Configura Microsoft Active Directory on-premise con Active Directory Federation Service e SSO SAML

Configurare il logon unico (SSO) tramite Active Directory Federation Services (AD FS) per il tuo account ClickUp permetterà agli utenti di accedere a ClickUp con il tuo account Microsoft auto-ospitato.

Se utilizzi Microsoft 365 o Azure Active Directory, dovrai utilizzare la nostra opzione di accesso singolo di Microsoft.

Cosa ti serve

Configura il Microsoft Active Directory locale con Active Directory Federation Service e SSO SAML

Ci sono cinque passaggi per configurare SAML SSO per il tuo account ClickUp con Microsoft Active Directory on-premise.

  1. Raccogli i dettagli SAML SSO in ClickUp
  2. Configura Relying Party Trust per AD FS
  3. Aggiungi regole a AD FS
  4. Esportazione del certificato di firma
  5. Completa il processo di configurazione in ClickUp

Passo 1: Raccogli i dettagli SSO SAML in ClickUp

Il primo passaggio consiste nel raccogliere i dettagli di SAML SSO in ClickUp.

  1. Clicca sull'avatar del tuo Spazio di lavoro e poi clicca Impostazioni.
  2. Seleziona Sicurezza & Permessi.
  3. Dalla sezione Single sign-on (SSO) , seleziona SAML.
    • Tutte le impostazioni SSO precedenti nell'area di lavoro verranno sovrascritte.
  4. Nella sezione Configura Single Sign-On SAML troverai i seguenti elementi da consultare nei passaggi successivi:
    • Certificato SP
    • URL Single Sign-On
    • URL destinatario (ID entità SP)
  5. Copia l'intero testo del Certificato SP e incollalo in un editor di testo, come VS code.
  6. Salvare il file come clickup.cert.

    Il certificato di sicurezza non funzionerà se viene rimosso qualsiasi testo del Certificato SP .

Passaggio 2: Configurare la fiducia di Relying Party per AD FS

Dopo aver salvato il tuo certificato di sicurezza, creerai un Relying Party Trust in Windows Server Manager. Questo permetterà a ClickUp di connettersi al tuo dispiegamento di Active Directory.

  1. In Windows Server Manager, clicca su Strumenti e poi seleziona Gestione AD FS.
  2. Nella colonna Azioni a destra, clicca su Aggiungi Affidamento della Parte Affidabile. Questo apre una procedura guidata che ti guida attraverso il processo di configurazione.
  3. Nella pagina di Benvenuto, scegli Consapevole delle dichiarazioni e clicca su Inizia.
  4. Nello step Seleziona la fonte dati, seleziona Inserisci manualmente i dati sulla parte affidataria e clicca Avanti.
  5. Aggiungi un Nome visualizzato poi clicca su Avanti. Consigliamo di nominarlo ClickUp.
  6. Nello step Configura Certificato, clicca sul pulsante Sfoglia.
  7. Seleziona il file clickup.cert creato nel passaggio precedente e clicca Avanti.
  8. Nel passaggio Configura URL, seleziona Abilita il supporto per il protocollo SAML 2.0 WebSSO.
  9. Incolla l'URL di accesso singolo del passaggio precedente nel campo URL  del servizio SAML 2.0 della parte fidatae clicca su Avanti.
  10. Nella fase di Configurazione degli Identificatori, incolla il tuo URL del Pubblico (ID dell'Entità SP) dal passaggio precedente nel campo Identificatore di fiducia della parte affidataria.
  11. Clicca Aggiungi e poi clicca Avanti.
  12. Nel passaggio Scegli la Politica di Controllo degli Accessi, seleziona Permetti a tutti poi clicca su Avanti. Questo determina chi può autenticare il proprio account ClickUp tramite SSO.
  13. Nello step Pronto per aggiungere fiducia, clicca su Avanti e Chiudi la procedura guidata.

Passaggio 3: Aggiungi regole a AD FS

Successivamente, devi aggiungere due regole in AD FS nel Windows Server Manager. Questo garantirà che l'integrazione invii gli attributi del Protocollo di Accesso alla Directory Leggera (LDAP) come richieste.

  1. Da Windows Server Manager, clicca su Strumenti.
  2. Seleziona Gestione AD FS.
  3. Nell'albero della console sotto AD FS, clicca su Relying Party Trusts.
  4. Fai clic con il tasto destro sul Nome visualizzato creato nel passaggio precedente e seleziona Modifica la politica di emissione delle attestazioni.

Aggiungi la prima regola

  1. Dalla finestra di dialogo Modifica la politica di emissione delle attestazioni, nella scheda Regole di trasformazione dell'emissione, clicca su Aggiungi regola.
  2. Dalla pagina Seleziona modello di regola, sotto Richiedi modello di regola, seleziona Invia attributi LDAP come Claims dall'elenco e poi clicca su Avanti.
  3. Nella pagina Configura Regola , imposta le seguenti informazioni e clicca su Termina per completare il processo e tornare alla finestra di dialogo Modifica Politica di Emissione di Reclami:
    • 1: Nome della regola di attribuzione:  ClickUp LDAP
    • 2: Archivio attributi: Active Directory
    • 3: Nell'attributo LDAP: Indirizzo E-Mail
    • 4: Tipo di rivendicazione per l'indirizzo e-mail in uscita: Indirizzo e-mail

Aggiungi Seconda Regola

  1. Fai clic su Aggiungi Regola per aggiungere una seconda regola di trasformazione. 
  2. Nella pagina Seleziona il modello di regola, sotto Modello di regola di attestazione, seleziona Trasforma un'attestazione in arrivo dall'elenco e poi clicca su Avanti per procedere. 
  3. Nella pagina Configura Regola di Reclamo, imposta le seguenti informazioni e clicca su Terminaper completare il processo.
    • 1: Nome della regola di reclamo: Trasforma l'indirizzo email come NameID
    • 2: Tipo di claim in entrata: Indirizzo E-Mail.
    • 3: Tipo di richiesta in uscita: NameID
    • 4: Formato ID nome in uscita: Email
    • 5: Seleziona Passa attraverso tutti i valori delle richieste.
  4. Nella finestra di dialogo Modifica criteri di emissione dei sinistri , clicca su Applica per applicare entrambe le regole.

Passaggio 4: Esportare il certificato di firma

Ora dovrai esportare il tuo Certificato di firma dal Gestore del Server Windows. Questo è spesso chiamato il certificato X509. Questo è utilizzato per verificare la tua organizzazione tramite il tuo Provider di Identità.

  1. Dal Gestore del Server Windows, clicca su Strumenti e poi seleziona Gestione AD FS.
  2. Espandi la cartella Servizio e poi seleziona Certificati.
  3. Fai clic con il tasto destro sul certificato di firma del token e seleziona Visualizza Certificato

  4. Dalla finestra di dialogo Certificato, clicca sulla scheda Dettagli.
  5. Clicca su Copia su File
  6.  Dalla procedura guidata di esportazione del certificato, clicca su Avanti.
  7. Seleziona Base-64 encoded X.509 (CER) e clicca Avanti.
  8. Nominare il tuo file di certificato adfsdomain.cer e clicca Avanti.
  9. Clicca su Fine per esportare il certificato.

    Assicurati che il certificato sia sotto la scheda Signature e non sotto la scheda Encryption.

AD FS esporterà il certificato nella cartella di download configurata.

Passo 5: Completa il processo di configurazione in ClickUp

Ora che hai configurato tutto in AD FS, dovrai aggiungere i dettagli del tuo AD FS a ClickUp. Per ulteriori informazioni, consulta SAML Single Sign-On personalizzato.

  1. Clicca sull'avatar del tuo Spazio di lavoro e poi clicca Impostazioni.
  2. Seleziona Sicurezza & Permessi.
  3. Dalla sezione logon unico (SSO) , seleziona SAML.
  4. Aggiungi le seguenti informazioni da AD FS a ClickUp:
    1. ID entità IdP: Questo permette a ClickUp di sapere quale Provider di Identità stai utilizzando.
    2. URL di destinazione IdP SSO: ClickUp utilizzerà questo collegamento per connettersi al Provider di Identità quando qualcuno della tua Organizzazione tenta di accedere tramite SSO SAML. Per AD FS, dovrebbe apparire qualcosa del genere: https://sso.yourdomain.tld/adfs/ls/
    3. Certificato di firma IDP: Questo è il certificato scaricato nel Passo 4.
      1. Apri l'editor di testo che preferisci.
      2. Utilizza l'editor di testo per aprire il file adfsdomain.cer precedentemente scaricato al Passo 4
      3. Copia l'intero valore del testo nella sezione Certificato pubblico IDP.
    1.  

Suggerimenti per la risoluzione dei problemi

L'errore La risposta SAML non è ancora valida può essere causato da un problema di sincronizzazione dell'orologio del server ADFS con il Timestamp SAML.

Per risolvere questo puoi:

  • Aggiorna l'orologio del server ADFS al fuso orario del tuo spazio di lavoro ClickUp
  • Esegui il comando PowerShell qui sotto, che ignorerà questa verifica:Set-AdfsRelyingPartyTrust -TargetName ClickUp -NotBeforeSkew 5

Questo articolo ti è stato utile?