegliere Single Page Web Applications e fare clic su Create.
-
Nella scheda Settings, configurare:
Nome dell'applicazione: SMARTFENSE
Copiare i valori di Domain, Client ID e Client Secret
Inserire questi dati in SMARTFENSE nei campi corrispondenti.
In Allowed Callback URLs, inserire:
https://instancia.takesecurity.com/complete/auth0/Fare clic su Save Changes.
Configurazione di Okta
Accedere alla console di amministrazione di Okta.
Andare su Applications > Applications e fare clic su Create App Integration.
-
Selezionare:
OpenID Connect in Sign-in method
Web Application in Application type
Completare General Settings con un nome e opzionalmente un logo.
In Grant Type, selezionare Authorization Code.
Aggiungere Sign-in redirect URIs:
https://instancia.takesecurity.com/complete/okta-openidconnect/Aggiungere Sign-out redirect URIs:
https://instancia.takesecurity.com/disconnect/okta-openidconnect/Selezionare l'opzione desiderata in Assignments e fare clic su Save.
Copiare Client ID e Client Secret e incollarli in SMARTFENSE.
Configurazione aggiuntiva per l'accesso dal dashboard di Okta
In General settings, selezionare Either Okta or App in Login initiated by.
Andare su Security > API e fare clic su Add Authorization Server.
-
Configurare:
Nome: SMARTFENSE
Audience: api://default
Descrizione: SMARTFENSE Server
In Access Policies, creare una nuova policy chiamata SMARTFENSE Login.
-
In Rules, creare una regola che includa gli scopes:
openid
profile
email
Tornare a Security > API, copiare l'Issuer URI e incollarlo in SMARTFENSE.
Configurazione di Keycloak
Accedere alla Console di Amministrazione di Keycloak e selezionare il Realm corrispondente.
Copiare il nome del realm e incollarlo in SMARTFENSE nel campo Realm.
In Clients → Create, assegnare un Client ID (senza spazi né caratteri speciali).
Salvare, copiare il Client ID e incollarlo in SMARTFENSE.
-
In Clients → smartfense-client → Settings → Capability config, attivare:
Client authentication
Authorization
In Clients → smartfense-client → Credentials, scegliere Client Id and Secret e copiare il Secret.
-
In Fine Grain OpenID Connect Configuration, impostare:
User Info Signed Response Algorithm: RS256
Request Object Signature Algorithm: RS256
In Valid Redirect URIs, aggiungere:
https://instancia.takesecurity.com/complete/keycloak/*In Valid Post Logout Redirect URIs, aggiungere:
https://instancia.takesecurity.com/disconnect/keycloak/*In Client Scopes → smartfense-client-dedicated → Mappers → Create, creare un mapper di tipo Audience.
In Realm Settings → Keys, copiare la Public Key (RS256) e incollarla in SMARTFENSE.
Campi da completare in SMARTFENSE:
Realm
Keycloak Domain
Client ID
Client Secret
Public Key
Configurazione SAML 2.0
Accedere alla console di amministrazione del proprio Identity Provider (IdP) e creare una nuova applicazione di tipo SAML 2.0.
-
Configurare i seguenti dati del Service Provider (SMARTFENSE) nel proprio IdP:
Entity ID (SP): copiare il valore mostrato nel campo Entity ID (SP) di questa schermata.
ACS URL (Assertion Consumer Service): copiare il valore mostrato nel campo ACS URL di questa schermata.
Configurare il formato del Name ID nel proprio IdP. È obbligatorio utilizzare Email come formato di Name ID, in modo che l’identificatore dell’utente corrisponda all’indirizzo email registrato in SMARTFENSE.
Assicurarsi che il proprio IdP invii almeno l’attributo email nell’asserzione SAML. Questo attributo verrà utilizzato per associare l’utente al proprio account SMARTFENSE.
-
Dal proprio IdP, ottenere i seguenti dati e completarli nei campi corrispondenti di questa schermata:
Entity ID dell’IdP: identificatore univoco del provider di identità (noto anche come Issuer).
Single Sign-On Service URL: URL dell’endpoint di accesso SAML dell’IdP (HTTP-Redirect o HTTP-POST).
Certificato Pubblico X.509: certificato dell’IdP utilizzato per firmare le asserzioni SAML. Incollarlo in formato PEM senza le righe BEGIN/END CERTIFICATE.
Campi forniti da SMARTFENSE: Dati del Service Provider
Configurare i seguenti dati nel proprio Identity Provider.
Entity ID (SP):
ACS URL:
Campi da completare in SMARTFENSE: Dati dell’Identity Provider
Entity ID dell’IdP, esempio: https://idp.example.com/metadata
Single Sign-On Service URL, esempio: https://idp.example.com/sso/saml
Certificato Pubblico X.509 dell’IdP.
Importante: gli utenti che si autenticano tramite SAML 2.0 devono esistere previamente in SMARTFENSE con lo stesso indirizzo email configurato nell’IdP. La piattaforma non crea automaticamente utenti tramite SSO. |
💡 Best practice
Scegliere il metodo di autenticazione in base alla struttura di identità dell'organizzazione.
Per integrazioni con SSO, verificare sempre le callback URL prima di salvare.
Mantenere le chiavi (Client Secret, Public Key, ecc.) in un repository sicuro.
Revisionare periodicamente le sincronizzazioni (Google, Okta, Keycloak) per assicurare coerenza tra le directory.