Configurare il logon unico (SSO) tramite Active Directory Federation Services (AD FS) per il tuo account ClickUp permetterà agli utenti di accedere a ClickUp con il tuo account Microsoft auto-ospitato.
Se utilizzi Microsoft 365 o Azure Active Directory, dovrai utilizzare la nostra opzione di accesso singolo di Microsoft.
Cosa ti serve
- Solo i proprietari e gli amministratori possono configurare SAML SSO.
- SAML personalizzato è disponibile solo con un piano Enterprise. Per conoscere i nostri piani, clicca qui.
Configura il Microsoft Active Directory locale con Active Directory Federation Service e SSO SAML
Ci sono cinque passaggi per configurare SAML SSO per il tuo account ClickUp con Microsoft Active Directory on-premise.
- Raccogli i dettagli SAML SSO in ClickUp
- Configura Relying Party Trust per AD FS
- Aggiungi regole a AD FS
- Esportazione del certificato di firma
- Completa il processo di configurazione in ClickUp
Passo 1: Raccogli i dettagli SSO SAML in ClickUp
Il primo passaggio consiste nel raccogliere i dettagli di SAML SSO in ClickUp.
- Clicca sull'avatar del tuo Spazio di lavoro e poi clicca Impostazioni.
- Seleziona Sicurezza & Permessi.
- Dalla sezione Single sign-on (SSO) , seleziona SAML.
- Tutte le impostazioni SSO precedenti nell'area di lavoro verranno sovrascritte.
- Nella sezione Configura Single Sign-On SAML troverai i seguenti elementi da consultare nei passaggi successivi:
- Certificato SP
- URL Single Sign-On
- URL destinatario (ID entità SP)
- Copia l'intero testo del Certificato SP e incollalo in un editor di testo, come VS code.
- Salvare il file come
clickup.cert
.Il certificato di sicurezza non funzionerà se viene rimosso qualsiasi testo del Certificato SP .
Passaggio 2: Configurare la fiducia di Relying Party per AD FS
Dopo aver salvato il tuo certificato di sicurezza, creerai un Relying Party Trust in Windows Server Manager. Questo permetterà a ClickUp di connettersi al tuo dispiegamento di Active Directory.
- In Windows Server Manager, clicca su Strumenti e poi seleziona Gestione AD FS.
- Nella colonna Azioni a destra, clicca su Aggiungi Affidamento della Parte Affidabile. Questo apre una procedura guidata che ti guida attraverso il processo di configurazione.
- Nella pagina di Benvenuto, scegli Consapevole delle dichiarazioni e clicca su Inizia.
- Nello step Seleziona la fonte dati, seleziona Inserisci manualmente i dati sulla parte affidataria e clicca Avanti.
- Aggiungi un Nome visualizzato poi clicca su Avanti. Consigliamo di nominarlo
ClickUp
. - Nello step Configura Certificato, clicca sul pulsante Sfoglia.
- Seleziona il file clickup.cert creato nel passaggio precedente e clicca Avanti.
- Nel passaggio Configura URL, seleziona Abilita il supporto per il protocollo SAML 2.0 WebSSO.
- Incolla l'URL di accesso singolo del passaggio precedente nel campo URL del servizio SAML 2.0 della parte fidatae clicca su Avanti.
- Nella fase di Configurazione degli Identificatori, incolla il tuo URL del Pubblico (ID dell'Entità SP) dal passaggio precedente nel campo Identificatore di fiducia della parte affidataria.
- Clicca Aggiungi e poi clicca Avanti.
- Nel passaggio Scegli la Politica di Controllo degli Accessi, seleziona Permetti a tutti poi clicca su Avanti. Questo determina chi può autenticare il proprio account ClickUp tramite SSO.
- Nello step Pronto per aggiungere fiducia, clicca su Avanti e Chiudi la procedura guidata.
Passaggio 3: Aggiungi regole a AD FS
Successivamente, devi aggiungere due regole in AD FS nel Windows Server Manager. Questo garantirà che l'integrazione invii gli attributi del Protocollo di Accesso alla Directory Leggera (LDAP) come richieste.
- Da Windows Server Manager, clicca su Strumenti.
- Seleziona Gestione AD FS.
- Nell'albero della console sotto AD FS, clicca su Relying Party Trusts.
-
Fai clic con il tasto destro sul Nome visualizzato creato nel passaggio precedente e seleziona Modifica la politica di emissione delle attestazioni.
Aggiungi la prima regola
- Dalla finestra di dialogo Modifica la politica di emissione delle attestazioni, nella scheda Regole di trasformazione dell'emissione, clicca su Aggiungi regola.
- Dalla pagina Seleziona modello di regola, sotto Richiedi modello di regola, seleziona Invia attributi LDAP come Claims dall'elenco e poi clicca su Avanti.
- Nella pagina Configura Regola , imposta le seguenti informazioni e clicca su Termina per completare il processo e tornare alla finestra di dialogo Modifica Politica di Emissione di Reclami:
- 1: Nome della regola di attribuzione: ClickUp LDAP
- 2: Archivio attributi: Active Directory
- 3: Nell'attributo LDAP: Indirizzo E-Mail
-
4: Tipo di rivendicazione per l'indirizzo e-mail in uscita: Indirizzo e-mail
Aggiungi Seconda Regola
- Fai clic su Aggiungi Regola per aggiungere una seconda regola di trasformazione.
- Nella pagina Seleziona il modello di regola, sotto Modello di regola di attestazione, seleziona Trasforma un'attestazione in arrivo dall'elenco e poi clicca su Avanti per procedere.
- Nella pagina Configura Regola di Reclamo, imposta le seguenti informazioni e clicca su Terminaper completare il processo.
- 1: Nome della regola di reclamo: Trasforma l'indirizzo email come NameID
- 2: Tipo di claim in entrata: Indirizzo E-Mail.
- 3: Tipo di richiesta in uscita: NameID
- 4: Formato ID nome in uscita: Email
-
5: Seleziona Passa attraverso tutti i valori delle richieste.
- Nella finestra di dialogo Modifica criteri di emissione dei sinistri , clicca su Applica per applicare entrambe le regole.
Passaggio 4: Esportare il certificato di firma
Ora dovrai esportare il tuo Certificato di firma dal Gestore del Server Windows. Questo è spesso chiamato il certificato X509. Questo è utilizzato per verificare la tua organizzazione tramite il tuo Provider di Identità.
- Dal Gestore del Server Windows, clicca su Strumenti e poi seleziona Gestione AD FS.
- Espandi la cartella Servizio e poi seleziona Certificati.
- Fai clic con il tasto destro sul certificato di firma del token e seleziona Visualizza Certificato
- Dalla finestra di dialogo Certificato, clicca sulla scheda Dettagli.
- Clicca su Copia su File
- Dalla procedura guidata di esportazione del certificato, clicca su Avanti.
- Seleziona Base-64 encoded X.509 (CER) e clicca Avanti.
- Nominare il tuo file di certificato
adfsdomain.cer
e clicca Avanti. - Clicca su Fine per esportare il certificato.
Assicurati che il certificato sia sotto la scheda Signature e non sotto la scheda Encryption.
AD FS esporterà il certificato nella cartella di download configurata.
Passo 5: Completa il processo di configurazione in ClickUp
Ora che hai configurato tutto in AD FS, dovrai aggiungere i dettagli del tuo AD FS a ClickUp. Per ulteriori informazioni, consulta SAML Single Sign-On personalizzato.
- Clicca sull'avatar del tuo Spazio di lavoro e poi clicca Impostazioni.
- Seleziona Sicurezza & Permessi.
- Dalla sezione logon unico (SSO) , seleziona SAML.
- Aggiungi le seguenti informazioni da AD FS a ClickUp:
- ID entità IdP: Questo permette a ClickUp di sapere quale Provider di Identità stai utilizzando.
-
URL di destinazione IdP SSO: ClickUp utilizzerà questo collegamento per connettersi al Provider di Identità quando qualcuno della tua Organizzazione tenta di accedere tramite SSO SAML. Per AD FS, dovrebbe apparire qualcosa del genere: https://sso.yourdomain.tld/adfs/ls/
-
Certificato di firma IDP: Questo è il certificato scaricato nel Passo 4.
- Apri l'editor di testo che preferisci.
- Utilizza l'editor di testo per aprire il file adfsdomain.cer precedentemente scaricato al Passo 4
- Copia l'intero valore del testo nella sezione Certificato pubblico IDP.
Suggerimenti per la risoluzione dei problemi
L'errore La risposta SAML non è ancora valida può essere causato da un problema di sincronizzazione dell'orologio del server ADFS con il Timestamp SAML.
Per risolvere questo puoi:
- Aggiorna l'orologio del server ADFS al fuso orario del tuo spazio di lavoro ClickUp
- Esegui il comando PowerShell qui sotto, che ignorerà questa verifica
:Set-AdfsRelyingPartyTrust -TargetName ClickUp -NotBeforeSkew 5