Guida all'integrazione SSO enterprise
Integrazione di tracio.ai con SAML, OIDC e provider di identità personalizzati. Passo per passo per Okta, Auth0 e Azure AD con esempi di codice.
I clienti enterprise richiedono l'integrazione Single Sign-On (SSO) per la loro dashboard tracio.ai. Questa guida illustra come collegare tracio.ai al suo provider di identità usando SAML 2.0 o OpenID Connect (OIDC), con istruzioni specifiche per i tre provider più comuni: Okta, Auth0 e Azure AD.
Protocolli supportati
tracio.ai supporta due protocolli SSO: SAML 2.0 e OpenID Connect. SAML è lo standard enterprise tradizionale, ampiamente supportato dai provider di identità legacy. OIDC è lo standard moderno costruito su OAuth 2.0, con un'implementazione più semplice e un miglior supporto mobile. Raccomandiamo OIDC per le nuove integrazioni e SAML per le organizzazioni che si sono standardizzate su di esso.
Entrambi i protocolli seguono lo stesso flusso: l'utente tenta di accedere alla dashboard tracio.ai, viene reindirizzato al suo provider di identità per l'autenticazione e viene reindirizzato di nuovo a tracio.ai con un'asserzione o un token firmati. tracio.ai valida l'asserzione, crea o aggiorna la sessione utente e concede l'accesso in base al ruolo mappato.
Integrazione con Okta
Per Okta, crei una nuova integrazione applicativa nella sua console di amministrazione Okta. Selezioni OIDC come metodo di accesso e Web Application come tipo di applicazione. Imposti l'URI di reindirizzamento per l'accesso su https://dashboard.tracio.ai/auth/callback/oidc. Imposti l'URI di reindirizzamento per la disconnessione su https://dashboard.tracio.ai/auth/logout.
Nella dashboard tracio.ai, in Settings > Authentication, inserisca il suo dominio Okta, il client ID e il client secret. tracio.ai rileverà automaticamente gli endpoint OIDC dall'URL dei metadati Okta. Configuri la mappatura gruppo-ruolo per assegnare i ruoli tracio.ai (Admin, Analyst, Viewer) in base all'appartenenza ai gruppi Okta.
Integrazione con Auth0
Crei una nuova Regular Web Application nella sua dashboard Auth0. Aggiunga https://dashboard.tracio.ai/auth/callback/oidc alle Allowed Callback URLs. Aggiunga https://dashboard.tracio.ai alle Allowed Logout URLs. Abiliti le connessioni appropriate (database, social, enterprise) nella scheda Connections dell'applicazione.
In tracio.ai, inserisca il suo dominio Auth0, il client ID e il client secret. L'endpoint di discovery OIDC di Auth0 all'indirizzo https://your-domain.auth0.com/.well-known/openid-configuration fornisce tutti i metadati necessari. Usi Auth0 Rules o Actions per includere claim personalizzati nell'ID token per la mappatura dei ruoli.
Integrazione con Azure AD
Nel portale Azure, navighi su Azure Active Directory > App registrations > New registration. Imposti l'URI di reindirizzamento su https://dashboard.tracio.ai/auth/callback/oidc. In Certificates & secrets, crei un nuovo client secret. In API permissions, si assicuri che i permessi openid, profile ed email siano concessi.
In tracio.ai, inserisca il suo tenant ID di Azure AD, il client ID e il client secret. L'URL dei metadati OIDC segue il pattern https://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configuration. Mappi i gruppi o i ruoli applicativi di Azure AD sui ruoli tracio.ai nella configurazione di mappatura dei ruoli.
Mappatura dei ruoli e provisioning
tracio.ai supporta tre ruoli: Admin (accesso completo inclusa la gestione delle API key e la fatturazione), Analyst (accesso in lettura/scrittura a eventi, segnali e regole) e Viewer (accesso alla dashboard in sola lettura). I ruoli vengono mappati dai gruppi o dai claim del suo provider di identità.
Supportiamo inoltre SCIM 2.0 per il provisioning e il deprovisioning automatizzati degli utenti. Quando un dipendente viene aggiunto al gruppo appropriato nel suo provider di identità, viene automaticamente sottoposto a provisioning in tracio.ai con il ruolo corretto. Quando viene rimosso, il suo accesso viene revocato entro pochi minuti. SCIM garantisce che la gestione del ciclo di vita degli utenti rimanga centralizzata nel suo provider di identità.