Tutti gli articoli

SAML SSO: Guida all'implementazione

Tabella 41. Disponibilità - Piani legacy


Descrizione generale

I proprietari e gli amministratori di account provvisti di autorizzazione per Configurare impostazioni di sicurezza avanzate possono abilitare il sistema SSO per l'account.

Gli utenti di account Enterprise possono accedere a Wrike con le credenziali aziendali se per il loro account è abilitato il sistema SSO basato su SAML (integrazione SSO/SAML). Single sign-on (SSO) è il termine generale che indica le diverse tecniche che permettono agli utenti di accedere a varie applicazioni con un'unica autorizzazione di accesso gestita da un provider di identità (IDP). Security Assertion Markup Language (SAML 2.0) è uno standard industriale leader per lo scambio di dati di autenticazione e autorizzazione supportato da Wrike come provider di servizi (SP). Durante l'autorizzazione, non viene trasferita nessuna password reale a o da Wrike. Wrike riceve un'asserzione sull'identità dell'utente, valida per un periodo di tempo limitato e firmata digitalmente.

Suggerimento

È possibile abilitare le asserzioni SAML SSO crittografate se l'IDP lo permette. Contatta il nostro team di assistenza se vuoi abilitare questa opzione quando configuri la SAML SSO.

Per maggiori informazioni sul funzionamento del sistema SSO dopo l'abilitazione, consulta la nostra pagina: SAML SSO: Guida per l'utente.

Vantaggi dell'utilizzo del sistema single sign-on

  • Gestione dell'utente scalabile per aziende di grandi dimensioni. Con il provisioning utente just-in-time puoi risparmiare il tempo che impieghi normalmente per configurare l'account Enterprise e i metodi di gestione. Wrike può creare un profilo utente nel tuo account ogni volta che un nuovo utente della tua directory accede a Wrike mediante SSO, senza che siano necessari ulteriori inviti. I dipendenti rimossi dalla tua directory aziendale perderanno automaticamente l'accesso all'abbonamento aziendale di Wrike, ma le loro attività e il registro cronologico resteranno intatti.

  • Formato del nome utente unificato. L'identità degli utenti viene gestita da un'ubicazione centralizzata, pertanto i nomi utente in Wrike corrisponderanno ai nomi della tua directory.

  • Conformità alle linee guida di sicurezza interne. Gli amministratori IT ottengono un controllo maggiore sull'autenticazione. Gli utenti non potranno modificare il proprio nome o indirizzo email da soli. Qualsiasi politica di sicurezza adottata internamente sarà valida anche per Wrike.

  • Affaticamento delle password ridotto per gli utenti. Dopo l'accesso alla rete aziendale, è possibile aprire Wrike senza dover inserire nessun altro gruppo di credenziali di accesso.

  • La facilità di accesso fornita dal sistema SSO semplifica l'adozione di Wrike senza soluzione di continuità. Potresti anche essere in grado di monitorare le attività di accesso e utilizzare le metriche raccolte dal sistema SSO per monitorare l'adozione di Wrike.

Limiti del sistema single sign-on

Dopo aver abilitato l'integrazione SSO/SAML, gli utenti inclusi nel sistema SSO potranno:

  • Modificare i loro nomi in Wrike. I nomi e i cognomi sono attribuiti dal provider di identità.

  • Modificare il loro indirizzo email dal proprio profilo di Wrike. Ciò include la possibilità di aggiungere ulteriori indirizzi. Tuttavia, un amministratore di Wrike può farlo per loro sempre che un utente possa confermare il nuovo indirizzo, per falro deve accedere a Wrike utilizzando l'indirizzo email originale e disporre di accesso alla posta in arrivo originale per fare clic sul link di conferma. In altri casi, gli amministratori dovranno comunque mettersi in contatto con l'assistenza per modificare gli indirizzi email degli utenti. Le email dei proprietari di account possono essere modificate esclusivamente contattando l'assistenza.

  • Abilitare la verifica in due passaggi tramite Wrike. Se vuoi proteggere il tuo account con questa funzionalità di sicurezza, devi configurarla con il tuo provider di identità.

  • Accedere a Wrike utilizzando una password di Wrike. In generale, quando si prova ad accedere a Wrike dal proprio browser, si viene reindirizzati alla pagina di accesso gestita dal proprio provider di identità. Alcuni strumenti integrati non dispongono del supporto nativo per SSO (ad es. lo strumento di backup e le app API-v2 legacy). Gli utenti del sistema SSO dovranno generare delle password monouso per autorizzare tali strumenti. Nota che l'accesso con le credenziali di Microsoft o di Google non sarà possibile.

Decidere la portata del sistema single sign-on

Il modo in cui configuri il tuo SSO dipende da come utilizzi (o prevedi di utilizzare Wrike):

  • Modo opzionale: tutti gli utenti dell'account possano accedere tramite password o login basato su IDP. Questa opzione è impostata in modo predefinito ed è utile per testare la nuova integrazione SSO. Consigliamo di iniziare con questa opzione per assicurarsi che tutto funzioni correttamente prima di applicare il sistema SSO all'intero account.

    Nota

    Nella modalità opzionale, la pagina login.wrike.com/login guida gli utenti per effettuare l'accesso normale, come se il sistema SAML SSO non fosse impostato per l'account.

    Per seguire il flusso SAML SSO, utilizza la pagina login.wrike.com/sso.

  • Se Wrike viene utilizzato solo da dipendenti dell'azienda: il sistema SSO può essere abilitato per tutti gli utenti dell'account.

  • Se Wrike viene utilizzato sia da dipendenti che da non dipendenti dell'azienda: il sistema SSO può essere abilitato per gli utenti in base ai loro domini email.

    Nota

    In questo caso, prima di abilitare il sistema SAML SSO, dovrai aggiungere e approvare i domini delle email dalla scheda Sicurezza della sezione Gestione account. Per essere approvati, i domini delle email devono appartenere all'azienda.

    Gli utenti con domini di email approvati potranno accedere a Wrike tramite SSO mentre gli utenti con domini di email non approvati accederanno a Wrike con nome utente e password. È possibile abilitare la verifica in due passaggi per offrire un'opzione di accesso più sicura agli utenti che non dispongono di domini approvati.

    Se vuoi aggiungere ulteriori domini approvati dopo l'abilitazione del sistema SSO, la procedura indicata dovrà essere eseguita da un amministratore.

    Nella maggior parte dei casi, il processo di approvazione richiede l'aiuto del team delle operazioni di sistema per aggiornare i registri del DNS (Domain Name System) dei domini. Consigliamo di aggiungere i domini approvati prima di attivare il sistema SAML, in modo che vengano applicati immediatamente dopo aver abilitato il SAML.

Prerequisiti: prima di abilitare il sistema single sign-on

Prima di abilitare il sistema SSO, è importante confermare che:

  • L'indirizzo email associato all'account di Wrike di ciascun utente corrisponda al suo indirizzo email nella directory dell'azienda.

  • Il sistema SSO non sia ancora abilitato per l'account. Per controllarlo:

    • Fai clic sulla tua immagine del profilo.

    • Seleziona Impostazioni dal menu a discesa.

    • Fai clic su Sicurezza nel pannello a sinistra.

    • Nella pagina Sicurezza scorri fino alla sezione SAML SSO.

    • Verifica che accanto all'intestazione SAML SSO sia mostrato Disabilitato.

Inoltre, devi confermare la compatibilità:

  • Verifica che il tuo provider di identità o SSO supporti l'autenticazione federata utilizzando il sistema SAML 2.0. L'elenco delle soluzioni SSO compatibili, include, a titolo non esaustivo, i provider di servizi di identità: Okta, OneLogin, PingFederate, Microsoft AD FS e Google Apps. Se utilizzi i servizi di gestione di identità forniti da Okta, puoi aggiungere Wrike al tuo elenco di applicazioni seguendo queste istruzioni.

  • Per impostare un sistema SSO basato su SAML personalizzato, consulta il nostro file di metadati per conoscere i parametri standard e le opzioni utilizzate da Wrike. È necessario includere i seguenti attributi utente: nome; cognome; ID (deve essere un indirizzo email).

Abilitare il sistema single sign-on

  1. Fai clic sulla tua immagine del profilo.

  2. Seleziona Impostazioni dal menu a discesa.

  3. Fai clic su Sicurezza nel pannello a sinistra.

  4. Nella pagina Sicurezza scorri fino alla sezione SAML SSO.

  5. Fai clic sul pulsante Impostazioni SAML SSO.

  6. Nella finestra mostrata, imposta il tuo provider di identità con i metadati di Wrike e fai clic su Continua.

  7. Successivamente, ti verrà chiesto di specificare i metadati del tuo provider. Puoi scegliere una delle due seguenti opzioni:

    • Inserisci un link per fornire un XML

    • Inserisci un XML come testo.

  8. Fai clic su Avanti.

  9. Verifica di aver scelto i parametri corretti e conferma la tua scelta facendo clic sul pulsante Continua e abilita SAML.

  10. Ti verrà inviata un'email con il codice di conferma dell'implementazione del sistema SSO.

  11. Inserisci il codice indicato nell'email nella finestra popup che si apre.

  12. Fai clic su Conferma.

  13. (Opzionale) Prova le nuove impostazioni dell'account.

  14. Fai clic sul pulsante Salva impostazioni SAML.

Consigliamo di eseguire un test di accettazione dell'utente e di provare diversi casi d'uso immediatamente dopo aver abilitato il sistema SSO. È possibile trovare ulteriori informazioni sull'uso del sistema SSO dopo l'abilitazione sulla nostra pagina single sign-on tramite SAML.

Nota

Attività, cartelle e progetti non vengono condivisi automaticamente tra gli utenti del sistema SSO. Nelle nostre pagine di assistenza, puoi ottenere ulteriori informazioni sulla condivisione di attività, cartelle e progetti. Inoltre, i gruppi di utenti interni non vengono trasferiti a Wrike automaticamente, ma puoi creare facilmente gruppi di utenti in Wrike.

Aggiungere domini di email approvati

Nota

Per aggiungere domini di email approvati potrebbe essere necessaria l'assistenza del team delle operazioni di sistema.

  1. Fai clic sulla tua immagine del profilo, situata nell'angolo superiore destro dell'area di lavoro di Wrike.

  2. Seleziona Impostazioni dal menu a discesa.

  3. Fai clic su Sicurezza nel pannello a sinistra.

  4. Scorri verso il basso fino alla sezione Domini approvati.

  5. Fai clic su Aggiungi dominio e inserisci il dominio email corrispondente.

  6. Fai clic su Aggiungi.

  7. Compare una finestra popup con istruzioni sull'approvazione dei domini.

  8. Segui le istruzioni visualizzate. L'approvazione dei domini potrebbe richiedere fino a 24 ore e l'assistenza del team delle operazioni di sistema.

  9. Fai clic su Salva modifiche.

  10. Ti verrà inviata un'email con il codice di conferma al tuo indirizzo email principale.

  11. Copia il codice dell'email e incollalo nel popup che compare.

  12. Fai clic su Conferma.

Permettere agli utenti di accedere a più account integrati con SAML

I team aziendali di grandi dimensioni che dispongono di diversi account di Wrike con SSO basato su SAML abilitato mediante lo stesso IDP, possono integrare tutti i loro account in un'unica rete. In questo modo, gli utenti possono essere invitati ad accedere a tutti gli account di Wrike collegati utilizzando le proprie credenziali aziendali mediante IDP.

Nota: esistono diversi prerequisiti per implementare questo schema e possono essere abilitati solo dall'assistenza clienti di Wrike. Per ulteriori informazioni, contatta l'assistenza clienti di Wrike.

Su