Per configurare Altamira HRM per il Single Sign-On con Microsoft Windows Active Directory Federation Services (ADFS), seguire i passi indicati di seguito.

1. Crea il tuo dominio personalizzato

Vedi Configurazione di un dominio personalizzato.

2. Ottieni il file XML di metadata ADFS

Sul server ADFS, apri AD FS Management e naviga nei nodi AD FS\Service\Endpoint. Scorri fino alla sezione Metadata, annota l'URL di tipo Metadata e concatenalo con l'endpoint pubblico del tuo server ADFS. L'URL sarà nella forma: https://sts.tuodominio.com/FederationMetadata/2007-06/FederationMetadata.xml

Apri l'URL nel browser e salva il file XML in locale.

3. Carica il metadata ADFS su Altamira

• Dalla app di setup, sezione Generale, clicca su Domini personalizzati e clicca sul dominio che vuoi configurare
• Nella tab Single Sign On, nel campo URL di login del provider di autenticazione, carica il file XML di metadata ADFS: clicca su Scegli file e seleziona il file salvato in locale
• Clicca su Salva

4. Scarica il file di metadata Altamira HRM per il tuo dominio

• Dalla app di setup, sezione Generale, clicca su Domini personalizzati e clicca sul dominio configurato
• Clicca sul menu Azioni → Scarica metadata SSO e salva il file in locale

5. Crea un nuovo Relying Party Trust in ADFS

Sul server ADFS, apri AD FS Management:

• Naviga nei nodi AD FS\Relying party trusts
• Clicca su Add Relying party trust
• Seleziona Claims aware e clicca su Start
• Seleziona Import data about the relying party from a file, clicca su Browse, seleziona il file di metadata Altamira e clicca su Next
• Inserisci un nome visualizzato, solitamente Altamira HRM, e clicca su Next
• Se necessario, configura le policy di controllo degli accessi e clicca su Next
• Verifica le impostazioni e clicca su Next
• Assicurati che Configure claims issuance policy for this application sia selezionato e clicca su Close

Configura ora i claim ADFS da inviare ad Altamira HRM:

• In Edit claims issuance policy, clicca su Add Rule
• Seleziona Send LDAP attributes as claims e clicca su Next
• Nel campo Claim Rule, digita Altamira Claims
• Da Attribute store seleziona Active Directory
• Nel mapping degli attributi LDAP:
  • Per il nome utente → LDAP Attribute: User-Principal-Name. Outgoing claim type: Name ID
  • Se stai sincronizzando i gruppi → LDAP Attribute: Token-Groups as SIDs. Outgoing claim type: Group

6. Testa l'implementazione

Per il test è necessario aver abilitato il self provisioning oppure aver creato un utente con nome utente corrispondente sia in Active Directory che in Altamira HRM.

Per il login avviato dal Service Provider (SP-initiated):

• In una sessione di navigazione privata, accedi all'URL del tuo dominio personalizzato. Verrai reindirizzato alla pagina di login ADFS: inserisci le tue credenziali e accedi. Verrai reindirizzato ad Altamira HRM, dove sarai autenticato in base alla risposta SAML.

Per il login avviato dall'Identity Provider (IdP-initiated):

• In una sessione di navigazione privata, accedi a https://tuoendpointadfs.com/adfs/ls/idpinitiatedsignon.htm. Inserisci le credenziali e seleziona Altamira HRM dall'elenco delle applicazioni. Verrai reindirizzato ad Altamira HRM, dove sarai autenticato in base alla risposta SAML.

7. Risoluzione dei problemi

In caso di errore ADFS durante un login SP-initiated, puoi visualizzare informazioni diagnostiche nel Visualizzatore eventi di Windows, nel log AD FS\Admin. Se si verifica un errore durante l'elaborazione della risposta SAML, Altamira mostrerà informazioni diagnostiche minime nella pagina di login; informazioni più dettagliate sono disponibili nel log degli eventi di Altamira, accessibile dalla sezione Report.