|
Disponibile in: |
piano Enterprise |
| Ruolo richiesto: | amministratore dello spazio di lavoro |
Il sistema SSO (Single sign-on) permette a chi fa parte dello spazio di lavoro di eseguire il login tramite un provider di identità (Okta, Microsoft Entra ID/Azure AD o qualsiasi altro provider che supporti SAML 2.0) anziché usare le credenziali personali come password e accesso da social media. Il metodo SSO semplifica e rende più sicuro l'accesso al tuo spazio di lavoro.
Il processo di configurazione di SSO SAML si presenta così:
- Aggiungi e verifica uno o più domini
- Configura il tuo provider di identità
- Abilita SSO SAML in Epidemic Sound
- Decidi se vuoi rendere obbligatorio il metodo SSO per i tuoi membri
Fase 1: aggiungi un dominio verificato
È necessario avere aggiunto e verificato almeno un dominio affinché il metodo SSO sia disponibile, ma se ne possono aggiungere anche di più. Quando il metodo SSO è configurato, potranno accedere tramite il tuo provider di identità tutti gli utenti che 1) fanno parte del tuo spazio di lavoro, 2) usano un indirizzo email appartenente a uno dei domini verificati.
Gli utenti che non usano nessuno dei tuoi domini verificati o che usano l'email personale, come gmail.com, non effettueranno l'accesso con il metodo SSO. Puoi usare quanti domini desideri con il metodo SSO, ma da parte nostra supportiamo un solo provider di identità. Un dominio può essere registrato per un unico spazio di lavoro. Se ti serve aiuto, rivolgiti all'assistenza clienti o al Responsabile relazioni con la clientela.
Su epidemicsound.com, seleziona il menu nell'angolo in alto a destra, scegli Organizzazione e poi seleziona la scheda Identità e provisioning. Usa il pulsante Aggiungi dominio per iniziare a configurare il tuo primo dominio.
Quando l'avrai aggiunto, ti verrà chiesto subito di verificare il dominio.
Per completare la verifica dovrai accedere al tuo provider DNS. Se non disponi dell'accesso, rivolgiti al tuo team informatico.
Completato il processo di verifica, il tuo dominio sarà visualizzato come "Verificato".
Fase 2: configura il provider di identità
Per iniziare il processo di configurazione del metodo SSO, fai clic sul pulsante Configura SSO. Nel primo passaggio, troverai alcune proprietà SAML che ti occorreranno per configurare il provider di identità.
Qui ti offriamo in particolare indicazioni dedicate per Okta e Microsoft Entra ID (ex Azure ID), ma puoi configurare qualsiasi provider di identità compatibile con SAML 2.0.
Segui una delle guide qui sopra per configurare il tuo provider di identità. Quando avrai finito, potrai procedere con l'abilitazione del metodo SSO SAML per il tuo spazio di lavoro Epidemic Sound.
Fase 3: attivare SSO SAML in Epidemic Sound
Per completare l'integrazione dovrai collegare il tuo provider di identità con il tuo spazio di lavoro Epidemic Sound. Fai clic sul pulsante Successivo nel passaggio sulle proprietà SAML (Identità e provisioning → Configura SSO) per andare al passaggio Modifica SSO. Qui hai due opzioni:
- Inserire un URL metadati (consigliato): con l'URL metadati possiamo recuperare le informazioni che ti servono, così in futuro sarà più facile rinnovare il certificato pubblico.
- Inserire le informazioni manualmente: consulta la documentazione del tuo provider di identità per trovare l'URL Sign-On, l'ID dell'emittente/entità e il certificato pubblico per il tuo specifico provider di identità.
Una volta controllata la correttezza delle informazioni, puoi procedere e attivare il metodo SSO. La prima volta in cui lo attivi, il metodo SSO è impostato come metodo di login opzionale e i membri possono ancora continuare a eseguire il login con qualsiasi metodo.
A questo punto consigliamo caldamente di testare il login con SSO in una finestra di navigazione in incognito prima di procedere a rendere obbligatorio il metodo SSO SAML, così da ridurre il rischio di non riuscire più ad accedere. Puoi usare l'URL iniziale: https://www.epidemicsound.com/sso/saml/[Tenant ID]/. L'ID tenant si può trovare facendo clic sul pulsante Modifica configurazione e tornando alle Proprietà SAML.
Usiamo l'indirizzo email come metodo per identificare i tuoi utenti nel nostro sistema. Ciò significa che, affinché l'utente possa effettuare l'accesso, l'indirizzo email presente nel tuo provider di identità e nel nostro sistema devono corrispondere.
Fase 4: decidere se rendere obbligatorio l'accesso con SSO SAML nel tuo spazio di lavoro
È possibile fare in modo che i membri del tuo spazio di lavoro accedano esclusivamente tramite SSO SAML. Per rendere obbligatorio il metodo SSO nel tuo spazio di lavoro, attiva l'opzione Rendi SSO necessario nella scheda Identità e provisioning e, nella finestra di dialogo modale che si apre, seleziona Rendi necessario. I membri i cui indirizzi email non coincidono con nessuno dei tuoi domini verificati potranno comunque effettuare l'accesso usando altri metodi di login.
Prima di rendere obbligatorio il metodo SSO, verifica che tutti i membri dello spazio di lavoro interessati siano stati assegnati all'applicazione nel tuo provider di identità.
Provisioning
Al momento, supportiamo solo l'invio manuale di inviti per aggiungere membri a uno spazio di lavoro. Dopo l'attivazione del metodo SSO, tutti i membri dello spazio di lavoro esistenti che usano un'email con dominio verificato potranno utilizzare il metodo SSO. Tutti i nuovi utenti dovranno effettuare un accesso senza il metodo SSO per poter accettare l'invito, ma una volta aggiunti avranno a disposizione anche il metodo SSO.
Problemi comuni e come risolverli
Esistono alcuni casi in cui, dopo aver effettuato il passaggio al metodo SSO, gli utenti possono avere difficoltà ad accedere.
L'utente "non è assegnato all'applicazione" quando accede con un provider di identità.
Questo errore potrebbe essere formulato con frasi diverse da un provider all'altro, ma se l'utente vede un messaggio come "L'utente non è assegnato all'applicazione"/"error:user_not_assigned" appena dopo aver eseguito l'accesso al provider di identità, significa che deve ricevere l'autorizzazione all'accesso dal tuo team informatico.
Messaggio di errore "Email o password non valida" dopo aver eseguito l'accesso con il provider d'identità.
Verifica che il Formato nome ID sia impostato su emailAddress. Usiamo come nome utente l'indirizzo email e quindi ci occorre ricevere un indirizzo email valido come name-id del provider di identità.
"Il tuo account non è configurato per usare il metodo SSO" nella pagina di login di Epidemic Sound
In genere le cause possono essere:
- Il metodo SSO non è abilitato nello spazio di lavoro
- L'utente usa un indirizzo email che non è stato aggiunto come dominio verificato nello spazio di lavoro
- L'utente non è un membro dello spazio di lavoro. Se l'utente ha ricevuto un invito, è necessario che questo venga prima accettato: per farlo, la prima volta dovrà accedere senza il metodo SSO.
"L'utente non è un membro dello spazio di lavoro", dopo aver eseguito l'accesso con il provider di identità
Se un utente è stato assegnato all'app Epidemic Sound nel tuo provider di identità e cerca di eseguire il login "avviato da IDP" tramite il provider, allora è possibile che non esista come utente in Epidemic Sound (l'utente non è stato creato) o che non sia stato aggiunto allo spazio di lavoro tramite invito.
Se, malgrado ci si aspetti il contrario, l'utente non risulta esistente, è possibile che l'indirizzo email dell'utente sia stato modificato nel provider di identità e non coincida più con l'email in nostro possesso. Per noi è necessario che l'indirizzo email nel nostro sistema coincida con quello del provider di identità. Vedi oltre, "Che cosa fare quando l'email di un utente cambia?".
Che cosa fare quando l'email di un utente cambia?
Se ti serve aiuto, rivolgiti all'assistenza clienti o al Responsabile relazioni con la clientela.