Se hai già creato il tuo dominio personalizzato:

• Dalla app di setup, sezione Generale, clicca su Domini personalizzati
• Clicca sul nome del dominio
• Clicca sulla tab Single Sign On

La tab Single Sign On è suddivisa in tre sezioni: Single Sign On, Sicurezza e Identità.

Sezione Single Sign On:

• Nome amichevole del provider di autenticazione. L'etichetta visualizzata agli utenti nel selettore del metodo di login (es. "Azure", "Google Workspace").
• URL di login del provider di autenticazione. L'endpoint SSO dell'IdP a cui Altamira invia le richieste di autenticazione. Corrisponde al campo Single Sign-On Service URL nel metadata SAML dell'IdP.
• URL di logout del provider di autenticazione. L'endpoint dell'IdP per il logout federato. Corrisponde al campo Single Logout Service URL nel metadata SAML dell'IdP. Necessario per abilitare il Single Logout (SLO).
• Autenticazione iniziata dal fornitore di servizio. Il binding HTTP usato da Altamira per inviare la richiesta di login all'IdP, quando l'utente accede direttamente al dominio SSO senza essere autenticato. HTTP POST è il valore predefinito e funziona con la maggior parte dei provider.
• Autenticazione iniziata dal fornitore di identità. Il binding HTTP usato dall'IdP per inviare la risposta SAML ad Altamira, quando la sessione viene avviata dall'IdP (es. dal pulsante applicazione Altamira HRM nella homepage di Microsoft 365). HTTP POST è il valore predefinito e funziona con la maggior parte dei provider.
• Binding per il Single Logout. Il binding HTTP usato per i messaggi di logout SAML, sia quando il logout è avviato da Altamira che quando è avviato dall'IdP. Valori disponibili: HTTP POST / HTTP Redirect. Verificare il valore supportato nel metadata SAML dell'IdP.
• Visualizza l'autenticazione SSO nella pagina di login. Se attivo, viene mostrato il pulsante di login SSO nella pagina di accesso.
• Visualizza l'autenticazione locale nella pagina di login. Se attivo, viene mostrato anche il form di login con username e password locali. Utile in fase di test o per utenti non coperti da SSO.
• Permetti agli utenti di disconnettersi localmente. Se attivo, il logout disconnette l'utente solo dalla sessione Altamira senza notificare l'IdP. Se disattivo, il logout avvia la procedura di Single Logout federato verso l'IdP.

Sezione Sicurezza:

• Certificato del fornitore di identità per la firma delle risposte. Il certificato pubblico dell'IdP usato da Altamira per verificare la firma delle asserzioni SAML ricevute. Solitamente scaricabile dal metadata XML dell'IdP. È sufficiente la chiave pubblica.
• Certificato per la cifratura delle risposte. Il certificato usato dall'IdP per cifrare le asserzioni SAML. Opzionale: richiesto solo se l'IdP è configurato per cifrare le asserzioni. È sufficiente la chiave pubblica.
• Certificato per la firma delle richieste. Il certificato con cui Altamira firma le richieste inviate all'IdP. Richiede un certificato con chiave privata. È possibile generare un certificato autofirmato cliccando su Nuovo → Genera certificato autofirmato.
• Firma le richieste SSO. Indica se firmare le richieste SAML e quale algoritmo di firma utilizzare. Valore consigliato: Sign requests using SHA256.

Sezione Identità:

• Sincronizza i gruppi. Se attivo, i gruppi vengono sincronizzati dall'IdP a ogni accesso. È necessario configurare l'IdP per inviare l'appartenenza ai gruppi come claim. Vedi Sincronizzazione dei gruppi.
• Crea automaticamente i nuovi utenti. Se attivo, Altamira HRM crea automaticamente un nuovo utente quando l'autenticazione con l'IdP ha successo ma l'utente non esiste ancora in Altamira HRM. Vedi Self provisioning.
• Modulo per la creazione del dipendente. Seleziona il modulo da usare per creare il profilo del dipendente alla prima autenticazione. È possibile selezionare qualsiasi modulo basato sull'entità Dipendenti. Vedi Self provisioning.
• Fonte del nome utente. Indica come Altamira ricava l'identificativo dell'utente dall'asserzione SAML. Se si seleziona NameIdentifier dell'affermazione Subject, Altamira si aspetta che la risposta contenga un elemento Subject con un NameIdentifier. Se si seleziona Usa claim, Altamira leggerà il nome utente dal claim specificato nel campo Nome del claim contenente il nome utente.
• Nome del claim contenente il nome utente. Il nome completo del claim (incluso il namespace) da cui leggere il nome utente.
• Nome del claim contenente i gruppi. Il nome completo del claim (incluso il namespace) da cui leggere i gruppi dell'utente. Vedi Sincronizzazione dei gruppi.