Configurazione di
Clarity
per il supporto di SAML 2.0

ccppmop1591
Clarity
consente ai clienti on-premise di utilizzare le credenziali emesse da un IDP con supporto SAML 2.0 per effettuare l'accesso a
Clarity
.
Di seguito si riportano alcuni dei vantaggi principali offerti dall'accesso SSO basato su SAML:
  • Integrazione totale tra le reti e gli ambienti: tutti gli utenti possono navigare facilmente tra l'Intranet dell'organizzazione e
    Clarity
    .
  • Gestione semplificata delle password: non è necessario gestire le password degli utenti separatamente da
    Clarity
    , poiché il sistema di gestione degli utenti esistente include la gestione delle password.
Di seguito sono elencate alcune delle attività principali descritte in questa sezione:
2
Impostazione dei metadati SAML in
Clarity
Ciascun provider di identità che supporta SAML 2.0 fornisce un metodo per condividere i metadati SAML con altre applicazioni. Richiedere all'amministratore della sicurezza aziendale di fornire i metadati SAML per il proprio IDP. Sarà quindi possibile importare il file di metadati SAML in
Clarity
.
Clarity
consente di eseguire le attività riportate di seguito.
Di seguito si descrive come eseguire ciascuna di queste attività.
Importazione dei metadati SAML in
Clarity
Dopo aver ricevuto il file di metadati SAML dall'amministratore, è possibile importarlo in
Clarity
usando l'opzione Autenticazione e chiavi nella pagina Amministrazione. È possibile caricare i metadati SAML oppure compilare manualmente i vari attributi necessari per stabilire correttamente la connessione con il proprio IDP.
Clarity
Importazione dei metadati SAML con un file XML
È possibile utilizzare il pulsante Importa metadati del provider di identità per importare i metadati SAML in
Clarity
.
Procedere come descritto di seguito
:
  1. Effettuare l'accesso a
    Clarity
    .
  2. Nel menu principale, fare clic su
    Amministrazione
    .
  3. Fare clic su
    Autenticazione e chiavi
    , quindi selezionare
    Configurazioni SAML
    .
  4. Fare clic sul pulsante
    Importa metadati del provider di identità
    per importare i metadati SAML.
  5. Compilare i campi Identificatore configurazione e Nome configurazione, quindi caricare il file di metadati SAML. Fare clic su
    Fine
    per caricare il file. La configurazione SAML è ora completata. Il certificato associato ai metadati SAML viene visualizzato nella scheda
    Certificati
    .
  6. Usare il selettore delle colonne per aggiungere i diversi attributi alla griglia, ad esempio URL del servizio di interpretazione asserzioni, Contesto di autenticazione, ID entità e ID entità dell'IDP. Questi attributi sono obbligatori e vengono compilati in base ai metadati SAML importati dall'utente.
  7. Utilizzare il selettore colonne per aggiungere attributi facoltativi quali Nome organizzazione e Indirizzo di posta elettronica di contatto per il supporto.
Compilazione manuale delle configurazioni SAML
Se non è possibile generare il file di metadati SAML dal proprio IDP o se si desidera compilare le configurazioni SAML manualmente, è necessario disporre dei dettagli riportati di seguito. La maggior parte di questi dettagli dovranno essere forniti dell'amministratore della sicurezza.
Clarity
Attributo
Descrizione
Provider
Certificato X509
Il certificato X509 è un formato standard utilizzato per la crittografia a chiave pubblica. Il testo del certificato dovrà essere fornito dall'amministrazione della sicurezza in modo che sia possibile aggiornarlo in
Clarity
.
Amministratore della sicurezza
Contesto di autenticazione
Il contesto di autenticazione consente agli IDP di incrementare le asserzioni con informazioni aggiuntive rilevanti per l'autenticazione dell'utente sul lato IDP.
urn:oasis:names:tc:SAML:2.0:ac:classes:password
Amministratore della sicurezza
Associazione del servizio di interpretazione asserzioni
Le associazioni consentono di definire il formato utilizzato per il trasferimento dei dati tra i provider di identità e i provider di servizi.
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
Amministratore della sicurezza
ID entità dell'IDP
L'ID entità dell'IDP è un nome univoco a livello globale assegnato a ciascuna applicazione creata nel provider di identità.
http://www.okta.com/temp1eeddw
Amministratore della sicurezza
ID entità
L'ID entità corrisponde a un endpoint univoco per
Clarity
. Per generare l'ID entità è possibile aggiungere l'ID utilizzato durante la creazione della configurazione SAML.
http://ppmtemp.test.clarity.net:8080/niku/nu/sso/<ID>
Amministratore di
Clarity
Formati ID nome
I Formati ID nome definiscono i formati dell'ID del nome supportati dall'IDP.
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Amministratore della sicurezza
Associazioni di servizio SSO
Le associazioni del servizio SSO specificano l'associazione esistente tra il servizio SSO sul lato IDP e
Clarity
.
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
Amministratore della sicurezza
URL servizio SSO
L'URL servizio SSO specifica l'URL del servizio SSO dell'IDP in uso.
https://dev-sample.okta.com/app/dummyorg388382_org_1/exkedjmn434r35tALF357/sso/saml
Amministratore della sicurezza
Associazione del servizio di disconnessione singola dell'IDP
L'associazione del servizio di disconnessione singola dell'IDP consente all'IDP di tenere traccia di tutti i service provider (SP) che hanno emesso una risposta di autenticazione quando un utente ha utilizzato l'IDP per effettuare l'accesso a più provider di servizi, tra cui
Clarity
. Quando l'utente si disconnette da
Clarity
, l'IDP tiene traccia dei provider di servizi a cui è stato effettuato l'accesso e, se necessario, può inviare una richiesta di disconnessione.
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
Amministratore della sicurezza
URL del servizio di interpretazione asserzioni
L'URL del servizio di interpretazione asserzioni corrisponde all'endpoint di
Clarity
a cui l'IDP fornisce la risposta di autenticazione. Per garantire il corretto funzionamento dell'integrazione SAML, deve sempre terminare con /niku/nu.
http://ppmtemp.test.clarity.net:8080/niku/nu
Amministratore di
Clarity
Procedere come descritto di seguito:
  1. Effettuare l'accesso a
    Clarity
    .
  2. Nel menu principale, fare clic su Amministrazione.
  3. Fare clic su
    Autenticazione e chiavi
    , quindi selezionare
    Certificati
    .
  4. Fare clic su
    Aggiungi riga
    e compilare i campi
    Nome
    ,
    Testo del certificato
    e
    ID
    . In genere, queste informazioni vengono fornite dall'amministratore della sicurezza.
  5. Fare clic su
    Configurazioni SAML
    , quindi su
    Aggiungi riga
    .
  6. Selezionare il
    panello colonna
    per aggiungere gli attributi rilevanti alla griglia di
    Clarity
    . È ora possibile aggiungere i dettagli forniti dall'amministratore della sicurezza.
La pagina Configurazioni SAML utilizza la griglia comune di
Clarity
. Per ulteriori informazioni sulla griglia comune di
Clarity
, consultare la sezione Componenti comuni.
Gestione dei certificati di protezione
È possibile utilizzare
Clarity
per gestire i certificati di protezione dell'organizzazione. Quando si importa il file di metadati SAML in
Clarity
, il certificato di protezione viene mostrato automaticamente nella pagina Certificati. Se l'organizzazione desidera crittografare la comunicazione tra
Clarity
e il proprio IDP, è possibile aggiungere il certificato pertinente nella pagina Certificati. Questa pagina consente inoltre di gestire un elenco dei certificati dell'organizzazione per altri prodotti.
Clarity
Procedere come descritto di seguito:
  1. Effettuare l'accesso a
    Clarity
    .
  2. Nel menu principale, fare clic su Amministrazione.
  3. Fare clic su
    Autenticazione e chiavi
    , quindi selezionare
    Certificati
    .
  4. Fare clic su
    Aggiungi riga
    e compilare i campi
    Nome
    ,
    Testo del certificato
    e
    ID
    . In genere, queste informazioni vengono fornite dall'amministratore della sicurezza.
  5. Fare clic sul
    panello colonna
    per aggiungere gli attributi rilevanti alla griglia di
    Clarity
    . È possibile aggiungere gli attributi Data di inizio e Data di scadenza alla griglia affinché gli amministratori possano verificare la validità del certificato.
  6. Se è stato aggiunto un certificato del provider di servizi per crittografare la comunicazione tra
    Clarity
    e il proprio IDP, procedere come segue:
    1. Fare clic su
      Configurazioni SAML
      e usare il
      pannello colonna
      per aggiungere i seguenti attributi:
      • Certificato del provider dei servizi
      • Crittografia asserzioni dell'IDP
      • Chiave privata
    2. Fare doppio clic sulla colonna
      Certificato del provider dei servizi
      per selezionare il certificato del provider dei servizi.
    3. Selezionare la casella di controllo
      Crittografa asserzioni dell'IDP
      .
    4. Immettere la chiave privata.
La pagina Certificati utilizza la griglia comune di
Clarity
. Per ulteriori informazioni sulla griglia, consultare la sezione Componenti comuni.
Esportazione dei metadati del provider di servizi
Dopo aver caricato i metadati SAML in
Clarity
è necessario fornire i metadati pertinenti di
Clarity
al proprio IDP affinché possa eseguire l'autenticazione degli utenti e concedere l'accesso a
Clarity
.
Procedere come descritto di seguito:
  1. Effettuare l'accesso a
    Clarity
    .
  2. Nel menu principale, fare clic su
    Amministrazione
    .
  3. Fare clic su
    Autenticazione e chiavi
    , quindi selezionare
    Configurazioni SAML
    .
  4. Fare clic con il pulsante destro del mouse sulla configurazione che si desidera esportare, quindi selezionare Esporta metadati del provider dei servizi.
  5. Salvare il file e condividerlo con l'amministratore della sicurezza.
Configurazione di
Clarity
per il supporto di più IDP
È possibile configurare
Clarity
per il supporto di più IDP. Sebbene la maggior parte delle organizzazioni utilizzi un unico IDP, in alcuni casi potrebbe essere necessario supportare diversi IDP, ad esempio quando si esegue la migrazione da un IDP a un altro.
Procedere come descritto di seguito:
  1. Creare una configurazione SAML per il secondo IDP in
    Clarity
    . Per ulteriori informazioni, consultare la sezione importazione dei metadati SAML
  2. Aggiornare l'URL del servizio di interpretazione asserzioni per aggiungere ?sso_code=<ID> alla fine dell'URL. Di seguito si riporta un esempio. Assicurarsi di utilizzare lo stesso ID utilizzato per impostare la configurazione SAML in
    Clarity
    .
    http://ppmtemp.test.clarity.net:8080/niku/nu?sso_code=IDP2
    Clarity
  3. Esportare i metadati di
    Clarity
    e utilizzarli per configurare l'IDP. Per ulteriori informazioni sull'esportazione dei metadati di
    Clarity
    , consultare la sezione Esportazione dei metadati del provider di servizi.
    In questo esempio, OKTA è stato configurato come secondo IDP. Durante la configurazione di OKTA, sarà necessario effettuare le operazioni seguenti:
    • Aggiornare l'opzione URL di Single Sign-On aggiungendo ?sso_code=<ID> alla fine dell'URL.
    • Deselezionare la casella di controllo
      Use this for Recipient URL and Destination URL
      .
    • Rimuovere il parametro ?sso_code=<ID> dall'URL del destinatario e dall'URL di destinazione. Per ulteriori informazioni sulla configurazione di altri IDP, consultare la sezione Esempi di configurazione SAML.
Configurazione di
Clarity
per il supporto di SAML 2.0
Eseguire le azioni descritte di seguito per configurare
Clarity
per il supporto di SAML 2.0.
Aggiornamento delle impostazioni in Amministrazione di sistema
Clarity
(CSA)
L'ultimo passaggio per la configurazione di
Clarity
per il supporto di SAML 2.0 consiste nell'abilitare l'autenticazione Single Sign-On e impostare il tipo di token nell'Amministrazione di sistema
Clarity
.
Procedere come descritto di seguito:
  1. Accedere all'Amministrazione di sistema
    Clarity
    utilizzando il collegamento riportato di seguito. Il seguente URL di accesso predefinito corrisponde a CSA sui server su cui è in esecuzione Apache Tomcat: http://<hostname>:<port>/niku/app
  2. Selezionare il server pertinente.
  3. Accedere alla scheda
    Applicazione
    e selezionare la casella di controllo
    Usa Single Sign-On
    nella sezione Istanza applicazione: app.
  4. Salvare le modifiche.
  5. Accedere alla scheda
    Protezione
    e impostare il valore del campo Tipo di token su
    Intestazione
    .
    Clarity
  6. Salvare le modifiche.
  7. Riavviare i servizi
    Clarity
    :
Abilitazione dell'autenticazione SAML
È necessario abilitare l'autenticazione SAML in Classic PPM. Procedere come descritto di seguito:
  1. Accedere a Classic PPM e selezionare
    Amministrazione
    ,
    Opzioni di sistema
    per aprire la pagina Opzioni di sistema.
  2. Selezionare l'opzione
    Abilita autenticazione SAML
    .
Clarity
Verifica della corrispondenza dei dettagli di accesso di
Clarity
e IDP
È necessario verificare che i dettagli di accesso in IDP corrispondano ai dettagli immessi nel campo Nome utente della risorsa in
Clarity
.
Clarity
  1. Accedere a Classic PPM con le credenziali di amministratore.
  2. Selezionare
    Amministrazione
    ,
    Risorse
    per aprire la pagina Risorse.
  3. Selezionare una risorsa per aprirla e verificare che il valore del campo
    Nome utente
    corrisponda ai dettagli di accesso associati all'IDP in uso.
Punti chiave da considerare
I seguenti punti chiave sono fondamentali durante l'impostazione di
Clarity
per il supporto dell'autenticazione SAML 2.0:
  • Clarity
    utilizza le tabelle CMN_SEC_CERTS e CMN_SEC_SAML_CONFIGS per archiviare i dettagli SAML nel database.
  • Se l'autenticazione SAML 2.0 è stata impostata su un sistema di sviluppo o di test e si copiano i dati di produzione su tali sistemi, è necessario:
    • Eliminare la configurazione SAML copiata.
    • Importazione nuovamente i metadati SAML.
    • Verificare di non troncare le tabelle del database.
Revisione degli esempi di configurazione IDP
Di seguito si riportano un paio di esempi della configurazione IDP
.
Sebbene Okta e Azure vengano utilizzati come esempi,
Clarity
supporta tutti i provider di identità che supportano SAML 2.0.
Configurazione di Okta per l'emissione di credenziali per
Clarity
Collaborare con l'amministratore della protezione per creare un'applicazione SAML 2.0 in Okta e configurarla affinché gli utenti aziendali possano utilizzare le proprie credenziali per accedere a
Clarity
.
Procedere come segue:
  1. Effettuare l'accesso all'applicazione di amministrazione di Okta.
  2. Nel menu in alto, fare clic su
    Applications
    , quindi selezionare nuovamente
    Applications
    .
    Clarity
  3. Fare clic su
    Add Application
    per creare una nuova applicazione.
  4. Selezionare il pulsante di opzione
    SAML 2.0
    per creare un'applicazione SAML 2.0.
    Clarity
  5. Specificare il nome dell'applicazione e caricare il logo dell'applicazione.
    Clarity
  6. Nella finestra Configure SAML, immettere le seguenti informazioni:
    Clarity
    • Single Sign-On URL: l'URL di accesso dell'applicazione
      Clarity
      . Esempio: https://test.broadcom.com/niku/nu
    • Selezionare la casella di controllo
      Use this for Recipient URL and Destination URL
      .
    • Nel campo Audience URI (SP Entity ID), immettere l'ID dell'entità SP dell'applicazione
      Clarity
      . In genere corrisponde all'URL di accesso dell'applicazione che punta a action:union.samlMetadata. Esempio: https://testppm.broadcom.com/niku/nu#action:union.samlMetadata.
    • Nel campo Default RelayState, immettere l'URL di reindirizzamento desiderato per l'applicazione che verrà utilizzato in seguito alla corretta esecuzione di un'asserzione SAML. Ad esempio, l'URL https://testppm.broadcom.com/pm reindirizza gli utenti alla Nuova esperienza utente di
      Clarity
      .
    • Non aggiornare i seguenti campi:
      • Name ID Format
      • Application Username
      • Update Application Username on
    • Nella sezione Attribute Statements (facoltativa):
      • Nel campo Name, selezionare Login.
      • Nel campo Name format, selezionare Unspecified.
      • Nel campo Value, selezionare user email.
  7. Nella schermata
    Are you a customer or partner
    , selezionare l'opzione pertinente per lo scenario, quindi fare clic su
    Finish
    .
    Clarity
  8. Fare clic su
    View Setup Instructions
    , quindi scorrere verso il basso, copiare i metadati IDP e salvarli come file XML.
    Clarity
  9. Utilizzare l'API samlMetadata per importare i metadati di IDP in
    Clarity
    .
    Clarity
Per ulteriori informazioni, consultare le sezioni Configurazione di SAML con le API REST e Configurazione di
Clarity
per il supporto di SAML 2.0.
Configurazione di Azure per l'emissione di credenziali per
Clarity
Collaborare con l'amministratore della protezione per creare un'applicazione SAML 2.0 in Azure e configurarla affinché gli utenti aziendali possano utilizzare le proprie credenziali per accedere a
Clarity
.
  1. Accedere al Portale di Azure e fare clic su
    Azure Active Directory
    .
    Clarity
  2. Selezionare
    Applicazione aziendale
    ,
    Nuova applicazione
    e selezionare
    Applicazione non nella raccolta
    .
  3. Immettere il nome dell'applicazione e fare clic su
    Aggiungi
    .
    Clarity
  4. Fare clic su
    Pagina principale
    ,
    Azure Active Directory
    ,
    Applicazione aziendale
    , quindi selezionare l'applicazione creata.
    Clarity
  5. Fare clic su
    Single Sign-On
    , quindi fare clic su
    SAML
    .
    Clarity
  6. In
    Basic SAML Configuration
    , fare clic su
    Edit
    per aggiungere i valori seguenti:
    Clarity
    1. Identifier (Entity ID): L'ID di entità di
      Clarity
      SAML. Esempio: https://testppm.broadcom.net/niku/nu#action:union.samlMetadata
    2. Reply URL (ACS URL): l'URL ACS o SP (
      Clarity
      ). Esempio: https://testppm.broadcom.net/niku/nu
    3. Sign-on URL: lasciare il campo vuoto.
    4. Relay State: specificare l'URL di reindirizzamento utilizzato da Azure una volta eseguito l'accesso.
    5. Logout URL: lasciare il campo vuoto.
  7. Non è possibile modificare l'attributo Unique User Identifier in User Attributes and Claims. Rimuovere gli altri attributi e aggiungere una nuova attestazione denominata
    Login
    .
    1. L'attributo di origine deve corrispondere al nome utente di
      Clarity
      PPM. Impostare l'attributo di origine su user.userprincipalname.
      Clarity
  8. Scaricare il file XML dei metadati federativi dal collegamento.
    Clarity
  9. Modificare il file XML dei metadati federativi e scorrere fino alla fine del file. Aggiungere le seguenti informazioni al file. <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</NameIDFormat>.
  10. Salvare le modifiche e chiudere il file.
    Clarity
  11. Utilizzare l'API samlMetadata per importare i metadati di IDP in
    Clarity
    .
Per ulteriori informazioni, consultare le sezioni Configurazione di SAML con le API REST e Configurazione di
Clarity
per il supporto di SAML 2.0.