Skip to content
Contracko Logo
Documentazione

Configurare il single sign-on (SSO)

Il single sign-on (SSO) consente al Suo team di accedere a Contracko tramite il provider di identita esistente, in modo che l'IT controlli gli accessi da un unico luogo. Contracko supporta il single sign-on OIDC self-service nel piano Big Business. Puo connettere Microsoft Entra, Google Workspace, Okta, Auth0, JumpCloud, Keycloak o qualsiasi provider conforme a OIDC. SAML 2.0 e disponibile su richiesta.

Questa guida illustra la configurazione completa: verificare il dominio, creare un'app nel provider di identita, collegarla in Contracko, testarla e attivare l'applicazione.

Prima di iniziare

Sara necessario:

  • Il piano Big Business. Le impostazioni SSO sono disponibili solo nel piano Big Business.
  • Un ruolo di amministratore, proprietario o proprietario della fatturazione nel workspace Contracko.
  • L'autenticazione a due fattori (2FA) abilitata sull'account del proprietario della fatturazione. Il proprietario della fatturazione e l'unico account che puo ancora accedere con una password se il provider di identita non e disponibile, pertanto Contracko richiede che quell'account abbia la 2FA prima di poter connettere un provider o attivare l'applicazione. Il proprietario della fatturazione puo configurarla in Impostazioni o all'indirizzo /totp/setup.
  • Accesso amministrativo al provider di identita (per creare un'app OIDC).
  • Accesso ai record DNS (per verificare il dominio).

Si configura tutto in Impostazioni > Sicurezza (/account/security).

Passaggio 1: Verificare il dominio

Prima di poter connettere un provider, verifichi almeno un dominio aziendale. Un dominio verificato e cio che consente di richiedere in seguito l'SSO per tutti su quel dominio.

  1. Vada in Impostazioni > Sicurezza e trovi il riquadro Domini verificati.
  2. Clicchi su Aggiungi dominio e inserisca il dominio aziendale puro, ad esempio yourcompany.com. Non includa https://, www. o una barra finale. I sottodomini contano come domini separati.
  3. Contracko mostra un record DNS TXT da aggiungere, nella forma contracko-domain-verification=.... Lo copi.
  4. Aggiunga quel record TXT al suo dominio presso il suo provider DNS.
  5. Tornato in Contracko, clicchi su Verifica accanto al dominio. Le modifiche DNS possono richiedere fino a 48 ore per propagarsi; una volta che il record e attivo, la verifica ha esito positivo e il dominio mostra un badge verde Verificato.

La verifica di yourcompany.com copre anche i suoi sottodomini, come [email protected] e [email protected].

Passaggio 2: Creare un'app OIDC nel provider di identita

Nel provider di identita, crei una nuova applicazione web OIDC (OpenID Connect). Avra bisogno dell'URI di redirect che Contracko mostra durante il Passaggio 3:

https://app.contracko.com/api/auth/sso/callback/<your-provider-id>

Apra Impostazioni > Sicurezza > Single sign-on > Aggiungi provider, scelga il provider, e Contracko mostra l'URI di redirect esatto da incollare. (Per l'opzione generica "Altro", l'URI di redirect appare nel passaggio di test, dopo il salvataggio, quindi lo aggiunga al provider prima di eseguire il test.)

Dal provider di identita raccogliera un Client ID e un Client secret, piu un valore specifico del provider indicato di seguito.

Microsoft Entra

  1. Nel portale Azure, vada in Microsoft Entra ID > Registrazioni app > Nuova registrazione.
  2. In URI di redirect, scelga la piattaforma Web e incolli l'URI di redirect da Contracko.
  3. Nella pagina Panoramica, copi l'ID applicazione (client) e l' ID directory (tenant).
  4. Vada in Certificati e segreti > Nuovo segreto client e copi il Valore del segreto (non l'ID del segreto).
  5. In Contracko, inserisca l'ID directory (tenant). Utilizzi il suo ID specifico del tenant, non common, in modo che l'accesso sia bloccato al suo tenant. Contracko costruisce l'URL dell'emittente per Lei.

Google Workspace

  1. Nella Google Cloud Console, vada in API e servizi > Credenziali > Crea credenziali > ID client OAuth.
  2. Scelga il tipo di applicazione Applicazione web.
  3. In URI di redirect autorizzati, aggiunga l'URI di redirect da Contracko.
  4. Copi il Client ID e il Client secret generati.
  5. In Contracko, inserisca il Dominio ospitato previsto, che e il dominio primario di Google Workspace (ad esempio yourcompany.com). Solo gli account di quel dominio sono autorizzati ad accedere. Google utilizza sempre lo stesso emittente, quindi non c'e un URL dell'emittente da inserire.

Okta

  1. Nella Console di amministrazione Okta, vada in Applicazioni > Crea integrazione app.
  2. Scelga OIDC - OpenID Connect e il tipo di applicazione Applicazione web.
  3. In URI di redirect per l'accesso, aggiunga l'URI di redirect da Contracko.
  4. Copi il Client ID e il Client secret dalla scheda Generale dell'applicazione.
  5. In Contracko, inserisca il suo dominio Okta (ad esempio your-company.okta.com). Senza https://, senza barra finale, senza percorso. Contracko costruisce l'URL dell'emittente per Lei.

Auth0

  1. Nel Dashboard Auth0, vada in Applicazioni > Crea applicazione.
  2. Scelga il tipo di applicazione Applicazione web normale.
  3. In Impostazioni > URL di callback consentiti, aggiunga l'URI di redirect da Contracko.
  4. Copi il Client ID e il Client Secret dalla scheda Impostazioni.
  5. In Contracko, inserisca il suo tenant Auth0, che e la parte prima di .auth0.com nell'URL del tenant. Contracko costruisce l'URL dell'emittente per Lei.

JumpCloud

  1. Nel portale di amministrazione JumpCloud, vada in Applicazioni SSO > Aggiungi nuova applicazione.
  2. Selezioni App OIDC personalizzata.
  3. In URI di redirect, aggiunga l'URI di redirect da Contracko.
  4. Copi il Client ID e il Client Secret dalla scheda SSO dell'applicazione. JumpCloud utilizza lo stesso emittente per tutti i tenant, quindi non c'e un URL dell'emittente da inserire.

Keycloak

  1. Nella Console di amministrazione Keycloak, selezioni il suo realm, poi vada in Client > Crea client.
  2. Imposti il tipo di client su OpenID Connect e abiliti l'autenticazione client.
  3. In URI di redirect validi, aggiunga l'URI di redirect da Contracko.
  4. Nella scheda Credenziali, copi il Client secret. Il Client ID e il nome assegnato al client.
  5. In Contracko, inserisca il suo host Keycloak e il Realm. Contracko costruisce l'URL dell'emittente per Lei.

Qualsiasi altro provider OIDC

  1. Nel provider di identita, crei un'applicazione web OIDC (OpenID Connect).
  2. Aggiunga l'URI di redirect da Contracko agli URL di redirect consentiti dell'applicazione.
  3. Copi il Client ID e il Client secret.
  4. In Contracko, inserisca l'URL dell'emittente completo del provider e un Nome del provider. Contracko scopre automaticamente gli endpoint di autorizzazione, token e chiave da /.well-known/openid-configuration.

Passaggio 3: Connettere il provider in Contracko

  1. Vada in Impostazioni > Sicurezza > Single sign-on (OIDC) e clicchi su Aggiungi provider.
  2. Scelga il provider di identita dall'elenco.
  3. Configuri la connessione: incolli il Client ID e il Client secret, poi compili il campo specifico del provider dal Passaggio 2 (ID tenant, dominio ospitato, dominio Okta e cosi via).
  4. Imposti il ruolo predefinito che i nuovi utenti SSO ricevono al primo accesso (member, manager o admin). Il valore predefinito e member.
  5. Clicchi su Salva e testa.

Passaggio 4: Testare la connessione

Contracko verifica la connessione con un round-trip reale prima di poterla applicare.

  1. Nel passaggio Testa accesso, clicchi su Apri test di accesso. Contracko apre il provider di identita in un popup.
  2. Acceda con un account di test nel suo tenant.
  3. Contracko rileva il round-trip riuscito, contrassegna il provider come Verificato e disconnette l'account di test.
  4. Clicchi su Continua.

Se il test fallisce, verifichi che l'URI di redirect nel provider di identita corrisponda esattamente, poi clicchi su Riprova.

Passaggio 5: Attivare l'applicazione

L'applicazione rende l'SSO l'unico metodo di accesso per gli utenti nei domini verificati.

  1. Nel passaggio Applica SSO (o nell'elenco dei provider), attivi Applica SSO per questa organizzazione.
  2. Quando abilita l'applicazione, Contracko disconnette le sessioni con password e social esistenti per gli utenti nei domini verificati, in modo che tutti riaccedano attraverso il provider di identita.

Un provider deve essere Verificato prima di poterlo applicare, e il proprietario della fatturazione deve avere la 2FA abilitata. Puo disattivare l'applicazione in qualsiasi momento. Per rimuovere un provider, disabiliti prima l'applicazione.

Accesso di emergenza

Se il provider di identita non e disponibile, il proprietario della fatturazione puo comunque accedere con una password o un account social, anche con l'applicazione attiva. Questo e il motivo per cui Contracko richiede al proprietario della fatturazione di avere la 2FA abilitata.

Quando il proprietario della fatturazione accede in questo modo, Contracko mostra un breve avviso, registra l'evento e invia un'email al proprietario della fatturazione con l'indirizzo IP e il dispositivo utilizzati. Il proprietario della fatturazione puo scegliere di continuare con il bypass o passare all'accesso tramite il provider di identita.

Come funzionano gli account e i ruoli

  • I nuovi utenti vengono creati automaticamente la prima volta che accedono tramite SSO e vengono aggiunti al workspace con il ruolo predefinito impostato sul provider.
  • Gli utenti esistenti con lo stesso indirizzo email vengono collegati automaticamente, in modo che chi ha precedentemente utilizzato una password mantenga il proprio account e la propria cronologia.
  • L'assegnazione dei ruoli utilizza il ruolo predefinito del provider. La mappatura dei gruppi del provider di identita su ruoli Contracko specifici non e ancora disponibile.

Domande frequenti

Quale piano include l'SSO? L'SSO self-service e incluso nel piano Big Business.

Supportate SAML? La configurazione self-service e attualmente OIDC. SAML 2.0 e disponibile su richiesta; ci contatti e La aiuteremo a configurarlo.

Chi puo configurare l'SSO? Amministratori, proprietari e il proprietario della fatturazione. Il proprietario della fatturazione deve prima avere la 2FA abilitata.

Posso richiedere l'SSO per tutti? Si. Verifichi il dominio, connetta e testi un provider, poi attivi l'applicazione. Gli utenti nei domini verificati accederanno quindi tramite il provider di identita.

Cosa succede se il nostro provider di identita non e disponibile? Il proprietario della fatturazione puo accedere con una password piu 2FA come bypass di emergenza, e riceve un'email ogni volta che cio accade.

ennldefresitpt