Siamo giunti alla fine di questa serie di tre articoli dedicati all'autenticazione. Per concludere, vedremo come configurare i vari servizi di autenticazione disponibili su Nudgis.

Indice dei contenuti

1/ LOCALE

1A/ ABBONAMENTO

1B/ COLLEZIONE EMAIL

2/ LTI

3/ CAS

4/ SAML

5/ LDAP

6/ OPENID CONNECT E AUTENTICAZIONE SOCIAL

Locale

L'autenticazione locale è l'autenticazione predefinita per Nudgis. Se la pagina di connessione viene reindirizzata a un servizio esterno, la connessione locale rimane disponibile all'indirizzo https://my.nudgis.url/login-local/.

Il primo parametro nella pagina viene utilizzato per forzare l'uso di una password complessa:

- Minimo 12 caratteri.
- Vengono utilizzati almeno tre tipi diversi di caratteri, tra cui lettere minuscole, lettere maiuscole, numeri e caratteri speciali.
- Nessuna password di uso comune (come "qwerty").
- Nessuna somiglianza con alcuno degli attributi dell'utente (oltre il 30% dei caratteri deve essere diverso dal nome utente, nome, cognome e indirizzo email).

Gli account locali possono essere creati manualmente da un amministratore, ma è anche possibile autorizzare gli utenti a creare i propri account in modo autonomo tramite abbonamento.

Abbonamento

Attiva l'opzione "Consenti abbonamento" per consentire agli utenti di registrarsi sul sito. Se desideri aggiungere un passaggio di convalida da parte di un amministratore, spunta l'opzione di convalida dell'account. Puoi specificare domini di indirizzi email che non richiedono convalida nel campo successivo. L'elenco email per la creazione di account locali viene utilizzato per inviare una notifica email agli indirizzi inseriti quando un utente crea un account tramite il modulo di abbonamento.

LTI

La configurazione e l'uso di LTI sono trattati in una sezione dedicata, che vi invitiamo a consultare per saperne di più sull'argomento.

CAS

Prerequisiti: Il server Nudgis e il server di autenticazione CAS devono essere in grado di comunicare sulla porta HTTPS/443, il dominio del server di autenticazione deve essere valido dal punto di vista del server Nudgis e il server di autenticazione deve essere accessibile dagli utenti (dominio valido e porta aperta).

Per configurare il servizio CAS, inizia abilitandolo e scegliendo il nome che verrà visualizzato nella pagina di autenticazione.

Inserisci l'URL del server di autenticazione nel campo seguente e seleziona la versione.

L'opzione di verifica del certificato SSL dovrebbe essere disabilitata se il tuo server di autenticazione CAS utilizza un certificato autofirmato.

L'opzione di disconnessione completa ti consente di disconnetterti dal server CAS quando ti disconnetti da Nudgis.

Se desideri utilizzare il servizio come autenticazione predefinita, gli utenti verranno reindirizzati al tuo CAS facendo clic sul pulsante "Connetti" (la pagina di autenticazione classica rimane accessibile con il suffisso /login-local/).

Infine, l'ultimo parametro ti consente di autorizzare l'apertura della pagina di autenticazione del tuo server CAS negli iframe.

SAML

Il prossimo servizio di autenticazione è SAML.

Prerequisiti: Nella nomenclatura SAML, Nudgis è un "Service provider (SP)" e il server di autenticazione è un "Identity provider (IdP)". L'SP e l'IdP devono essere accessibili in HTTPS dagli utenti e tra loro. I metadati su ciascun server devono essere leggibili dall'altro server.

Per configurare il servizio, inizia abilitandolo. Puoi anche attivare un'opzione di debug che visualizzerà i dettagli delle richieste nei file di registro.

Puoi quindi modificare il nome del servizio di autenticazione, che sarà il nome visualizzato nella pagina di login.

Se il tuo IdP richiede l'accesso ai metadati di Nudgis, seleziona l'opzione per consentirlo. Per la configurazione lato Nudgis, puoi utilizzare un file di metadati o un URL. L'utilizzo di un file migliora le prestazioni, ma deve essere sostituito se cambia sull'IdP.

I parametri seguenti riguardano i casi in cui sono presenti diversi IdP nel file di metadati, nonché parametri specifici per alcuni fornitori.

Successivamente ci sono i parametri per gli attributi e la mappatura dei campi tra l'IdP e Nudgis:

Infine, gli ultimi parametri ti consentono di definire il servizio come autenticazione predefinita (il che comporta un reindirizzamento all'accesso alla pagina di login) e di regolare varie opzioni di sicurezza.

Nota che se il servizio LDAP è attivato contemporaneamente a SAML, LDAP verrà utilizzato per recuperare gli attributi utente e SAML per l'autenticazione.

LDAP

Il prossimo servizio disponibile in Nudgis è il LDAP servizio.

Prerequisiti: Il server LDAP deve essere accessibile tramite i frontend di Nudgis, il dominio deve essere valido e la porta deve essere aperta (è possibile utilizzare un IP anziché un dominio per il server LDAP). Le porte LDAP predefinite sono 389 per LDAP e 636 per LDAPS.

Questo primo riquadro mostra un riepilogo della configurazione del servizio. È disponibile anche uno strumento per testare l'autenticazione dietro il pulsante "Test impostazioni", che mostra anche gli attributi restituiti dal server LDAP.

Ora diamo un'occhiata alla configurazione del servizio. Inizia attivando il servizio, quindi specifica l'URL del server (Nudgis supporta LDAP e LDAPS). Attiva l'inizializzazione TLS se vuoi crittografare le richieste al server. Puoi anche scegliere se vuoi verificare la validità del certificato se abiliti TLS, o fornire un certificato in formato CRT se il certificato non è firmato da un'autorità riconosciuta.

Il parametro successivo abilita o disabilita SASL.

Il tempo di attesa massimo e il numero di elementi per pagina possono essere utilizzati per gestire problemi di prestazioni.

Infine, specifica un nome utente (in formato DN) e una password, che verranno utilizzati per eseguire le richieste di ricerca sul server LDAP.

Successivamente ci sono i parametri relativi agli attributi e la corrispondenza da stabilire tra gli attributi restituiti e i campi utente in Nudgis.

L'ultimo parametro sopra consente le ricerche LDAP nell'API di Nudgis. Ciò è particolarmente rilevante se desideri che gli utenti possano cercare e aggiungere account dalle pagine dei permessi di canale e media.

In seguito, puoi configurare i parametri e i filtri per la ricerca LDAP. Non entreremo nei dettagli qui, poiché i suggerimenti forniscono già ampie informazioni e valori di esempio. Non esitare a consultarli se non sei sicuro.

Infine, l'ultimo blocco della pagina viene utilizzato per configurare la sincronizzazione giornaliera. Questa avviene di notte e consente agli utenti, ed eventualmente ai loro gruppi, di essere importati automaticamente. Se lo desideri, i gruppi e gli utenti che non esistono più nella directory LDAP verranno eliminati automaticamente.

Puoi anche creare canali per i gruppi importati tramite la sincronizzazione. Gli utenti nei gruppi avranno diritti di accesso al canale corrispondente.

OpenID Connect e autenticazione social

I restanti servizi di autenticazione sono tutti basati su Oauth2.

Prerequisiti: I server Nudgis e di autenticazione devono essere accessibili tramite HTTPS (porta 443). I server devono essere in grado di comunicare tra loro (dominio valido e porta aperta).

Iniziamo vedendo come configurare OpenID Connect.

Anche qui avrai la possibilità di abilitare o disabilitare il servizio, modificare il nome del servizio che verrà visualizzato nella pagina di login, o impostarlo come autenticazione predefinita per automatizzare il reindirizzamento all'accesso alla pagina di login.

Fornisci l'URL, la chiave e il segreto. Per impostazione predefinita, OpenID Connect verifica la presenza di una chiave "preferred_username", ma puoi sovrascrivere questa chiave nel campo "Chiave nome utente".

I campi applicazione predefiniti sono "openid", "profile" e "email"; puoi ignorarli spuntando l'ultima casella sulla pagina e aggiungere campi aggiuntivi in "Scopes" (i valori devono essere separati da virgole).

Infine, i servizi di autenticazione social (autenticazione basata su account di social network) richiedono ciascuno una chiave (o ID) e un segreto. Troverai anche un link di reindirizzamento che potrebbe essere richiesto dall'applicazione di terze parti, come nel caso di Google. Infine, se necessario, puoi creare un gruppo di autenticazione speciale per i tuoi utenti con l'ultima casella di controllo. Per impostazione predefinita, gli unici gruppi di autenticazione esistenti sono Autenticato e Non autenticato.

Per ottenerli, consulta la documentazione dei servizi interessati:

• Facebook : https://developers.facebook.com/
• Google : https://developers.google.com/identity/oauth2/web/guides/get-google-api-clientid?hl=fr
• Twitter : https://developer.x.com/en/docs/apps/overview
• Microsoft Azure AD : https://learn.microsoft.com/fr-fr/entra/identity-platform/quickstart-register-app#add-credentials

Utenti, gruppi e servizi di autenticazione ora non hanno più segreti per te! Una volta configurati i servizi che preferisci, i tuoi utenti potranno connettersi facilmente a Nudgis.

Per continuare: "Come navigare in Nudgis"