Il Single Sign-On (SSO) consente agli allievi di accedere a un unico sistema, ad esempio una rubrica aziendale, e quindi accedere a più app senza dover accedere a ciascuna di esse con credenziali separate. Quando l'SSO è abilitato per la tua organizzazione in Reach 360, gestisci gli allievi e potenzialmente i gruppi in modo leggermente diverso. I proprietari di account Reach 360 possono abilitare l'SSO dall'interfaccia in-app.

Reach 360 utilizza il Security Assertion Markup Language (SAML) per autenticare gli allievi e supporta System for Cross-domain Identity Management (SCIM) per automatizzare il provisioning degli allievi. Puoi utilizzare SAML da solo o con SCIM per una maggiore automazione.

Nota: puoi comunque aggiungere allievi in Reach 360 seguendo i passaggi elencati qui. Tieni presente che gli allievi aggiunti in Reach 360 non sono gestiti dal tuo Identity Provider (IdP).

Ecco come l'SSO può influire su ciò che fai nella scheda Persone.

• Gestione degli studenti autenticati con SAML
• Gestione dei gruppi con SAML
• Gestione di gruppi e studenti dotati di SCIM
• Glossario

Gestione degli studenti autenticati con SAML

Se la tua organizzazione utilizza SAML, gli allievi gestiti dal tuo IdP non verranno visualizzati nella scheda Persone finché non accedi per la prima volta con le proprie credenziali SSO. Non potrai modificare i loro nomi o cambiare o reimpostare le loro password in Reach 360. Questi allievi avranno un'icona ID nella loro iscrizione.

Gli attributi richiesti per creare un allievo in Reach 360 sono:

• firstName= nome
• lastName= cognome
• email= indirizzo e-mail
• subjectNameIdo Unique Learner Identifier = qualsiasi ID univoco del tuo IdP

Puoi anche inviare attributi opzionali:

• avatar= sostituisce la foto del profilo definita dallo studente (deve essere passata come URL)
• groups= un elenco di gruppi a cui è assegnato l'allievo nell'IdP che desideri sincronizzare con Reach 360.

Per rimuovere un allievo, devi prima eliminarlo dal tuo IdP. Una volta eliminato lì, puoi rimuovere il suo record dalla scheda Allievi.

Gestione dei gruppi con SAML

Le modifiche all'iscrizione al gruppo effettuate nel tuo IdP non vengono elaborate finché l'allievo non si disconnette, quindi accede nuovamente a Reach 360.

In Reach 360 con SSO abilitato, i nomi dei gruppi devono corrispondere all'attributo IdP o verranno creati nuovi gruppi. Rinomina il gruppo sia nell'IdP che in Reach 360 per evitare modifiche accidentali all'appartenenza al gruppo e problemi di iscrizione ai contenuti quando gli allievi accedono nuovamente a Reach 360.

Per rimuovere un gruppo collegato a un accesso SSO, devi prima rimuovere l'assegnazione del gruppo dal claim. groups Una volta che non viene più inviato agli allievi, puoi rimuovere il gruppo dalla scheda Gruppi in Reach 360. Se non aggiorni la configurazione SSO, il gruppo viene riattivato la prossima volta che un allievo con quel compito nel tuo IdP accede con SSO.

Gestione di gruppi e studenti a cui è stato assegnato SCIM

Se la tua organizzazione utilizza SCIM oltre a SAML, vedrai gli allievi visualizzati nella scheda Persone dopo essere stati aggiunti al tuo IdP, anche se non hanno ancora effettuato l'accesso a Reach 360. Come con SAML, non potrai modificare i loro nomi o cambiare o reimpostare le loro password in Reach 360. Questi allievi avranno un'icona ID nella loro iscrizione.

Gli allievi che sono stati assegnati da SCIM possono essere rimossi solo tramite il tuo IdP, non in Reach 360. Gli studenti che sono stati aggiunti a Reach 360 senza il provisioning possono essere rimossi come al solito.

Quando la tua organizzazione utilizza SCIM, puoi anche avere gruppi gestiti da IdP. L'aggiunta e l'eliminazione di membri da questi gruppi devono essere eseguite nel tuo IdP e non puoi aggiungere allievi gestiti non da IdP in Reach 360.

Gli attributi richiesti per creare un allievo in Reach 360 tramite SCIM sono:

• name.givenName= nome
• name.familyName= cognome
• userName= indirizzo e-mail

Puoi anche inviare attributi opzionali:

• avatar= sostituisce qualsiasi foto del profilo caricata dall'allievo (deve essere passata come URL e deve essere inviata come attributo che fa parte di) urn:scim:schemas:extension:metadata:2.0:User schema
• externalId= qualsiasi ID univoco del tuo IdP

Nota: l'intervallo di comunicazione con Reach 360 è regolato dal tuo IdP. Una volta ricevuti i dati dal nostro server SCIM, saranno immediatamente disponibili in Reach 360.

Glossario

Active Directory (AD)

Active Directory (AD) è un prodotto Microsoft per la gestione degli allievi, delle autorizzazioni e dell'accesso alle risorse di rete. Molte organizzazioni utilizzano AD per gestire i propri team. La nostra soluzione SSO è compatibile con AD, poiché entrambe supportano la comunicazione SAML.

Asserzione

Un'asserzione è costituita da dati inviati da un provider di identità (IdP) che fornisce una o più delle seguenti istruzioni a un fornitore di servizi (SP).

• Le dichiarazioni di autenticazione dichiarano che un allievo si è autenticato correttamente e registrano l'ora in cui l'ha effettuata.
• Le istruzioni sugli attributi forniscono dettagli sull'allievo. Ad esempio, l'attributo nameID fornisce il nome utente ed è necessario per l'autenticazione. Anche altri attributi possono essere configurati manualmente.
• Le dichiarazioni di decisione di autorizzazione concedono o negano all'allievo l'accesso a una risorsa.

URL del servizio clienti di Assertion (acsURL)

Un Assertion Consumer Service URL (AcsURL) è una posizione o una risorsa HTTPS presso un provider di servizi (SP), come Reach 360, che accetta messaggi SAML da un provider di identità (IdP).

ID dell'entità

L'Entity ID è una stringa univoca di lettere e numeri, in genere sotto forma di URL, che identifica il fornitore di servizi (SP). L'Entity ID viene anche chiamato URI Audience e spesso è lo stesso URL dell'Assertion Consumer Service URL (acsURL).

Identificatore univoco globale (GUID)

Un identificatore univoco globale (GUID) è una stringa di lettere, numeri e trattini che identifica un'entità. Nel contesto di Reach 360 SSO, il GUID si riferisce all'ID dell'abbonamento Reach 360.

Gestione delle identità e degli accessi (IAM)

Gartner ha un'ottima definizione di Identity and Access Management (IAM):

La gestione delle identità e degli accessi (IAM) è la disciplina di sicurezza che consente alle persone giuste di accedere alle risorse giuste al momento giusto e per i motivi giusti.

IAM risponde all'esigenza fondamentale di garantire l'accesso appropriato alle risorse in ambienti tecnologici sempre più eterogenei e di soddisfare requisiti di conformità sempre più rigorosi. Questa pratica di sicurezza è un'impresa fondamentale per qualsiasi azienda. È sempre più orientata al business e richiede competenze aziendali, non solo competenze tecniche.

Le aziende che sviluppano funzionalità IAM mature possono ridurre i costi di gestione delle identità e, soprattutto, diventare molto più agili nel supportare nuove iniziative commerciali.

Provider di identità (IdP)

Un provider di identità (IdP) è un servizio che archivia e gestisce un elenco di account o identità digitali degli allievo. Le organizzazioni utilizzano gli IDP per gestire i propri allievi e concedere l'accesso alle risorse di rete. Gli esempi di IdP includono Okta, Azure e Ping.

Nel contesto dell'SSO, un IdP risponde alle richieste di autenticazione di un fornitore di servizi (SP), come Reach 360, per far accedere gli allievi a un servizio, come il tuo account Reach 360.

Provisioning Just-in-Time (JIT)

Il provisioning Just-in-Time (JIT) crea automaticamente account utente in una soluzione SSO la prima volta che un utente si autentica con il proprio provider di identità (IdP).

Lightweight Directory Access Protocol (LDAP)

Okta riassume bene il Lightweight Directory Access Protocol (LDAP):

Lightweight Directory Access Protocol (LDAP) è un protocollo Internet utilizzato da programmi aziendali come software di posta elettronica, CRM e HR per autenticare l'accesso e trovare informazioni da un server.

La soluzione Reach 360 SSO utilizza SAML anziché l'integrazione LDAP.

Metadati

I metadati sono informazioni fornite da un provider di identità (IdP) a un provider di servizi (SP) o viceversa, in formato XML.

• I metadati SP forniscono l'Assertion Consumer Service URL (AcsURL), l'Audience Restriction, il formato NameID e i certificati x.509 (utilizzati dall'IdP per verificare le firme dall'SP e crittografare le richieste SAML all'SP dall'IdP, se necessario).
• I metadati IdP forniscono l'URL SSO, l'ID dell'entità e i certificati x.509 richiesti dall'SP per verificare la firma dell'asserzione dall'IdP e, se è richiesta la crittografia delle richieste SAML, crittografare i messaggi dall'SP all'IdP.

Autenticazione a più fattori (MFA)

L'autenticazione a più fattori (MFA), chiamata anche autenticazione a due fattori (2FA), richiede agli allievi di superare un secondo livello di sicurezza quando accedono a un'app o a un sistema. Una forma comune di autenticazione a più fattori richiede agli allievi di inserire un codice di verifica, che ricevono tramite testo o un'app di autenticazione.

MFA non è supportato per Reach 360. Ti consigliamo di abilitare l'MFA tramite il tuo IdP per un ulteriore livello di sicurezza.

OAuth

OAuth, o Open Authorization, è uno standard che consente agli allievi di accedere ad app di terze parti senza esporre le proprie password. La soluzione Reach 360 SSO non prevede OAuth.

OpenAM

OpenAM è un sistema di gestione degli accessi open source utilizzato da alcune organizzazioni per fornire il servizio SSO ai propri allievi. Il servizio Reach 360 SSO è compatibile con OpenAM, poiché entrambi supportano la comunicazione SAML.

Security Assertion Markup Language (SAML)

Security Assertion Markup Language (SAML) è uno standard aperto basato su XML per lo scambio di dati di autenticazione tra un provider di identità (IdP) e un fornitore di servizi (SP), come Reach 360.

La nostra soluzione SSO utilizza SAML 2.0 per autenticare gli studenti in Reach 360 in base alle loro identità aziendali, in modo che gli studenti non debbano gestire un set separato di credenziali per Reach 360.

Single Sign-On (SSO)

Il Single Sign-On (SSO) consente agli allievi di accedere a un unico sistema, ad esempio una rubrica aziendale, e quindi accedere a più app senza accedere a ciascuna di esse con credenziali separate. L'SSO aumenta la produttività e consente alle organizzazioni di applicare i propri requisiti di sicurezza delle password.

Fornitore di servizi (SP)

Un fornitore di servizi (SP) è una società che offre un servizio, come l'hosting di contenuti. Un SP comunica con un provider di identità (IdP) per far accedere gli allievi al servizio. Reach 360 è l'SP in questo contesto.

Sistema per la gestione delle identità tra domini (SCIM)

SCIM è uno standard aperto per l'automazione del provisioning e del deprovisioning degli allievi. Ad esempio, un'azienda potrebbe utilizzare SCIM per aggiungere automaticamente i propri allievi a un servizio cloud in abbonamento e sincronizzare i profili aziendali con il servizio cloud.